Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Netzwerkzugriff verhindern

Frage Netzwerke Netzwerkmanagement

Mitglied: syncmaster

syncmaster (Level 1) - Jetzt verbinden

06.05.2006, aktualisiert 09.05.2006, 8438 Aufrufe, 3 Kommentare

Ich muß verhindern, daß unbekannte User Zugang zu einem Netzwerk erhalten.

Wir haben ein Netzwerk, bei dem die IP-Adressen anhand der MAC-Id fest vergeben werden. Die automatische Vergabe von IP-Adressen ist unterbunden.

Wie kann man verhindern, daß ein User sich eine freie IP-Adresse im Netzwerk sucht und diese für seinen Rechner verwendet, um sich in das Netzwerk "einzuklinken"?

Gibt es bei Windows (Domänenkontrollen SBS2003) die Möglichkeit nur zuvor festgelegte MAC-ID's im Netzwerk zuzulassen? Bei WLAN-Netzen gibt es diese Möglichkeit.

Gruß

Thomas
Mitglied: 2095
06.05.2006 um 09:15 Uhr
setzt du ms isa server ein?
da wüsst ich was bei isa...

setzt du dhcp ein?
wieviele client rechner sind das? bei lan?

aber so über mac....ich glaub nicht dass es so funktionieren wird da die mac adresse nicht steuerbar ist in deinen vorhaben

Mit freundlichen Grüßen conner
Bitte warten ..
Mitglied: syncmaster
07.05.2006 um 22:00 Uhr
Hallo,

ich vergebe die IP-Adresse schon anhand der MAC-Id. Das funktioniert auch problemlos.

Mein Problem ist folgendes: Wie kann ich verhindern, daß ein Benutzer sich ins Netz einklinkt, indem er probiert, welche IP-Adresse frei ist und diese dann einsetzt?

Gruß

Thomas
Bitte warten ..
Mitglied: aqui
09.05.2006 um 16:11 Uhr
Theoretisch ist das in einem geswitchten, kupferbasierenden Netzwerk auch möglich. Du müsstest nur vor jeden Port eine Layer 2 (MAC adressbasierende) Accessliste plazieren. Alle etwas "besseren" managebaren Switches supporten sowas. Der Aufwand ist allerdings hoch und ebenfalls die Tatsache diese Listen zu pflegen, da sie auf jedem Switch vorhanden sein müssen und das auch immer gleich und aktuell.
Besser ist es da dynamische Tools zu verwenden wie 802.1x oder MAC Authentifizierung am Switchport selber. Funktionen die fast alle managebaren Switches der Mittelklasse supporten heutzutage.
Bei 802.1x generiert der Switch eine Radius Abfrage und fragt einen externen Radius Server (FreeRadius oder MS IAS z.B) nach dem Benutzer, einen .1x Client vorausgesetzt (Ab XP Standard in Win). Ist dieser Benutzer bekannt wird der Port eröffnet und der Benutzer erhält Zugang zum Netz. Es kann ihm ausserdem auch noch ein spezifische VLAN zugewiesen werden wen nötig ebenso eine dynamische Accessliste pro Port. Die letzten beiden Möglichkeiten sind aber abhängig von den Switch Features.
MAC Authentifizierung ist ähnlich. Auch hier ist der Port gesperrt und erlaubt keinen Zugriff aufs Netzwerk. Liest der Switch die MAC Adresse des Clients an diesem Port generiert er wiederum eine Radius Abfrage und fragt nach der MAC Adresse bzw. deren Berechtigung im Radius Server. Ist diese dort bekannt wird der Port freigeschaltet und der Client kann arbeiten. Auch hier ist es möglich ein VLAN dynmaisch zuzuweisen, ebenso eine ACL wie oben, wenn nötig.
Eine weitere Möglichkeit ist die Port Security an Switches. D.h. sie können sich merken welche MAC an welchem Port arbeitet und erlauben eben nur diese sofern man die Anzahl begrenzt.
Allerdings wird auch hier nur die MAC abgefragt und sonst nichts und der Pflegeaufwand ist wieder höher, da du alle Ports auf den MACs so zugeordnet sind pflegen und aktuell halten musst.
Möglichkeit 2 ist für dich sicher die einfachste, da eure MAC Adressen bekannt sind. Vorteil beider Lösungen (mit Ausnahme von Lösung 3) ist das die Zugriffsdaten zentral auf dem Radius Server gepflegt werden und Clients frei umziehen können. Sie nehmen ihre Sicherheitspolicy gewissermaßen mit.

Natürlich ist es weiterhin möglich die MAC Adresse zu faken, dadurch über eine positive Radius Authentifikation Zugriff ins Netz zu erlangen und sich statisch eine IP Adresse zu vergeben aber der Aufwand ist erheblich höher und erfordert demnach eine höhere kriminelle Energie.
Um dieses Problem auch noch abzufangen brauchst du ein Intrusion Prevention System aber das kostets dann wieder ????. Damit würde aber so ein suchen nach freien IP Adressen (Ping Sweep etc.) detektierbar und dieses System kann dann z.B. wieder den Port des Switches automatisch disablen.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows 10
gelöst Herunterfahren RDP Windows 10 verhindern (4)

Frage von micha055 zum Thema Windows 10 ...

Netzwerke
gelöst Netzwerkzugriff langsam (5)

Frage von slansky zum Thema Netzwerke ...

Exchange Server
gelöst Vererbung von Berechtigungen auf Unterordner in Outlook verhindern (6)

Frage von touro411 zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (22)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (19)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...