Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Netzwerk vor Fremdrechner schützen

Frage Netzwerke Netzwerkmanagement

Mitglied: -s-v-o-

-s-v-o- (Level 2) - Jetzt verbinden

25.09.2012 um 09:58 Uhr, 6219 Aufrufe, 25 Kommentare

Guten Morgen zusammen

Ich hätte mal eine Frage an euch.

Wie schützt ihr euer Netzwerk vor Fremder Hardware - Laptop, Netbook,....

Mir ist aufgefallen das hin und wieder unsere User ihre privaten rechner in das interne Netzwerk
hängen bzw. Kunden und Dienstleister im Besprechungsraum ihre Geräte anschließen. Diese Rechner holen sich natürlich auch eine IP über den DHCP und somit ist dies eine potentielle Gefahr was Viren, Trojaner,.... angeht.
Klar, man kann den Usern sagen das sie das nicht machen dürfen/unterlassen sollen aber einen 100%igen Schutz ist
dies auch nicht. Sie stöpseln einfach das Gerät an wenn keiner von der IT da ist.

Gibt es irgendwele Tool welche gleich eine Info raus schicken wenn ein Fremdrechner angeschlossen wird bzw.
noch besser wäre das bei einem Fremdrechner eventuell der Lan-Port am Switch deaktiviert wird und der Fremdrechner somit
auch keine IP mehr erhält.
Wir haben 3com - 4500, HP 2810, HP 2848 und HP e2620 Switches im Einsatz.

Vielen Dank im Voraus

Mit freundlichen Grüßen
-s-v-o-
Mitglied: Lochkartenstanzer
25.09.2012, aktualisiert um 10:47 Uhr
Moin,

da gibt es mehrere Methoden:


lks

Nachtrag:

Deine Switche sollten 802.1x können, mindestens 2 davon.
Bitte warten ..
Mitglied: ColdZero89
25.09.2012, aktualisiert um 10:27 Uhr
Moin,

einfach ein "Besucher"-Netzwerk bereitstellen. Darüber können die Privatrechner dann raus, ohne von dir oder dem Chef auf die Finger zu bekommen. Somit nutzen die Kollegen dann doch das lieber *g* so meine Erfahrung.

Oder es gibt keinen DHCP mehr. Nur noch fest zugewiesene IPs.
Für die IT gibt es die DHCP-IP-Range noch, aber die müssen bei euch beantragt werden, sodass ihr diese IPs vergebt. Missrbauch = ende.

Allgemein ist es aber so: Egal ob ein PC ne IP vom Netzwerk hat oder nicht, ist dort ein Virus isses ne Gefahr. Sicherlich schwieriger für das Virus wo anders hinzugelangen, dennoch ist es möglich.
Alternative die mir grad einfällt: Alle Netzwerkkabel die unnötig rumliegen entfernen oder in Besprechungsräumen sind. Wenn eni Meeting stattfindet müssen die sich für die gegeben Anzahl erst die Netzwerkkabel holen. Einer ist Verantwortlich und ihr seht ja wenn ein Fremdrechner im Netz ist an den DHCP leases. Der Computername ist ja nicht so wie euer Standard in der Firma.
Dann bekommt der User erstmal eins auf die Finger.
Ich würde als chef sogar so weit gehen zu sagen dies ist Fahrlässiges Handeln der Firma gegebenüber (Viren können den betrieb lahm legen) abmahnung.

Was meinst du wei schnell das ablässt?

P.S.: LKS das Cat9 kannt ich noch net, hatte grad erstmal tränen in den Augen, das hatte ich überhaupt nicht erwartet

Gruß Zero
Bitte warten ..
Mitglied: kontext
25.09.2012, aktualisiert um 12:58 Uhr
HeyHo,

die einfachste Möglichkeit - nur die Dosen schalten die wirklich benötigt werden.
Denke nicht das der User das Netzwerkkabel vom Drucker oder seinem Firmen-PC nimmt um den privaten anstecken zu können ...
... oder den DHCP abdrehen

Alternativ wie @Lochkartenstanzer schon schrieb: 802.1X
Normalerweise siehst du ja im DHCP ob ein Gerät im Netz war was nicht dorthin gehört ...
... dann würde ich mal einen Auszug davon machen und dich mit deinem Vorgesetzten zusammen sitzen ...

Cheers
@zanko
Bitte warten ..
Mitglied: Lochkartenstanzer
25.09.2012, aktualisiert um 10:41 Uhr
Zitat von ColdZero89:
P.S.: LKS das Cat9 kannt ich noch net, hatte grad erstmal tränen in den Augen, das hatte ich überhaupt nicht erwartet

Und das schöne ist, das Cat9 kann man sich selbst bauen, im Gegensatz zu Cat1 bist Cat7. kommt gut, wenn man sowas im Büro hat, so daß es jeder sehen kann.

lks

Nachtrag:

Benötigte Bauteile:

  • Genügend Patchkabel nach Bedarf
  • Griff für Fahhrradlenker.
Bitte warten ..
Mitglied: 60730
25.09.2012, aktualisiert um 10:54 Uhr
Moin,

geben tun tuts des scho, abbaaaa....

das ist nicht mal eben so zusammengezimmert (ich hab da mehr als 6 Monate dran gesessen)
Das gibts aber auch zu kaufen z.B MacMon - afaik ne Nummer die nicht für den kleinen Hartgeldfreier gedacht ist.

Du mußt da Ausnahmen machen:

  • Neue Kiste die du aufsetzen willst
  • wenn Ihr ein Gast Wlan habt

Mit anderen Worten - das Ding, was ich da gezimmert habe hat ne Lücke - ich kann die Ports an denen das Gast Wlan hängt nicht überwachen - bzw. die Ports nicht abklemmen.

Aber da sowohl der Einrichtungsswitch als auch die Stockwerksverteilung hinter abgeschlossenen Türen stehen ist das (bei uns) nicht so tragisch.

Von daher nimm gleich die 802.1.x Nummer und verzichte auf das abklemmen und mailen.

Gruß

Edit
@ Zanko - 4getit...
Was glaubst du, war bei mir der Grund mir so ne Baustelle anzuschaffen?
Es gibt sogar fredys, die bringen Ihren eigenen kleinen 5er Hub mit....

/edit

edit²

ähh Ihr habt Euch aber von mal den Avatar vom SVO angesehen?
Das ist unbekannter Nummer 1, auch bekannt als Bernie von Bernie und Ert oder Bullzeye....
Der hat das ganze "Spielzeug"
/edit²
Bitte warten ..
Mitglied: MrNetman
25.09.2012 um 10:58 Uhr
Zitat von 60730:
Das gibts aber auch zu kaufen z.B MacMon - afaik ne Nummer die nicht für den kleinen Hartgeldfreier gedacht ist.
  • Neue Kiste die du aufsetzen willst
  • wenn Ihr ein Gast Wlan habt

macmon ist schon mit das flexibelste und eleganteste System. Aber es hängt wohl von der Netzwerkgröße, Komplexität und dem Sicherheitsbedürfnis ab.
Erzieherisch ist es genial. Der 5er Switch fliegt raus und damit die Kollegen im Büro. Das wirkt erst mal und die Blicke richten sich auf den, der gerade rum murkst. Auch das Umziehen und Mitnehmen von Geräten kann entsprechend gehandhabt werden. Damit werden Drucker nicht mehr ohne Vorwarnung umgeräumt und ähnliches mehr. Und das funktioniert auch mit älternen, nicht 802.1x kompatiblen Systemen.

Vieles läuft über SNMP - und das setzt eine sauber managebare Umgebung voraus.

Gruß
Netman
Bitte warten ..
Mitglied: kontext
25.09.2012, aktualisiert um 11:05 Uhr
Zitat von 60730:
Edit
@ Zanko - 4getit...
Was glaubst du, war bei mir der Grund mir so ne Baustelle anzuschaffen?
Es gibt sogar fredys, die bringen Ihren eigenen kleinen 5er Hub mit....

/edit


Was du für Fredys hast ;)
Aber solche kenne ich - meistens sind's die Elektriker :D

Aber es gibt ja wie gesagt 802.1X - haben eh schon alle erwähnt :P
Aber ich sag schon nix mehr

Cheers
@zanko
Bitte warten ..
Mitglied: brammer
25.09.2012 um 12:30 Uhr
Hallo,

@Zanko

die einfachste Möglichkeit - nur die Dosen schalten die wirklich benötigt werden.
Denke nicht das der User das Netzwerkkabel vom Drucker oder seinem Firmen-PC nimmt um den privaten anstecken zu können
...

sorry, aber das ist mehr als naiv!
Für 19 Euro gibt es im Blödmarkt kleine ungemanagete Switche... oder die alte Fritzbox von zuhause mitbringen und schon haben deine User sogar WLAN...

802.1x ist das schon das Mittel der Wahl.
Daneben natürlich noch schriftliche Vorgaben der Geschäftsleitung was die User dürfen und was nicht...
Mit ensptrechenden konsequenzen:

1. Böser Anruf vom Admin
1a. Abschalten des entsrechenden Switch Ports ohne Vorwahnung...
2. Böser Anschiss vom Chef
3. Abmahnung
Bitte warten ..
Mitglied: MrNetman
25.09.2012 um 12:40 Uhr
802.1x wird genau durch das von brammer erwähnte Szenario: Switche vom Blödmarkt und Fritzbox ausgehebelt. Einmal den Port authentisiert und immer Verbindung für alle angeschlossenen Teilnehmer.
MAC-Security läßt sich nur von einem kleinen Router aushebeln, wobei der ja auch eine eigene MAC hat.
Bitte warten ..
Mitglied: kontext
25.09.2012 um 12:57 Uhr
Zitat von brammer:
sorry, aber das ist mehr als naiv!

Ich weiß ja nicht wie es bei euch aussieht ...
... aber A) sind unsere User nicht gerade die Computer-Spezis
... und B) wie gesagt wir haben das schon lange so im Einsatz und es funktioniert
... und C) geht es hier ein wenig um die Erziehung der User - das das nicht die beste Lösung ist mit den Port's war mir schon bewusst, jedoch muss man auch dazusagen das in vielen Büro's alle Port's geschalten sind obwohl nie was "Produktives" dran hängt ...

Man muss sich seine User erziehen und wie brammer schon geschrieben hat ...
... Eskalation in die nächste Ebene / Ebenen

In diesem Fall tut es mir leid und ich habe den Punkt gestrichen ...

Cheers
@zanko
Bitte warten ..
Mitglied: Lochkartenstanzer
25.09.2012 um 13:15 Uhr
Moin,

egal welche Methode man wählt, ohne LART zur Erziehung der USER geht es nicht. Und das wirkungsvollste sind imemr noch Erziehungsmaßnahmen vom Chef.

Das kann natürlich durch 802.1x unterstützt werden.

lks
Bitte warten ..
Mitglied: DerWoWusste
25.09.2012, aktualisiert um 13:18 Uhr
Moin.

somit ist dies eine potentielle Gefahr was Viren, Trojaner,.... angeht.
Auch hier mal ansetzen. Warum ist das denn eine Gefahr? Sind bei Euch Freigaben für das Gastkonto freigegeben? Patcht Ihr nicht? Schwache Kennwörter? Wenn alles "nein", dann kann nur durch Zeroday-Lücken irgendwas reinkommen und die sind doch selten. Nicht selten aus jedermanns Sicht, aber aus meiner.

Edit: noch was: schau Dir mal arpwatch an.
Bitte warten ..
Mitglied: brammer
25.09.2012 um 13:40 Uhr
Hallo,

@Zanko
Ich weiß ja nicht wie es bei euch aussieht ...

Sehr vielfältig...
Größtensteils normale User, aber eben auch echte Spezies die wissen was sie machen können...
Aber die sind nicht das Problem, eben weil sie wissen was sie können, aber auch wissen was sie damit anrichten..

... aber A) sind unsere User nicht gerade die Computer-Spezis

Das größte Problem sind die KOllegen die zuhause ihr Netzwerk eingerichtet haben und dieses Wissen auf ihrne Arbeitsplatz projezieren...
das führt dann zu ungemanageten Switchen und Fritzboxen (am besten mit aktivem DHCP...)

brammer
Bitte warten ..
Mitglied: kontext
25.09.2012 um 13:45 Uhr
Hallo @brammer,

stimmt - da gebe ich dir vollkommen recht.
Aber wie auch lks schrieb - es geht um die Erziehung ...
... wie gesagt ich bin froh und auch dankbar das wir diese Spezis nicht haben ...
... bzw. dahin geleitet habe ihre Neugierde in den Heimnetzen auszutesten

IMHO versuchen die User immer irgendwie es zu schaffen ...
... außer sie werden sensibilisiert und erzogen

Cheers
@zanko
Bitte warten ..
Mitglied: Dobby
25.09.2012 um 17:26 Uhr
Hallo -s-v-o,

das funktioniert ganz einfach!
Es gibt aber zwei Möglichkeiten, je nach dem wie Du drauf bist, wählst Du Dir eine davon aus.


1. Bau Dir die Cat.9 (Neun neunschwänzige LAN Katze), packe sie Dir in eine Tüte, geh in die Abteilung mach die Tür zu und stell einen Stuhl davor (böse gucken musst Du natürlich auch), so das keiner abhauen kann ;)dann holst Du die CAT.9 LAN Katze aus der Tüte sagst laut mit ernster Stimme: "Die Katze ist aus dem Sack" Und dann musst Du Dir den denjenigen einmal vorknöpfen und Ihn laut fragen ob er die Viren hier eingeschleppt hat!

Falls das nicht wirkt, tja dann eben Plan 2.0!

2.0 Schnappe Dir ein paar Handschuhe sammele den Straßendreck vor Eurem Gebäude auf und packe Ihn in eine Tüte, geh zu dem Unhold und Kippe Ihm den ganzen Dreck auf den Schreibtisch.

Wenn dann jemand fragt was das soll, sagst Du zu Ihm folgendes: "Ihr sammelt den unsichtbaren Dreck im Internet ein und kippt mir den auf/in meinen Arbeitsplatz, das riecht nicht und das kann man auch nicht sehen, aber ich mache es jetzt genau wie Ihr und beschmutze und versaue Euch Euren Arbeitsplatz genauso."

Keine Sorge das funktioniert immer!

Gruß
Dobby
Bitte warten ..
Mitglied: 2hard4you
25.09.2012 um 17:55 Uhr
*notiert*

Tüte Dreck in Serverraum stellen

^^

24
Bitte warten ..
Mitglied: Lochkartenstanzer
25.09.2012 um 18:06 Uhr
Moin

Die Katze muß im Arbeitszimemr des Admins oder vor der Tür hängen.

Und wenn man darauf angesprochen wird, kann man die Einsatzzweck des LART herausstellen. Dann wird manches vergehen schon im Vorfeld verhindert.

lks


PS. Es hilft manchmal mit Schaum vor dem Mund mit dem Ding durchs Haus zu rennen und damit wie wild herumzufuchteln.
Bitte warten ..
Mitglied: aqui
25.09.2012, aktualisiert 28.09.2012
Na ja und wenn er dann statt biologischer doch eine technische Lösung sucht wird er hier fündig:
http://www.administrator.de/contentid/154402
Da steht genau wie man es wasserdicht richtig macht ! Das supporten sogar seine 3Com und HP Gurken von oben !
Bitte warten ..
Mitglied: -s-v-o-
26.09.2012 um 10:03 Uhr
Guten Morgen zusammen

Vielen dank für die vielen Hinweise.
An einem Besuchernetzwerk sind wir dran jedoch sollen sich natürlich auch nur Besucher
dort einloggen.

Naja, DHCP deaktivieren ist halt auch eine unschöne sache. Bei Änderungen an jeden Rechner rennen, auch
in anderen Standorten....

Den Usern sagen das sie das nicht dürfen kann man 1000 mal. Sie machen es halt wenn keine da ist und über den Rechnername rauszufinden wer das war ist nahezu unmöglich.

An 802.1X hatte ich auch schon gedacht. Hat mich nur interessiert wie ihr das löst.

Macmon ist denke ich für die größe ein bisschen mit Kanonen auf Spatzen geschossen.

@aqui
Die 3com und HP reichen für unsere Zwecke. Dank Citrix haben wir eine Netzwerklast was sogar ein 0815 Switch mitmacht.

@DerWoWusste
Gastkonto ist nicht aktiv jedoch ist (werfe ich mal so in den Raum) die Gefahr von innen was zu erhalten größer als von draußen (Wenn der Antivirus nicht wieder suizid begeht

Also nochmals. Vielen dank. Ich denke es auf auf 802.1X rauslaufen.

Mit freundlichen Grüßen
-s-v-o-
Bitte warten ..
Mitglied: Lochkartenstanzer
26.09.2012 um 10:15 Uhr
Zitat von -s-v-o-:
Also nochmals. Vielen dank. Ich denke es auf auf 802.1X rauslaufen.

Du solltest Dir trotzdem noch eine Cat9 besorgen, wenn du nicht sowas schon hast. Das macht imemr Eindruck, wenn man mit sowas mal auf den Tisch hat, wenn man jemanden erwischt.

lks
Bitte warten ..
Mitglied: -s-v-o-
26.09.2012 um 10:47 Uhr
Habe ich was viel besseres
Da gibts doch solche Hundehalsbänder bei denen man via Funk elektroschocks verteilen kann.
Das bekommen die User um den Hals die erwischt werden und bei der Fernbedienung wird der Auslöser mit Tesa fixiert

Mit freundlichen Grüßen
-s-v-o-
Bitte warten ..
Mitglied: aqui
28.09.2012, aktualisiert um 13:49 Uhr
Die (technisch) klassische Lösung mit 802.1x kannst du ja nun oben im Tutorial nachlesen und damit ist technisch alles zur Lösung gesagt....
Denn wenns nun in den Bereich von Flora und Fauna abgleitet bringt das bloss wieder den Biber auf den Plan

Wenns das denn nun war bitte dann auch
http://www.administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Mitglied: dischel
01.10.2012 um 10:05 Uhr
Network Access Protection - kurz NAP unter W2K8, feine Sache
Bitte warten ..
Mitglied: MaikHSW
01.10.2012 um 11:09 Uhr
Hey.
Es kann nun sein dass ich etwas durcheinander werfe, aber ich versuche mich mal:
Konnte man den DHCP Server nicht so einstellen, dass nur an bekannte Rechner (Computerkonten) eine DHCP Adresse vergeben wird?
Klar, der User kann sich dann immer noch eine eigene Adresse ausdenken, aber über die Switche sollte man solche Systeme doch schnell orten können.
Und dann halt direkt Finger ab.

Alternativ kann man auf jeden Port eine Port Security legen (Cisco kann das z.B.).
Wenn da also einmal eine andere MAC als die bekannte senden will wird der Port direkt geblockt.
Und dann weiß man auch direkt, wer es war
Denn genau diese Person wird zeitnah eine Anfrage stellen weil ihr Netzwerk nicht mehr so will...
Sicher ist das keine High End Lösung und diese ist auch leicht zu umgehen, aber dazu bedarf es schon wieder krimineller Energie.
Das ganze gepaart mit 802.1x und vielleicht einer NAP Lösung und das Thema hat sich.
Wer dann die Zeit findet, diese ganzen Mechanismen zu umgehen und dennoch sein Privatnotebook ins Netz zu schleusen,
der kann so oder so direkt entlassen werden. Denn wer soviel Freizeit hat kann ja gar nicht gearbeitet haben.....

Kostenfaktor: Null
Einrichtungsaufwand: Mittel
Erfolgsaussichten: vielversprechend



Gruß
Bitte warten ..
Mitglied: -s-v-o-
02.10.2012 um 10:02 Uhr
Guten Morgen zusammen

Danke noch für die Hinweise. Da habe ich in nächster Zeit wieder genug arbeit.

Mit freundlichen Grüßen
-s-v-o-
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (4)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Windows Netzwerk
USB-Gerät ins Netzwerk (Domäne) einbinden (3)

Frage von griss0r zum Thema Windows Netzwerk ...

Monitoring
Netzwerk-Qualität Monitoring Toolempfehlung (8)

Frage von michmeie zum Thema Monitoring ...

Windows 10
Plötzlich kein Netzwerk mehr (13)

Frage von ZeroCool23 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...