Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IP Zuweisung für User mit eigenem Notebook verhindern

Frage Netzwerke

Mitglied: Marco167

Marco167 (Level 1) - Jetzt verbinden

23.03.2006, aktualisiert 24.03.2006, 4495 Aufrufe, 13 Kommentare

Hallo,

folgende Situation: Netzwerk mit WIN2K Server und Domäne. Großteil der Clients (WINXP/WIN2K) gehen direkt über den Router ins Internet. Ein Client (WIN2K) darf nur über einen Proxy, der nur bestimmte Seiten frei gibt (ist von unserer übergeordneten Dienststelle so vorgeschrieben). Der WIN2K Server vergibt auch an alle Clients die IPs via DHCP.
Jetzt besteht folgende Problematik - ein User zieht das Netzwerkkabel von o.g. Client ab und stöppselt es in sein privates Notebook das z.B. unter XPhome läuft und bekommt vom DHCP aber brav eine IP zugewiesen - damit kanner zwar nicht auf die Daten in unserem Netzwerk zugreifen (er hat kein passendes Paßort), aber er kann den Proxy umgehen und surft frei, was nicht gewollt ist. Die Verwendung von privaten Notebooks ist zwar nicht gestattet, aber ich habe keine Lust in der Nacht (wir haben 24-Stunden Betrieb) Stichproben durchzuführen, sondern das Ganze einfach unterbinden. Der Router hat leider keinen MAC-Filter und unter WIN2K Server habe ich im DHCP nix gefunden.
Wer hat eine Idee? Ich habe schon überlegt das Netzwerkkabel mit Sekundenkleber zu fixieren )

Grüßle

Marco
Mitglied: 27119
23.03.2006 um 13:00 Uhr
Schreit förmlich nach 802.1X!
Damit hast du die totale Kontrolle darüber, wer sich ans Netz anstöpselt, und was er darf.
Bitte warten ..
Mitglied: Marco167
23.03.2006 um 13:38 Uhr
Danke mal für die schnelle Antwort,

gibts da ne HOWTO? Habe mich bisher mit dem Thema noch nicht beschäftigt.

Grüßle

Marco
Bitte warten ..
Mitglied: ITwissen
23.03.2006 um 13:38 Uhr
Das ist sicher die ultimativ sicherste und aufwendigste Loesung.

Jemand der sich mit dem Netzwerk auskennt schreckt das zwar nicht, aber ein erster Schritt waere das dynamischen DHCP abzustellen und jedem festen Rechner eine statische IP via DHCP zu geben. Dann bekommt der fremde Laptop zumindest mal automatisch keine IP.

Umgekehrt kannst du auch die MAC Adressen der fremden Laptops sammeln und sie via DHCP ins IP Nirvana schicken
Bitte warten ..
Mitglied: 27119
23.03.2006 um 13:40 Uhr
Naja, ganz ohne DHCP wird man täglich mit IP Konflikten zu kämpfen haben.
Bitte warten ..
Mitglied: Marco167
23.03.2006 um 13:51 Uhr
Und nur weil er keine IP zugewiesen bekommt kann er ja doch die Eigenschaften der Netzwerkverbindung am Client auslesen und hat dann alles was er braucht, oder?
Bitte warten ..
Mitglied: ITwissen
23.03.2006 um 13:54 Uhr
Ich sagte ja nicht DHCP ganz abstellen. Nur den dynamischen Teil abstellen.

Es gibt ja zwei Teile im DHCP :
1. Einmal wird die IP Adresse anhand der MAC ausgesucht, jedesmal die gleiche IP fuer die gleiche MAC-Adresse.
2. Die dynamische Zuweisung mit einem Pool von IP-Adressen, die einfach auf Anfrage zugewiesen werden, es besteht also keine fest Verbindung zwischen MAC und IP.

Wenn du 2. abschaltest (bzw. auf 1 umstellst) gibt es fuer fremde MAC Adressen keine IP mehr.

Natuerlich kann der User die IP auf seinem Laptop noch manuell einstellen.
Bitte warten ..
Mitglied: ITwissen
23.03.2006 um 13:55 Uhr
Ich sagte ja, wenn sich jemand auskennt, ist das kein guter Schutz.
Bitte warten ..
Mitglied: Metzger-MCP
23.03.2006 um 14:32 Uhr
Hat mal wieder mein Text nicht angenommen
Bitte warten ..
Mitglied: 27119
23.03.2006 um 14:33 Uhr
Jo. Sicherheit kann man mit DHCP Optionen nicht erzwingen.

802.1X ist schon bissi aufwendig (bzw. wirkt erstmal aufwendig).
Die Hardware (Switches) muss es unterstützen.

Ansonsten gibt es ausfürliche dt. Anleitungen in der Microsaft Technet wo alles
haarklein erläutert wird. IAS Einsatz als Radiusserver u. die verschiedenen Möglichkeiten wie man das ganze steuern kann bzw. verschiedene Authentifizierungs Protokolle beschrieben (EAP LEAP usw usw.)

Hängt halt auch von der Grösse des Netzwerks ab, und den Fähigkeiten der bestehenden Hardware (Switches) wie aufwendig das ganze wird....

Bei Cisco Switches gibts unabhängig davon die Möglichkeit mit port-security nur bestimmte MACs an Switchports zu erlauben. Und wenn sich ein nicht genehmigter anstöpselt, gibts einen SNMP Trap und der Port geht "secure down". Wird wieder ein "genehmigter" PC an den Port angeschlossen geht der Port wieder up. Ist aber bei einem grossen Netz zu fummelig. Da ist 802.1X besser.
Bitte warten ..
Mitglied: Metzger-MCP
23.03.2006 um 17:19 Uhr
Das ändern von dynamischen in statische IP Addis beim DHCP nennt man "reservieren".
Dies geschieht durch direktes zuweisen von IP's zu Mac's.

Wenn du nun her gehst, und alle MAC-Addressen der Firmengeräte in die Liste der Reservierungen passend in den DHCP-Bereich einträgst, bekommen alle Firmengeräte eine passende DHCP Konfiguration zugeteilt. Die IP-Zuteilung läuft dann zentralgesteuert und vor allem sauber ab. Wer hier mit Sinn und Verstand ran geht, macht sich das Leben einfach . Tipp als erst die Server, dann alle Drucker, dann Abteilungsweise den Rest. Mann kann sich ja dabei Reserven mit rein reservieren. Die Geräteanzahl sollte jeder Admin ja kennen und somit auch die Anzahl der Reservierungen.

z.b.
192.168.123.1 - 7 Server
192.168.123.8 - 9 Server Reservierungen durch Vergabe von falschen Macs
192.168.123.10 - 30 Drucker
192.168.123.31 - 39 Drucker Reservierungen durch Vergabe von falschen Macs
192.168.123.40 - 47 EDV
192.168.123.48 - 50 EDV Reservierungen durch Vergabe von falschen Macs
192.168.123.52 - x Andere Abteilungen und andere Reserven-Reservierungen



Nun die "netten freundlichen Dinge" der Admins oder anders formuliert, wie lege ich einen Honeypott aus und fange meine Pappenheimer.

Konfiguriere wie oben beschrieben den DHCP-Bereich sauber durch. Füge aber am Ende noch 10 weiter Addis funktionierend hinzu. Warum ? Das ist unsinnig und macht kein Sinn ?

Doch das macht es, weil genau hier der Honeypot liegt. Die EDV-Geräte die zum Firmenstamm gehören, bekommen alle Ihre Konfigurationen aus dem Bereich bis x zugewiesen. Wenn nun ein fremdes Gerät in das Netz kommt, bekommt dieses nun eine IP-Addressenkonfiguration genau aus dem Honeypott Bereich zugewiesen. Der User ahnt natürlich nicht daß er soeben ertappt wurde, da ja alles für Ihn funktioniert. Der Admin bekommt dies natürlich mit, da er es im DHCP ja nachsehen kann, ob jemand aus dem Honeypott eine Konfiguration bekommen hat. Bei einem Fremdgerät im Netz, bekommt man natürlich die Mac-Addresse und auch die Uhrzeit vom DHCP mitgeteilt. Das Nachschauen dauert keine 5min.

Falls einer die Daten kopiert, und sie dann anschließend an einem Fremdgerät verwenden, bekommt man leider durch die obigen Methode nicht mit, aber dafür gibt es auch einfache Lösungen. z.b. als Stichpunktartige Aufzählung

ARP Cache automatisch jede 5 Minuten in eine TXT Datei schreiben lassen.
Alle doppelten Einträge entfernen, so daß immer nur eine einzelne Mac - IP Kombinationen gleicher Kombi übrig bleibt. Diese Liste mit der bekannten Reservierten Mac-Liste vergleichen. Jede IP - MAC Kombination die es eigentlich nicht geben darf, weist ebenfalls auf ein Fremdgerät hin. Es lebe Excel und der Cronjob

Mfg Metzger
Bitte warten ..
Mitglied: djbrandt
23.03.2006 um 21:51 Uhr
Hi,

neben 802.1X gibt es noch eine andere Lösung:

alle Clients browsen über den Proxy
über die User-Authentifizierung wird bestimmt ob er frei im WWW browsen darf oder limitiert.



Grüße

Dieter
Bitte warten ..
Mitglied: Metzger-MCP
24.03.2006 um 11:04 Uhr
Trage ich aber ein anderen Proxy ein könnte ich auch so schon im inet sein.

Mfg Metzger
Bitte warten ..
Mitglied: djbrandt
24.03.2006 um 13:31 Uhr
Wieso anderen Proxy eintragen?

Der direkte Zugang zum WWW über den Router wird gesperrt und es gibt einen Proxy, der ins WWW darf.

Da gibt es genügend "out of the box"-Lösungen für kleine bis mittlere Unternehmen, die Proxy und Firewall mit den entsprechenden Zugangskontrollen im Bauch haben, inklusive White- & Blacklists.


Grüße

Dieter
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerkgrundlagen
gelöst IP Zuweisung bei VPN Tunnel (5)

Frage von H4rdQu0r3 zum Thema Netzwerkgrundlagen ...

E-Mail
Spam verhindern über 1.Received IP Adresse (10)

Frage von greatmgm zum Thema E-Mail ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...