Durch die manuelle Eingabe einer IP den Zugang zum Netzwerk erlangen - wie verhindern?
Mir ist aufgefallen, dass es bei unserem Unternehmensnetzwerk möglich ist, so ohne weiteres Zugang zum Netzwerk zu erhalten. Man braucht dem Client lediglich eine IP Adresse zu geben, die aktuell nicht von einem Client genutzt wird. Die Vergabe der IPs findet normalerweise über DHCP statt. Die IPs sind des Weiteren im DHCP Pool an die MAC Adresse des Clients gebunden.
Wie verhindert man, dass Mallory Zugang zum Netzwerk erhält, in dem er sich einfach eine IP manuell einträgt? Was ist z.Z. state of the art? Und gibt es eine Möglichkeit ohne jede einzelen IP freizuschalten. Also das ich doch mit einem DHCP Pool arbeiten kann?
Danke für eure Weissheiten ...
Grüsse
c3r3br0
Wie verhindert man, dass Mallory Zugang zum Netzwerk erhält, in dem er sich einfach eine IP manuell einträgt? Was ist z.Z. state of the art? Und gibt es eine Möglichkeit ohne jede einzelen IP freizuschalten. Also das ich doch mit einem DHCP Pool arbeiten kann?
Danke für eure Weissheiten ...
Grüsse
c3r3br0
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 221103
Url: https://administrator.de/forum/durch-die-manuelle-eingabe-einer-ip-den-zugang-zum-netzwerk-erlangen-wie-verhindern-221103.html
Ausgedruckt am: 22.12.2024 um 23:12 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
ersten sollte das wirklich erst mal mit den Usern geklärt werden was erlaubt ist und was nicht.
Dann, mir währ das mit den MAC Adressen schon als Verwaltungsaufwand zu groß, vor allem da Sinnlos.
http://de.wikipedia.org/wiki/MAC-Filter
Infos für dich:
http://technet.microsoft.com/de-de/library/bb632754.aspx
http://de.wikipedia.org/wiki/IEEE_802.1X
ersten sollte das wirklich erst mal mit den Usern geklärt werden was erlaubt ist und was nicht.
Dann, mir währ das mit den MAC Adressen schon als Verwaltungsaufwand zu groß, vor allem da Sinnlos.
http://de.wikipedia.org/wiki/MAC-Filter
Infos für dich:
http://technet.microsoft.com/de-de/library/bb632754.aspx
http://de.wikipedia.org/wiki/IEEE_802.1X
Hallo,
ganz sicher wäre 802.1X und Clients ohne erfolgreicher Authentifizierung in ein (totes) Gäste VLAN zu schieben.
Weniger Aufwand aber auch weniger sicher wäre natürlich die Sache mit den MAC Adressen...
Gruß
win-dozer
ganz sicher wäre 802.1X und Clients ohne erfolgreicher Authentifizierung in ein (totes) Gäste VLAN zu schieben.
Weniger Aufwand aber auch weniger sicher wäre natürlich die Sache mit den MAC Adressen...
Gruß
win-dozer
Wenn 802.1x nicht sauber implementrierbar ist kann man immer noch mittels SNMP und diverser anderer Tools (am Server und Router), das Netzwerk mittels der Layer 2 Switche von ungeliebten Gästen freihalten. Das kann man sogar so weit treiben, dass Anwender ihr VLAN mitziehen können und Fremde in ein isoliertes VLAN kommen. Für Mitarbeteiter mit längeren Urlaubszeitn kann man auch ein update-VLAN planen um dann den aktuellen PC wieder ins Netz aufzunehmen.
Unter dem Stichwort macmon ( http://www.mikado.de/it-sicherheit-mikado-soft/macmon-nac/macmon oder http://www.macmon.eu/) ist das System sogar lernfähig.
Gruß
Netman
Unter dem Stichwort macmon ( http://www.mikado.de/it-sicherheit-mikado-soft/macmon-nac/macmon oder http://www.macmon.eu/) ist das System sogar lernfähig.
Gruß
Netman