Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Netzwerkzugriff verhindern

Frage Netzwerke Netzwerkmanagement

Mitglied: syncmaster

syncmaster (Level 1) - Jetzt verbinden

06.05.2006, aktualisiert 09.05.2006, 8519 Aufrufe, 3 Kommentare

Ich muß verhindern, daß unbekannte User Zugang zu einem Netzwerk erhalten.

Wir haben ein Netzwerk, bei dem die IP-Adressen anhand der MAC-Id fest vergeben werden. Die automatische Vergabe von IP-Adressen ist unterbunden.

Wie kann man verhindern, daß ein User sich eine freie IP-Adresse im Netzwerk sucht und diese für seinen Rechner verwendet, um sich in das Netzwerk "einzuklinken"?

Gibt es bei Windows (Domänenkontrollen SBS2003) die Möglichkeit nur zuvor festgelegte MAC-ID's im Netzwerk zuzulassen? Bei WLAN-Netzen gibt es diese Möglichkeit.

Gruß

Thomas
Mitglied: 2095
06.05.2006 um 09:15 Uhr
setzt du ms isa server ein?
da wüsst ich was bei isa...

setzt du dhcp ein?
wieviele client rechner sind das? bei lan?

aber so über mac....ich glaub nicht dass es so funktionieren wird da die mac adresse nicht steuerbar ist in deinen vorhaben

mfg conner
Bitte warten ..
Mitglied: syncmaster
07.05.2006 um 22:00 Uhr
Hallo,

ich vergebe die IP-Adresse schon anhand der MAC-Id. Das funktioniert auch problemlos.

Mein Problem ist folgendes: Wie kann ich verhindern, daß ein Benutzer sich ins Netz einklinkt, indem er probiert, welche IP-Adresse frei ist und diese dann einsetzt?

Gruß

Thomas
Bitte warten ..
Mitglied: aqui
09.05.2006 um 16:11 Uhr
Theoretisch ist das in einem geswitchten, kupferbasierenden Netzwerk auch möglich. Du müsstest nur vor jeden Port eine Layer 2 (MAC adressbasierende) Accessliste plazieren. Alle etwas "besseren" managebaren Switches supporten sowas. Der Aufwand ist allerdings hoch und ebenfalls die Tatsache diese Listen zu pflegen, da sie auf jedem Switch vorhanden sein müssen und das auch immer gleich und aktuell.
Besser ist es da dynamische Tools zu verwenden wie 802.1x oder MAC Authentifizierung am Switchport selber. Funktionen die fast alle managebaren Switches der Mittelklasse supporten heutzutage.
Bei 802.1x generiert der Switch eine Radius Abfrage und fragt einen externen Radius Server (FreeRadius oder MS IAS z.B) nach dem Benutzer, einen .1x Client vorausgesetzt (Ab XP Standard in Win). Ist dieser Benutzer bekannt wird der Port eröffnet und der Benutzer erhält Zugang zum Netz. Es kann ihm ausserdem auch noch ein spezifische VLAN zugewiesen werden wen nötig ebenso eine dynamische Accessliste pro Port. Die letzten beiden Möglichkeiten sind aber abhängig von den Switch Features.
MAC Authentifizierung ist ähnlich. Auch hier ist der Port gesperrt und erlaubt keinen Zugriff aufs Netzwerk. Liest der Switch die MAC Adresse des Clients an diesem Port generiert er wiederum eine Radius Abfrage und fragt nach der MAC Adresse bzw. deren Berechtigung im Radius Server. Ist diese dort bekannt wird der Port freigeschaltet und der Client kann arbeiten. Auch hier ist es möglich ein VLAN dynmaisch zuzuweisen, ebenso eine ACL wie oben, wenn nötig.
Eine weitere Möglichkeit ist die Port Security an Switches. D.h. sie können sich merken welche MAC an welchem Port arbeitet und erlauben eben nur diese sofern man die Anzahl begrenzt.
Allerdings wird auch hier nur die MAC abgefragt und sonst nichts und der Pflegeaufwand ist wieder höher, da du alle Ports auf den MACs so zugeordnet sind pflegen und aktuell halten musst.
Möglichkeit 2 ist für dich sicher die einfachste, da eure MAC Adressen bekannt sind. Vorteil beider Lösungen (mit Ausnahme von Lösung 3) ist das die Zugriffsdaten zentral auf dem Radius Server gepflegt werden und Clients frei umziehen können. Sie nehmen ihre Sicherheitspolicy gewissermaßen mit.

Natürlich ist es weiterhin möglich die MAC Adresse zu faken, dadurch über eine positive Radius Authentifikation Zugriff ins Netz zu erlangen und sich statisch eine IP Adresse zu vergeben aber der Aufwand ist erheblich höher und erfordert demnach eine höhere kriminelle Energie.
Um dieses Problem auch noch abzufangen brauchst du ein Intrusion Prevention System aber das kostets dann wieder ????. Damit würde aber so ein suchen nach freien IP Adressen (Ping Sweep etc.) detektierbar und dieses System kann dann z.B. wieder den Port des Switches automatisch disablen.
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
Batch- Datei: Netzwerkzugriff funktioniert nicht (14)

Frage von 133722 zum Thema Windows Netzwerk ...

Netzwerke
gelöst Netzwerkzugriff langsam (5)

Frage von slansky zum Thema Netzwerke ...

Windows 10
gelöst Herunterfahren RDP Windows 10 verhindern (7)

Frage von micha055 zum Thema Windows 10 ...

Windows 7
Adobe Reader - Verhindern Links auszuführen (6)

Frage von MARBHD zum Thema Windows 7 ...

Neue Wissensbeiträge
Sicherheit

How I hacked hundreds of companies through their helpdesk

Information von SeaStorm zum Thema Sicherheit ...

Erkennung und -Abwehr

Ccleaner-Angriff war nur auf große Unternehmen gemünzt

(10)

Information von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Sicherheit

Eventuell neue Lücke in Intels ME

Information von sabines zum Thema Sicherheit ...

Heiß diskutierte Inhalte
Humor (lol)
Freidach Beitrag (32)

Frage von Penny.Cilin zum Thema Humor (lol) ...

Lizenzierung
Programm soll in verschiedenen Versionen lizenziert sein (20)

Frage von Yanmai zum Thema Lizenzierung ...

Windows 7
SSD - Win7 Lags (19)

Frage von ph5555 zum Thema Windows 7 ...

Humor (lol)
Wo ist der Fehler auf dem Bild? (17)

Information von the-buccaneer zum Thema Humor (lol) ...