6
Durch die manuelle Eingabe einer IP den Zugang zum Netzwerk erlangen - wie verhindern?
Mir ist aufgefallen, dass es bei unserem Unternehmensnetzwerk möglich ist, so ohne weiteres Zugang zum Netzwerk zu erhalten. Man braucht dem Client lediglich eine IP Adresse zu geben, die aktuell nicht von einem Client genutzt wird. Die Vergabe der IPs findet normalerweise über DHCP statt. Die IPs sind des Weiteren im DHCP Pool an die MAC Adresse des Clients gebunden.
Wie verhindert man, dass Mallory Zugang zum Netzwerk erhält, in dem er sich einfach eine IP manuell einträgt? Was ist z.Z. state of the art? Und gibt es eine Möglichkeit ohne jede einzelen IP freizuschalten. Also das ich doch mit einem DHCP Pool arbeiten kann?
Danke für eure Weissheiten ...
Grüsse
c3r3br0
Wie verhindert man, dass Mallory Zugang zum Netzwerk erhält, in dem er sich einfach eine IP manuell einträgt? Was ist z.Z. state of the art? Und gibt es eine Möglichkeit ohne jede einzelen IP freizuschalten. Also das ich doch mit einem DHCP Pool arbeiten kann?
Danke für eure Weissheiten ...
Grüsse
c3r3br0
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 221103
Url: https://administrator.de/contentid/221103
Printed on: April 19, 2024 at 08:04 o'clock
6 Comments
Latest comment
Moin,
Wie verhindert man, dass Mallory Zugang zum Netzwerk erhält, in dem er sich einfach eine IP manuell einträgt
Vielleicht durch eine entsprechende Richtlinie, die man Mallory zur Kenntnis gibt und die Kenntnisnahme ggf. unterschreiben lässt?
Gruß
Uwe
Wie verhindert man, dass Mallory Zugang zum Netzwerk erhält, in dem er sich einfach eine IP manuell einträgt
Vielleicht durch eine entsprechende Richtlinie, die man Mallory zur Kenntnis gibt und die Kenntnisnahme ggf. unterschreiben lässt?
Gruß
Uwe
Hallo,
ersten sollte das wirklich erst mal mit den Usern geklärt werden was erlaubt ist und was nicht.
Dann, mir währ das mit den MAC Adressen schon als Verwaltungsaufwand zu groß, vor allem da Sinnlos.
http://de.wikipedia.org/wiki/MAC-Filter
Infos für dich:
http://technet.microsoft.com/de-de/library/bb632754.aspx
http://de.wikipedia.org/wiki/IEEE_802.1X
ersten sollte das wirklich erst mal mit den Usern geklärt werden was erlaubt ist und was nicht.
Dann, mir währ das mit den MAC Adressen schon als Verwaltungsaufwand zu groß, vor allem da Sinnlos.
http://de.wikipedia.org/wiki/MAC-Filter
Infos für dich:
http://technet.microsoft.com/de-de/library/bb632754.aspx
http://de.wikipedia.org/wiki/IEEE_802.1X
1
Hallo,
ganz sicher wäre 802.1X und Clients ohne erfolgreicher Authentifizierung in ein (totes) Gäste VLAN zu schieben.
Weniger Aufwand aber auch weniger sicher wäre natürlich die Sache mit den MAC Adressen...
Gruß
win-dozer
ganz sicher wäre 802.1X und Clients ohne erfolgreicher Authentifizierung in ein (totes) Gäste VLAN zu schieben.
Weniger Aufwand aber auch weniger sicher wäre natürlich die Sache mit den MAC Adressen...
Gruß
win-dozer
Hi.
Zunächst ist doch die Frage, wovor es Dich schützen soll? Was kann denn nun jemand anrichten, der "Zugang zum Netzwerk" hat? Wäre es nicht eher zu hinterfragen, warum Du vor diesem Szenario überhaupt Angst hast?
Zunächst ist doch die Frage, wovor es Dich schützen soll? Was kann denn nun jemand anrichten, der "Zugang zum Netzwerk" hat? Wäre es nicht eher zu hinterfragen, warum Du vor diesem Szenario überhaupt Angst hast?
Dann, mir währ das mit den MAC Adressen schon als Verwaltungsaufwand zu groß, vor allem da Sinnlos.
http://de.wikipedia.org/wiki/MAC-Filter
http://de.wikipedia.org/wiki/MAC-Filter
Jep, das mit der MAC-Adresse sehe ich ein. Ich verstehe auch bis heute nicht wieso mein Vorgänger auf eine DHCP Authentifizierung gesetzt hat. Naja, damit darf sich jeweils unser Support rumschlagen und hat somit den Mehraufwand. Aber das gilt es sicherlich zu ändern.
Infos für dich:
http://technet.microsoft.com/de-de/library/bb632754.aspx
http://de.wikipedia.org/wiki/IEEE_802.1X
http://technet.microsoft.com/de-de/library/bb632754.aspx
http://de.wikipedia.org/wiki/IEEE_802.1X
Danke für diese Links. Genau danach habe ich gesucht.
Danke euch einmal mehr für die rasche und kompetenten Antworten.
Das würde heissen, dass ich in einer ersten Phase ein RADIUS Server implementieren würde und wenn ich ganz paranoid sein möchte - was wir Admins ja dürfen - wäre eine Verschlüsselung des Netzwerktraffics über IPsec eine Möglichkeit, was aber wahrscheinlich nicht ganz trivial sein wird.
Wenn 802.1x nicht sauber implementrierbar ist kann man immer noch mittels SNMP und diverser anderer Tools (am Server und Router), das Netzwerk mittels der Layer 2 Switche von ungeliebten Gästen freihalten. Das kann man sogar so weit treiben, dass Anwender ihr VLAN mitziehen können und Fremde in ein isoliertes VLAN kommen. Für Mitarbeteiter mit längeren Urlaubszeitn kann man auch ein update-VLAN planen um dann den aktuellen PC wieder ins Netz aufzunehmen.
Unter dem Stichwort macmon ( http://www.mikado.de/it-sicherheit-mikado-soft/macmon-nac/macmon oder http://www.macmon.eu/) ist das System sogar lernfähig.
Gruß
Netman
Unter dem Stichwort macmon ( http://www.mikado.de/it-sicherheit-mikado-soft/macmon-nac/macmon oder http://www.macmon.eu/) ist das System sogar lernfähig.
Gruß
Netman
1
