MAC Adressen Filter
Hallo ich bin neu hier und hoffe das mit geholfen werden kann.
Mein Problem betrifft hauptsächlich unsere "Internet-Domaine"
Diese ist wie folgt Konfiguriert:
Ein Win 2003 R2 Server der als DomainController, mit AD und DHCP funktioniert.
Und ein Win 2003 R2 Server auf dem WSUS 3.0, Symantec 10.0 und ISA 2006 laufen.
Der DHCP hat für jede zugelassene MAC adresse eine IP Reservierung.
Soweit läuft alles.
Jedoch gibt es noch eine Problematik deren ich einfach nicht Herr werde.
Sobald jemand seinem privaten Notebook, eine IPAdresse aus dem reservierten Bereich gibt (wie er die bekommt ist ja egal ob gehört, Zufall oder erscannt) ist er im Netzwerk.
Den Zugriff auf das Internet könnte ich noch unterbinden durch den ISA, sprich er muss sich an der Domaine anmelden und bekommt von daher keinen Zugriff zum Internet. Aber sämtliche andere Rechner im Netzt sind sogut wie ungeschützt. Die interne Firewall kann man nicht aktivieren weil dann der Symantec streikt ...
So nun zur konkreten Frage.
Gibt es die Möglichkeit zu erzwingen das alle PC im Netzwerk ihre IP über den DHCP beziehen, oder das IP-Adressen sperrt sobald die falsch MAC adresse dahinter ist?
(Mir ist klar das man auch MAC adressen fälschen kann, aber im Moment kann jeder 0815 user sein Notebook ins Netzbringen und das soll ich verhindern.
Mein Problem betrifft hauptsächlich unsere "Internet-Domaine"
Diese ist wie folgt Konfiguriert:
Ein Win 2003 R2 Server der als DomainController, mit AD und DHCP funktioniert.
Und ein Win 2003 R2 Server auf dem WSUS 3.0, Symantec 10.0 und ISA 2006 laufen.
Der DHCP hat für jede zugelassene MAC adresse eine IP Reservierung.
Soweit läuft alles.
Jedoch gibt es noch eine Problematik deren ich einfach nicht Herr werde.
Sobald jemand seinem privaten Notebook, eine IPAdresse aus dem reservierten Bereich gibt (wie er die bekommt ist ja egal ob gehört, Zufall oder erscannt) ist er im Netzwerk.
Den Zugriff auf das Internet könnte ich noch unterbinden durch den ISA, sprich er muss sich an der Domaine anmelden und bekommt von daher keinen Zugriff zum Internet. Aber sämtliche andere Rechner im Netzt sind sogut wie ungeschützt. Die interne Firewall kann man nicht aktivieren weil dann der Symantec streikt ...
So nun zur konkreten Frage.
Gibt es die Möglichkeit zu erzwingen das alle PC im Netzwerk ihre IP über den DHCP beziehen, oder das IP-Adressen sperrt sobald die falsch MAC adresse dahinter ist?
(Mir ist klar das man auch MAC adressen fälschen kann, aber im Moment kann jeder 0815 user sein Notebook ins Netzbringen und das soll ich verhindern.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 95055
Url: https://administrator.de/forum/mac-adressen-filter-95055.html
Ausgedruckt am: 23.12.2024 um 05:12 Uhr
9 Kommentare
Neuester Kommentar
Du hast dem DHCP die MAC-Adressen zugewiesen, das heißt du hast die MAC-Adressen-Filterung aktiv. Demnach kann sich aber nicht jeder x-beliebige einklinken in Netzwerk. Denn er dürfte keine IP bekommen, wenn die MAC nicht übereinstimmt.
Oder hast du die MAC-Adressen-Filterung gar nicht aktiviert ?
Oder hast du die MAC-Adressen-Filterung gar nicht aktiviert ?
Hallo,
das Stichwort "MAC address filter" war schon ganz richtig, nur kann man das nicht auf dem DHCP-Server einzurichten (ein DHCP-Server teilt IP Adressen zu oder nicht zu, aber er kann KEINE FESTEN IP-ADRESSEN sperren).
Den Filter müsstest du auf dem Access-Point (WLAN) bzw. auf eurem Netzwerk-Switch einrichten.
mfg
Harald
das Stichwort "MAC address filter" war schon ganz richtig, nur kann man das nicht auf dem DHCP-Server einzurichten (ein DHCP-Server teilt IP Adressen zu oder nicht zu, aber er kann KEINE FESTEN IP-ADRESSEN sperren).
Den Filter müsstest du auf dem Access-Point (WLAN) bzw. auf eurem Netzwerk-Switch einrichten.
mfg
Harald
Der ISA-Server ist ein Windows-basiertes Proxy- und Firewall-System. Du würdest also den ISA-Server (mit zwei Netzwerkkarten) zwischen den Server und den Rest des Netzwerkes setzen. Damit kann kein Verkehr zum Server gelangen, der nicht über den ISA fließt. Dann legst Du in den Firewall-Regeln des ISA fest, daß nur die von Dir vorgegebenen MAC-Adressen passieren dürfen.
Du kannst auch eine dritte Netzwerkarte einbauen und darüber Dein Internet laufen lassen. Dann kannst Du auch für den Internetzugriff noch mal sehr flexible Firewall-Regeln anlegen und kannst auch die Funktionalität des ISA als Proxyserver (zwischenspeichern von häufig genutzten Internetseiten) nutzen.
Von den renommierten Herstellen von Anti-Viren-Software gibt es übrigens auch Plugins für den ISA, so daß der Datenstrom aus dem Internet an zentraler Stelle geprüft wird.
Du kannst auch eine dritte Netzwerkarte einbauen und darüber Dein Internet laufen lassen. Dann kannst Du auch für den Internetzugriff noch mal sehr flexible Firewall-Regeln anlegen und kannst auch die Funktionalität des ISA als Proxyserver (zwischenspeichern von häufig genutzten Internetseiten) nutzen.
Von den renommierten Herstellen von Anti-Viren-Software gibt es übrigens auch Plugins für den ISA, so daß der Datenstrom aus dem Internet an zentraler Stelle geprüft wird.
Moin,
was Du suchst ist eingentlich ein Switch mit 802.1X Unterstützung. (http://de.wikipedia.org/wiki/802.1x) )
Damit muss sich der Client am Switch authentifizieren, noch bevor das erste Paket verschickt wird.
lg,
Slainte
was Du suchst ist eingentlich ein Switch mit 802.1X Unterstützung. (http://de.wikipedia.org/wiki/802.1x) )
Damit muss sich der Client am Switch authentifizieren, noch bevor das erste Paket verschickt wird.
lg,
Slainte