Netzwerk absichern vor fremder Hardware Ports sperren RJ45
Hallo zusammen,
ich suche eine Lösung, die Netzwerke absichert vor unerlaubten Zugriff.
Sobald ein User ein unbekanntes Gerät ins Netzerk einbinden möchte (z.B. per RJ45-Stecker), soll der entsprechende RH45-Stecker geblockt werden. Identifizierung des Gerätes via MAC-Adresse. Der Port / Stecker soll dannmanuell wieder aktiviert (freigeschaltet) werden.
Welche guten Lösungen kennt Ihr?
- Marktführer?
- OpenSource-Lösungen?
Vielen Dank und beste Grüße
juadmx
ich suche eine Lösung, die Netzwerke absichert vor unerlaubten Zugriff.
Sobald ein User ein unbekanntes Gerät ins Netzerk einbinden möchte (z.B. per RJ45-Stecker), soll der entsprechende RH45-Stecker geblockt werden. Identifizierung des Gerätes via MAC-Adresse. Der Port / Stecker soll dannmanuell wieder aktiviert (freigeschaltet) werden.
Welche guten Lösungen kennt Ihr?
- Marktführer?
- OpenSource-Lösungen?
Vielen Dank und beste Grüße
juadmx
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 43180029163
Url: https://administrator.de/forum/netzwerk-absichern-vor-fremder-hardware-ports-sperren-rj45-43180029163.html
Ausgedruckt am: 30.12.2024 um 17:12 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
was ist mit Port Security auf deinem Switch? https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4000/8-2glx/c ...
Das ist doch am naheliegendsten, wenn du nach MAC-Adressen filtern willst.
Dass das keine gute (und sichere) Idee ist, weil diese einfach geändert werden können, weißt du sicher. Ein Zugriff nach Authentifizierung über Zertifikate o.ä. mit RADIUS wäre deutlich sinnvoller und zielführender.
Grüße
tomolpi
was ist mit Port Security auf deinem Switch? https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4000/8-2glx/c ...
Das ist doch am naheliegendsten, wenn du nach MAC-Adressen filtern willst.
Dass das keine gute (und sichere) Idee ist, weil diese einfach geändert werden können, weißt du sicher. Ein Zugriff nach Authentifizierung über Zertifikate o.ä. mit RADIUS wäre deutlich sinnvoller und zielführender.
Grüße
tomolpi
Wir haben eine deutsche Lösung im Einsatz:
arp-guard.com/de
Man kann sich schön das Regelwerk zusammenklicken.
arp-guard.com/de
Man kann sich schön das Regelwerk zusammenklicken.
ich suche eine Lösung, die Netzwerke absichert vor unerlaubten Zugriff.
Einfach mal die Suchfunktion hier benutzen...Freeradius Management mit WebGUI ....und die weiterführenden Links am Schluss! 😉
Ich würde mir nur eines überlegen - die MACs können sich halt auch ändern. Das macht der Anwender nicht mal böse, bewusst oder sonstwie - sondern weil das OS meint die Privacy-Funktion wieder einzuschalten.
Es kommt hier eher auf die Grössenordnung an - redest du da in nem kleinem Bereich kein Ding, kann man dann manuell machen. Redest du bei nem Konzern von einigen 100.000 Geräten willst du den Weg nicht mehr wirklich gehen.
Es kommt hier eher auf die Grössenordnung an - redest du da in nem kleinem Bereich kein Ding, kann man dann manuell machen. Redest du bei nem Konzern von einigen 100.000 Geräten willst du den Weg nicht mehr wirklich gehen.
Moin,
wir nutzen MACMON NAC in Kombination mit Gehirn. Letzteres heißt, dass nur Dosen gepatched sind, die auch in Verwendung sind.. In unser Konfiguration blockiert das System fremde MAC-Adressen im Netzwerk. Andere Möglichkeiten, wie z. B. in definierte VLANs verschieben, ist aber auch möglich. Bei Änderung der Dose, wird ebenfalls eine Nachricht erzeugt. Ausnahme sind die Anschüsse zu den virtuellen Servern. Hier sind IP-Adressen und Ports hinterlegt, bei denen ein MAC-Adressenwechsel akzeptiert wird.
Gruß
Doskias
wir nutzen MACMON NAC in Kombination mit Gehirn. Letzteres heißt, dass nur Dosen gepatched sind, die auch in Verwendung sind.. In unser Konfiguration blockiert das System fremde MAC-Adressen im Netzwerk. Andere Möglichkeiten, wie z. B. in definierte VLANs verschieben, ist aber auch möglich. Bei Änderung der Dose, wird ebenfalls eine Nachricht erzeugt. Ausnahme sind die Anschüsse zu den virtuellen Servern. Hier sind IP-Adressen und Ports hinterlegt, bei denen ein MAC-Adressenwechsel akzeptiert wird.
Zitat von @maretz:
Ich würde mir nur eines überlegen - die MACs können sich halt auch ändern. Das macht der Anwender nicht mal böse, bewusst oder sonstwie - sondern weil das OS meint die Privacy-Funktion wieder einzuschalten.
Nö . Wir nutzen das System seit nun 7 Jahren und hatten noch nicht einen Client, der wg. Privacy-Funktionen ausgeschlossen wurde. Theoretisch kann das passieren und bei Apple- bzw. Samsung-Geräten wohl deutlich häufiger als bei Windows-Geräten. Liegt vielleicht daran, dass wir ein homogenes Windows-Clients-Only-Netzwerk damit überwachen.Ich würde mir nur eines überlegen - die MACs können sich halt auch ändern. Das macht der Anwender nicht mal böse, bewusst oder sonstwie - sondern weil das OS meint die Privacy-Funktion wieder einzuschalten.
Gruß
Doskias
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt markieren!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?