2
SBS 2003 und ISA 2004 - Zugriff auf DC nur für bestimmte MAC-Adressen
Hallo und guen Morgen, ich habe einen SBS 2003 Premium und einen ISA auf einem IBM Server laufen.
Nun habe ich von einem entfernten Bekannten gehört, dass es unter W2003 möglich sei, den Zugriff auf die Domäne bzw. Freigaben in der Art zu spezifizieren, dass nur bestimmte MAC-Adressen erlaubt sein sollen. Nach längeren Recherchen, war mein Ergebnis: Wo soll das denn gehen?! Wenn überhaupt, könnte man das eher im ISA 2004 einstellen, jedoch gibt es dort nach meiner Erfahrung nach nur die Möglichkeit, Workstations anhand der IP festzulegen. Eine Option MAC-Adressen als Clientsatz zu nutzen gibt es nicht. Wie kann man ein solches Szenario realisieren?
Problem ist ja, dass die bisherige Festlegung den Zugriff erlauben oder zu verbieten, nur anhand der IP-Adresse möglich ist. Diese kann man aber schnell herausfinden und was dann?
Ich spreche dieses Thema an, da ich es sehr interessant finde. Man hätte die Möglichkeit, das gesamte Netzwerk insofern zu schützen, dass nur berechtigte Clients Zugriff haben. Das Thema Laptops ist eben sehr gefährlich! Klaro, man kann MAC-Adressen auch emulieren, jedoch glaube ich nicht an eine solche hohe Energie und Willenskraft der User. Und wenn doch... dann sag ich nur: Kriminelle Energie!
Danke und einen guten Rutsch
wünscht Euch
MastereyeFFM
Problem ist ja, dass die bisherige Festlegung den Zugriff erlauben oder zu verbieten, nur anhand der IP-Adresse möglich ist. Diese kann man aber schnell herausfinden und was dann?
Ich spreche dieses Thema an, da ich es sehr interessant finde. Man hätte die Möglichkeit, das gesamte Netzwerk insofern zu schützen, dass nur berechtigte Clients Zugriff haben. Das Thema Laptops ist eben sehr gefährlich! Klaro, man kann MAC-Adressen auch emulieren, jedoch glaube ich nicht an eine solche hohe Energie und Willenskraft der User. Und wenn doch... dann sag ich nur: Kriminelle Energie!
Danke und einen guten Rutsch
wünscht Euch
MastereyeFFM
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 47585
Url: https://administrator.de/contentid/47585
Printed on: April 18, 2024 at 22:04 o'clock
2 Comments
Latest comment
Hi,
also wie haben das Problem so gelöst. Wir haben kurz vor unserem Server einen "managed" Switch stehen (Cicso). Dort haben wir einen MAC-Filter drauf.
Andere Lösung: Ihr vergebt bestimmt die Adressen, usw... per DHCP. Nun könntest du schaun, dass du den bisherigen Bereich auffüllst, z.B. Fakeadressen. Dann legst du einen 2 Bereich an. Dieser liegt in einem ganz anderen IP-Bereich. Somit kann der Fremde gar nichts anstellen.
Klar: Wenn er Gateway, DNS und freie IP-Adressen kennt, dan hilft bloß die obige Variante.
Gruß
Dani
also wie haben das Problem so gelöst. Wir haben kurz vor unserem Server einen "managed" Switch stehen (Cicso). Dort haben wir einen MAC-Filter drauf.
Andere Lösung: Ihr vergebt bestimmt die Adressen, usw... per DHCP. Nun könntest du schaun, dass du den bisherigen Bereich auffüllst, z.B. Fakeadressen. Dann legst du einen 2 Bereich an. Dieser liegt in einem ganz anderen IP-Bereich. Somit kann der Fremde gar nichts anstellen.
Klar: Wenn er Gateway, DNS und freie IP-Adressen kennt, dan hilft bloß die obige Variante.
Gruß
Dani
Hallo,
Wenn überhaupt, müssten die Switches schon blocken. Da kann man bei einigen auch einstellen, dass die bei einem zentralen Radius-Server hinterlegt sind, damit man die Liste nicht in jedem Switch speichern muss. Diesen Radius kann 2003 (aber auch schon 2000).
Aber was sollte es bringen? Ein MAC-Filter bringt bei WLAN kaum Sicherheit, wieso sollte er es dann im LAN auf einmal tun? Gut, gültige MAC-Adressen schwirren nicht so durch die Luft wie bei WLAN, aber ich habe auch schon Computer gesehen, wo sie auf einem Aufkleber am Gerät stehen. Und wenn man Zugriff auf eine erlaubte Maschine hat, ist es kein Problem eine auszulesen.
Also wenn jemand vorhat, auch noch sein privates Laptop ins Netz zu hängen: einfach die MAC vom Arbeitsplatz-Rechner nehmen, sie im Treiber vom Laptop eintragen, umstöbseln und fertig.
Um "unberechtigte" Clients aus einem LAN auszuschliessen gibt es auch andere Möglichkeiten:
802.1x
http://www.microsoft.com/technet/prodtechnol/winxppro/evaluate/eap.mspx
IPSec
http://www.microsoft.com/germany/technet/sicherheit/newsletter/ipsec.ms ...
Grüße und guten Rutsch
Schorsch
Wenn überhaupt, müssten die Switches schon blocken. Da kann man bei einigen auch einstellen, dass die bei einem zentralen Radius-Server hinterlegt sind, damit man die Liste nicht in jedem Switch speichern muss. Diesen Radius kann 2003 (aber auch schon 2000).
Aber was sollte es bringen? Ein MAC-Filter bringt bei WLAN kaum Sicherheit, wieso sollte er es dann im LAN auf einmal tun? Gut, gültige MAC-Adressen schwirren nicht so durch die Luft wie bei WLAN, aber ich habe auch schon Computer gesehen, wo sie auf einem Aufkleber am Gerät stehen. Und wenn man Zugriff auf eine erlaubte Maschine hat, ist es kein Problem eine auszulesen.
Also wenn jemand vorhat, auch noch sein privates Laptop ins Netz zu hängen: einfach die MAC vom Arbeitsplatz-Rechner nehmen, sie im Treiber vom Laptop eintragen, umstöbseln und fertig.
Um "unberechtigte" Clients aus einem LAN auszuschliessen gibt es auch andere Möglichkeiten:
802.1x
http://www.microsoft.com/technet/prodtechnol/winxppro/evaluate/eap.mspx
IPSec
http://www.microsoft.com/germany/technet/sicherheit/newsletter/ipsec.ms ...
Grüße und guten Rutsch
Schorsch
