Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Netzwerkzugriff verhindern

Frage Netzwerke Netzwerkmanagement

Mitglied: syncmaster

syncmaster (Level 1) - Jetzt verbinden

06.05.2006, aktualisiert 09.05.2006, 8457 Aufrufe, 3 Kommentare

Ich muß verhindern, daß unbekannte User Zugang zu einem Netzwerk erhalten.

Wir haben ein Netzwerk, bei dem die IP-Adressen anhand der MAC-Id fest vergeben werden. Die automatische Vergabe von IP-Adressen ist unterbunden.

Wie kann man verhindern, daß ein User sich eine freie IP-Adresse im Netzwerk sucht und diese für seinen Rechner verwendet, um sich in das Netzwerk "einzuklinken"?

Gibt es bei Windows (Domänenkontrollen SBS2003) die Möglichkeit nur zuvor festgelegte MAC-ID's im Netzwerk zuzulassen? Bei WLAN-Netzen gibt es diese Möglichkeit.

Gruß

Thomas
Mitglied: 2095
06.05.2006 um 09:15 Uhr
setzt du ms isa server ein?
da wüsst ich was bei isa...

setzt du dhcp ein?
wieviele client rechner sind das? bei lan?

aber so über mac....ich glaub nicht dass es so funktionieren wird da die mac adresse nicht steuerbar ist in deinen vorhaben

mfg conner
Bitte warten ..
Mitglied: syncmaster
07.05.2006 um 22:00 Uhr
Hallo,

ich vergebe die IP-Adresse schon anhand der MAC-Id. Das funktioniert auch problemlos.

Mein Problem ist folgendes: Wie kann ich verhindern, daß ein Benutzer sich ins Netz einklinkt, indem er probiert, welche IP-Adresse frei ist und diese dann einsetzt?

Gruß

Thomas
Bitte warten ..
Mitglied: aqui
09.05.2006 um 16:11 Uhr
Theoretisch ist das in einem geswitchten, kupferbasierenden Netzwerk auch möglich. Du müsstest nur vor jeden Port eine Layer 2 (MAC adressbasierende) Accessliste plazieren. Alle etwas "besseren" managebaren Switches supporten sowas. Der Aufwand ist allerdings hoch und ebenfalls die Tatsache diese Listen zu pflegen, da sie auf jedem Switch vorhanden sein müssen und das auch immer gleich und aktuell.
Besser ist es da dynamische Tools zu verwenden wie 802.1x oder MAC Authentifizierung am Switchport selber. Funktionen die fast alle managebaren Switches der Mittelklasse supporten heutzutage.
Bei 802.1x generiert der Switch eine Radius Abfrage und fragt einen externen Radius Server (FreeRadius oder MS IAS z.B) nach dem Benutzer, einen .1x Client vorausgesetzt (Ab XP Standard in Win). Ist dieser Benutzer bekannt wird der Port eröffnet und der Benutzer erhält Zugang zum Netz. Es kann ihm ausserdem auch noch ein spezifische VLAN zugewiesen werden wen nötig ebenso eine dynamische Accessliste pro Port. Die letzten beiden Möglichkeiten sind aber abhängig von den Switch Features.
MAC Authentifizierung ist ähnlich. Auch hier ist der Port gesperrt und erlaubt keinen Zugriff aufs Netzwerk. Liest der Switch die MAC Adresse des Clients an diesem Port generiert er wiederum eine Radius Abfrage und fragt nach der MAC Adresse bzw. deren Berechtigung im Radius Server. Ist diese dort bekannt wird der Port freigeschaltet und der Client kann arbeiten. Auch hier ist es möglich ein VLAN dynmaisch zuzuweisen, ebenso eine ACL wie oben, wenn nötig.
Eine weitere Möglichkeit ist die Port Security an Switches. D.h. sie können sich merken welche MAC an welchem Port arbeitet und erlauben eben nur diese sofern man die Anzahl begrenzt.
Allerdings wird auch hier nur die MAC abgefragt und sonst nichts und der Pflegeaufwand ist wieder höher, da du alle Ports auf den MACs so zugeordnet sind pflegen und aktuell halten musst.
Möglichkeit 2 ist für dich sicher die einfachste, da eure MAC Adressen bekannt sind. Vorteil beider Lösungen (mit Ausnahme von Lösung 3) ist das die Zugriffsdaten zentral auf dem Radius Server gepflegt werden und Clients frei umziehen können. Sie nehmen ihre Sicherheitspolicy gewissermaßen mit.

Natürlich ist es weiterhin möglich die MAC Adresse zu faken, dadurch über eine positive Radius Authentifikation Zugriff ins Netz zu erlangen und sich statisch eine IP Adresse zu vergeben aber der Aufwand ist erheblich höher und erfordert demnach eine höhere kriminelle Energie.
Um dieses Problem auch noch abzufangen brauchst du ein Intrusion Prevention System aber das kostets dann wieder ????. Damit würde aber so ein suchen nach freien IP Adressen (Ping Sweep etc.) detektierbar und dieses System kann dann z.B. wieder den Port des Switches automatisch disablen.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Sticky Notes - Autostart unterbinden

Tipp von Pedant zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
gelöst Routen zwischen den VLANs verhindern - ACL (11)

Frage von Maik82 zum Thema Router & Routing ...

Linux Netzwerk
gelöst Problem bei Netzwerkzugriff über VPN (3)

Frage von nano1969 zum Thema Linux Netzwerk ...

Microsoft Office
Office C2R automatische Installation verhindern (1)

Frage von TestTyp12 zum Thema Microsoft Office ...

Heiß diskutierte Inhalte
Flatrates
DeutschlandLAN der Telekom - welche internen IPs? (19)

Frage von qualidat zum Thema Flatrates ...

Batch & Shell
gelöst Base64 Decode (Batch,VBS) (16)

Frage von clragon zum Thema Batch & Shell ...

LAN, WAN, Wireless
Wie Gäste ins Internet bringen? (15)

Frage von xSiggix zum Thema LAN, WAN, Wireless ...