marco167
Goto Top

IP Zuweisung für User mit eigenem Notebook verhindern

Hallo,

folgende Situation: Netzwerk mit WIN2K Server und Domäne. Großteil der Clients (WINXP/WIN2K) gehen direkt über den Router ins Internet. Ein Client (WIN2K) darf nur über einen Proxy, der nur bestimmte Seiten frei gibt (ist von unserer übergeordneten Dienststelle so vorgeschrieben). Der WIN2K Server vergibt auch an alle Clients die IPs via DHCP.
Jetzt besteht folgende Problematik - ein User zieht das Netzwerkkabel von o.g. Client ab und stöppselt es in sein privates Notebook das z.B. unter XPhome läuft und bekommt vom DHCP aber brav eine IP zugewiesen - damit kanner zwar nicht auf die Daten in unserem Netzwerk zugreifen (er hat kein passendes Paßort), aber er kann den Proxy umgehen und surft frei, was nicht gewollt ist. Die Verwendung von privaten Notebooks ist zwar nicht gestattet, aber ich habe keine Lust in der Nacht (wir haben 24-Stunden Betrieb) Stichproben durchzuführen, sondern das Ganze einfach unterbinden. Der Router hat leider keinen MAC-Filter und unter WIN2K Server habe ich im DHCP nix gefunden.
Wer hat eine Idee? Ich habe schon überlegt das Netzwerkkabel mit Sekundenkleber zu fixieren face-smile)

Grüßle

Marco

Content-ID: 28045

Url: https://administrator.de/contentid/28045

Ausgedruckt am: 22.11.2024 um 20:11 Uhr

27119
27119 23.03.2006 um 13:00:06 Uhr
Goto Top
Schreit förmlich nach 802.1X!
Damit hast du die totale Kontrolle darüber, wer sich ans Netz anstöpselt, und was er darf.
Marco167
Marco167 23.03.2006 um 13:38:07 Uhr
Goto Top
Danke mal für die schnelle Antwort,

gibts da ne HOWTO? Habe mich bisher mit dem Thema noch nicht beschäftigt.

Grüßle

Marco
ITwissen
ITwissen 23.03.2006 um 13:38:49 Uhr
Goto Top
Das ist sicher die ultimativ sicherste und aufwendigste Loesung. face-smile

Jemand der sich mit dem Netzwerk auskennt schreckt das zwar nicht, aber ein erster Schritt waere das dynamischen DHCP abzustellen und jedem festen Rechner eine statische IP via DHCP zu geben. Dann bekommt der fremde Laptop zumindest mal automatisch keine IP.

Umgekehrt kannst du auch die MAC Adressen der fremden Laptops sammeln und sie via DHCP ins IP Nirvana schicken face-smile
27119
27119 23.03.2006 um 13:40:28 Uhr
Goto Top
Naja, ganz ohne DHCP wird man täglich mit IP Konflikten zu kämpfen haben.
Marco167
Marco167 23.03.2006 um 13:51:51 Uhr
Goto Top
Und nur weil er keine IP zugewiesen bekommt kann er ja doch die Eigenschaften der Netzwerkverbindung am Client auslesen und hat dann alles was er braucht, oder?
ITwissen
ITwissen 23.03.2006 um 13:54:47 Uhr
Goto Top
Ich sagte ja nicht DHCP ganz abstellen. Nur den dynamischen Teil abstellen.

Es gibt ja zwei Teile im DHCP :
1. Einmal wird die IP Adresse anhand der MAC ausgesucht, jedesmal die gleiche IP fuer die gleiche MAC-Adresse.
2. Die dynamische Zuweisung mit einem Pool von IP-Adressen, die einfach auf Anfrage zugewiesen werden, es besteht also keine fest Verbindung zwischen MAC und IP.

Wenn du 2. abschaltest (bzw. auf 1 umstellst) gibt es fuer fremde MAC Adressen keine IP mehr.

Natuerlich kann der User die IP auf seinem Laptop noch manuell einstellen.
ITwissen
ITwissen 23.03.2006 um 13:55:32 Uhr
Goto Top
Ich sagte ja, wenn sich jemand auskennt, ist das kein guter Schutz.
Metzger-MCP
Metzger-MCP 23.03.2006 um 14:32:14 Uhr
Goto Top
Hat mal wieder mein Text nicht angenommen
27119
27119 23.03.2006 um 14:33:46 Uhr
Goto Top
Jo. Sicherheit kann man mit DHCP Optionen nicht erzwingen.

802.1X ist schon bissi aufwendig (bzw. wirkt erstmal aufwendig).
Die Hardware (Switches) muss es unterstützen.

Ansonsten gibt es ausfürliche dt. Anleitungen in der Microsaft Technet wo alles
haarklein erläutert wird. IAS Einsatz als Radiusserver u. die verschiedenen Möglichkeiten wie man das ganze steuern kann bzw. verschiedene Authentifizierungs Protokolle beschrieben (EAP LEAP usw usw.)

Hängt halt auch von der Grösse des Netzwerks ab, und den Fähigkeiten der bestehenden Hardware (Switches) wie aufwendig das ganze wird....

Bei Cisco Switches gibts unabhängig davon die Möglichkeit mit port-security nur bestimmte MACs an Switchports zu erlauben. Und wenn sich ein nicht genehmigter anstöpselt, gibts einen SNMP Trap und der Port geht "secure down". Wird wieder ein "genehmigter" PC an den Port angeschlossen geht der Port wieder up. Ist aber bei einem grossen Netz zu fummelig. Da ist 802.1X besser.
Metzger-MCP
Metzger-MCP 23.03.2006 um 17:19:42 Uhr
Goto Top
Das ändern von dynamischen in statische IP Addis beim DHCP nennt man "reservieren".
Dies geschieht durch direktes zuweisen von IP's zu Mac's.

Wenn du nun her gehst, und alle MAC-Addressen der Firmengeräte in die Liste der Reservierungen passend in den DHCP-Bereich einträgst, bekommen alle Firmengeräte eine passende DHCP Konfiguration zugeteilt. Die IP-Zuteilung läuft dann zentralgesteuert und vor allem sauber ab. Wer hier mit Sinn und Verstand ran geht, macht sich das Leben einfach face-smile. Tipp als erst die Server, dann alle Drucker, dann Abteilungsweise den Rest. Mann kann sich ja dabei Reserven mit rein reservieren. Die Geräteanzahl sollte jeder Admin ja kennen und somit auch die Anzahl der Reservierungen.

z.b.
192.168.123.1 - 7 Server
192.168.123.8 - 9 Server Reservierungen durch Vergabe von falschen Macs
192.168.123.10 - 30 Drucker
192.168.123.31 - 39 Drucker Reservierungen durch Vergabe von falschen Macs
192.168.123.40 - 47 EDV
192.168.123.48 - 50 EDV Reservierungen durch Vergabe von falschen Macs
192.168.123.52 - x Andere Abteilungen und andere Reserven-Reservierungen


Nun die "netten freundlichen Dinge" der Admins oder anders formuliert, wie lege ich einen Honeypott aus und fange meine Pappenheimer.

Konfiguriere wie oben beschrieben den DHCP-Bereich sauber durch. Füge aber am Ende noch 10 weiter Addis funktionierend hinzu. Warum ? Das ist unsinnig und macht kein Sinn ?

Doch das macht es, weil genau hier der Honeypot liegt. Die EDV-Geräte die zum Firmenstamm gehören, bekommen alle Ihre Konfigurationen aus dem Bereich bis x zugewiesen. Wenn nun ein fremdes Gerät in das Netz kommt, bekommt dieses nun eine IP-Addressenkonfiguration genau aus dem Honeypott Bereich zugewiesen. Der User ahnt natürlich nicht daß er soeben ertappt wurde, da ja alles für Ihn funktioniert. Der Admin bekommt dies natürlich mit, da er es im DHCP ja nachsehen kann, ob jemand aus dem Honeypott eine Konfiguration bekommen hat. face-smile Bei einem Fremdgerät im Netz, bekommt man natürlich die Mac-Addresse und auch die Uhrzeit vom DHCP mitgeteilt. Das Nachschauen dauert keine 5min.

Falls einer die Daten kopiert, und sie dann anschließend an einem Fremdgerät verwenden, bekommt man leider durch die obigen Methode nicht mit, aber dafür gibt es auch einfache Lösungen. z.b. als Stichpunktartige Aufzählung

ARP Cache automatisch jede 5 Minuten in eine TXT Datei schreiben lassen.
Alle doppelten Einträge entfernen, so daß immer nur eine einzelne Mac - IP Kombinationen gleicher Kombi übrig bleibt. Diese Liste mit der bekannten Reservierten Mac-Liste vergleichen. Jede IP - MAC Kombination die es eigentlich nicht geben darf, weist ebenfalls auf ein Fremdgerät hin. Es lebe Excel und der Cronjob face-smile

Mfg Metzger
djbrandt
djbrandt 23.03.2006 um 21:51:28 Uhr
Goto Top
Hi,

neben 802.1X gibt es noch eine andere Lösung:

alle Clients browsen über den Proxy face-smile
über die User-Authentifizierung wird bestimmt ob er frei im WWW browsen darf oder limitiert.


Grüße

Dieter
Metzger-MCP
Metzger-MCP 24.03.2006 um 11:04:55 Uhr
Goto Top
Trage ich aber ein anderen Proxy ein könnte ich auch so schon im inet sein.

Mfg Metzger
djbrandt
djbrandt 24.03.2006 um 13:31:27 Uhr
Goto Top
Wieso anderen Proxy eintragen?

Der direkte Zugang zum WWW über den Router wird gesperrt und es gibt einen Proxy, der ins WWW darf.

Da gibt es genügend "out of the box"-Lösungen für kleine bis mittlere Unternehmen, die Proxy und Firewall mit den entsprechenden Zugangskontrollen im Bauch haben, inklusive White- & Blacklists.


Grüße

Dieter