Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Betriebsfremde Laptops - MAC sperren?

Mitglied: alhambra

alhambra (Level 1) - Jetzt verbinden

10.02.2010 um 09:14 Uhr, 8058 Aufrufe, 7 Kommentare

Hallo zusammen,

wir planen unser Netzwerk umzustellenen. In Zukunft wird ein DHCP-Server in Betrieb gehen. Für die Clients möchten wir die Adressen reservieren. Betriebsfremde PCs (Laptops) sollen nicht ohne Weiteres (d.h. ohne unser Wissen) ins Netz können, das einstecken in gepatchte Netzwerkdosen können wir aber wohl nicht verhindern.
Es kommt bei uns aber relativ oft vor, dass betriebsfremde Laptops ins Netz kommen. Wir möchten dabei verhindern, dass die "Gast-User" mit einer selbst eingestellten, festen IP-Adresse (die dann in unserem IP-Bereich liegt) unseren Netzwerkverkehr stören (durch doppelte IP-Adressen im Netz). Wie läßt sich das anstellen? Müssen wir auf den Switchen unbekannte MAC-Adressen vom Netz sperren?
Bin für jeden Tipp dankbar!
Alhambra
Mitglied: user217
10.02.2010 um 09:24 Uhr
Hallo,

du müsstest für jede DHCP IP Adresse eine MAC hinterlegen am DHCP Server. Dann ist der DHCP Server ab Sinnlos, dann würd ich lieber gleich feste IP's vergeben. Ansonsten gibts glaube ich noch RADIUS Server, der macht das auch aber ich vermute nur mit Zertifikaten.

Gruß
Bitte warten ..
Mitglied: dog
10.02.2010 um 09:29 Uhr
Die einzig sichere Methode bei kabelgebundenen Netzwerken ist Domain Isolation oder VPN.
Alles andere ist lustige Bastelei, die man in < 5 Minuten umgehen kann!
Bitte warten ..
Mitglied: SlainteMhath
10.02.2010 um 09:32 Uhr
Moin,

Müssen wir auf den Switchen unbekannte MAC-Adressen vom Netz sperren?
Ja, nur am Switch bekommst Du das Problem in den Griff.

Entweder jedem Port fest eine MAC zuweisen, die "darf"
oder
802.11x benutzen
oder
Switches mit NAC verwenden (Enterasys, Cisco)

lg,
Slainte
Bitte warten ..
Mitglied: laster
10.02.2010 um 09:48 Uhr
Hallo alhambra,

wir haben das gleiche Ziel, nur vertrauenswürdige Rechner (anhand der MAC-Adresse) in unser Produktivnetz zu lassen und alle anderen nur in das Gastnetzwerk.
Wir haben dafür ein Produkt gefunden: http://www.mikado.de/de/leistungen/produkte/macmon/index.php
Der allgemeine Begriff für das Thema ist "Network Access Control" oder ähnlich.
Cisco bietet so etwas für seine Switche auch an...

vG
LS
Bitte warten ..
Mitglied: maretz
10.02.2010 um 10:09 Uhr
Naja - ich kenne das Problem vom Grundsatz her. Auch ich hab nicht die Zeit jedesmal das Kabel vom Patchfeld sofort umzustecken weil da nen Rechner umgezogen wird. Also gibt es immer wieder gepatchte Dosen die generell nen Laptop nutzen kann. Ist bei uns zum glück nicht so das fremde Laptops/Hardware einfach angeschlossen wird -> meine beliebte AA-Regel greifft da sofort! (AA-Regel: Am Arsch-Regel. Wer die Verletzt ist am Arsch ;) )

Was du jedoch machen könntest um das ganze halbwegs in geordnete Bahnen zu lenken: Du bastelst dir einfach 2 VLANs. Ein VLAN bekommt alle Rechner die zum Betrieb gehören, VLAN2 ist eigentlich nichts dran. Jetzt schaltest du nur noch im Switch die jeweilig gepatchten Ports um -> wenn jemand also meint er ist an Dose 17 dann brauchst du nur noch im Plan gucken auf welchen Switch die geht - und du schaltest den Port ins VLAN1. Ist da jemand der dich anruft und den du nicht kennst dann gleich fragen was der da will, in den Hörer brüllen das er dich mal gernhaben kann und den Hörer auf die Gabel knallen (ok, oder das ganze in freundlich - je nach eigenem Ermessen!)

Und solange sich die Fremden Laptops in VLAN2 gegenseitig mit Viren vollmüllen - mir egal, solang die nich ins Firmennetz kommen is das auch ok...
Bitte warten ..
Mitglied: hagmania
10.02.2010 um 10:28 Uhr
Wir setzen zu diesem Zweck ArpGuard ein.
Funktionsprinzip: Bei neuem Link / neuer CAM-Zuordnung meldet der Switch sich per SNMP an der Appliance; die schaut in ihrer Datenbank nach, welcher Gruppe das Gerät laut Mac zugehört (im einfachsten Fall nur "bekannt" vs. "unbekannt") und reagiert entsprechend; beispielsweise bei "unbekannt" ein anderes VLAN aktivieren als bei "bekannt" oder auch ganz sperren und/oder eine Mail generieren. Wir sperren Gäste so beispielsweise in ein VLAN (mit eigenem Subnet im DHCP), das nur Surfen via Proxy erlaubt.
Solange es nur um diese Funktionalität geht, kann man dasselbe sogar mit ein wenig Skripting "zu Fuß" unter Linux schaffen; zumindest hatte ich ein "proof of concept" fertig, bevor die Lieferung und Imstallation der ArpGuard komplett war.
Bitte warten ..
Mitglied: Edi.Pfisterer
10.02.2010 um 11:13 Uhr
Hallo alhambra
das Tool klingt interessant (als Alternative zu Domain Isolation).
Konnte spontan nicht finden, was dieses Tool kostet.
Kannst Du Dich noch erinnern, was ihr bezahlt habt?
Danke
lg

ps: falls Du das hier nicht hinschreiben möchtest, würde ich mich über eine PM freuen.
vielen Dank im Voraus
Bitte warten ..
Ähnliche Inhalte
Hardware
Erfahrungen mit Laptops
gelöst Frage von sven784230Hardware14 Kommentare

Hallo zusammen, ich habe leider kaum Erfahrung mit Laptop Hardware, da ich hauptsächlich Tower PC's nutze. Aus diesem Grund ...

Windows Userverwaltung
Domänen Profiles und Laptops
gelöst Frage von Hendrik2586Windows Userverwaltung2 Kommentare

Guten Morgen @ all! :) Ich hab da mal ein Anligen das ich gerne mit euch zusammen klären möchte. ...

Backup

Backup für Außendienst-Laptops

Frage von schleudertraumaBackup6 Kommentare

Hallo zusammen, ich arbeite in einer Firma, die rund 60 Außendienstler in Deutschland, Österreich, Belgien und den Niederladen beschäftigt. ...

Windows Installation

HP laptops UEFI und Win10

Frage von cseWindows Installation8 Kommentare

Hi zusammen, Ausgangslage: verschiedene Laptops von HP (ProBook reihe) USB uefi boot stick win10 1803, mal mit unattendet mal ...

Neue Wissensbeiträge
Datenschutz

SiSyPHuS Win10: Analyse der Telemetriekomponenten in Windows 10

Tipp von freesolo vor 3 TagenDatenschutz1 Kommentar

Alle die sich detailliert für die Datensammlung interessieren die unter Windows 10 stattfindet, sollten sich folgende Analyse des BSI ...

Sicherheit
Adminrechte dank Intel-Grafikkarte
Information von DerWoWusste vor 3 TagenSicherheit2 Kommentare

ist das Advisory, welches beschreibt, welche Intel HD Graphics Modelle Sicherheitslücken haben, mit denen sich schwache Nutzer zu Admins ...

Internet

EU Urheberrechtsreform: Eingriff in die Internetkultur

Information von Frank vor 4 TagenInternet1 Kommentar

Liebe Besucherin, lieber Besucher, warum erscheint das obere Banner in allen Beiträgen? Aus Protest gegen Teile der geplanten EU-Urheberrechtsreform ...

Windows Server
Windows Backup - FilterManager Event 3
Tipp von NixVerstehen vor 5 TagenWindows Server

Hallo zusammen, ich bin kein gelernter ITler und auch beruflich nicht in dem Feld tätig. Wir setzen in unserem ...

Heiß diskutierte Inhalte
DNS
50 EUR für Telekom-, Unitymedia- und Vodafone-Kunden
Frage von Zorro1199DNS14 Kommentare

Hallo zusammen, wie evaluieren gerade das korrekte Einhalten von DNS-TTLs durch verschiedene Provider. Aktuell suchen wir noch Kunden der ...

Windows Server
Sonntagsfrage: Welchen Sinn seht Ihr noch im Server 2019 Essentials
Frage von ashnodWindows Server13 Kommentare

Guten Morgen, ich habe gestern den Windows Server 2019 Essentials als Trial in einer VM installiert um mir das ...

Windows Server
Windows 2012 R2 - Skript um Druckerkonfiguration auszulesen und zu setzen
gelöst Frage von Der-PhilWindows Server11 Kommentare

Hallo! Kennt ihr eine Möglichkeit, per Skript die Konfiguration eines Druckers auszulesen und auf einen anderen anzuwenden? Hintergrund: Ich ...

Grafik
Viele Fotos organisieren - Windows Dateisystem zu lahm bzw. überfordert
Frage von augustaparkGrafik11 Kommentare

Hallo und Guten Morgen, hat einer eine Idee, wie man viele Fotos sinnvoll und effizient organisieren kann? Wir haben ...