25
Netzwerk vor Fremdrechner schützen
Guten Morgen zusammen
Ich hätte mal eine Frage an euch.
Wie schützt ihr euer Netzwerk vor Fremder Hardware - Laptop, Netbook,....
Mir ist aufgefallen das hin und wieder unsere User ihre privaten rechner in das interne Netzwerk
hängen bzw. Kunden und Dienstleister im Besprechungsraum ihre Geräte anschließen. Diese Rechner holen sich natürlich auch eine IP über den DHCP und somit ist dies eine potentielle Gefahr was Viren, Trojaner,.... angeht.
Klar, man kann den Usern sagen das sie das nicht machen dürfen/unterlassen sollen aber einen 100%igen Schutz ist
dies auch nicht. Sie stöpseln einfach das Gerät an wenn keiner von der IT da ist.
Gibt es irgendwele Tool welche gleich eine Info raus schicken wenn ein Fremdrechner angeschlossen wird bzw.
noch besser wäre das bei einem Fremdrechner eventuell der Lan-Port am Switch deaktiviert wird und der Fremdrechner somit
auch keine IP mehr erhält.
Wir haben 3com - 4500, HP 2810, HP 2848 und HP e2620 Switches im Einsatz.
Vielen Dank im Voraus
Mfg
-s-v-o-
Ich hätte mal eine Frage an euch.
Wie schützt ihr euer Netzwerk vor Fremder Hardware - Laptop, Netbook,....
Mir ist aufgefallen das hin und wieder unsere User ihre privaten rechner in das interne Netzwerk
hängen bzw. Kunden und Dienstleister im Besprechungsraum ihre Geräte anschließen. Diese Rechner holen sich natürlich auch eine IP über den DHCP und somit ist dies eine potentielle Gefahr was Viren, Trojaner,.... angeht.
Klar, man kann den Usern sagen das sie das nicht machen dürfen/unterlassen sollen aber einen 100%igen Schutz ist
dies auch nicht. Sie stöpseln einfach das Gerät an wenn keiner von der IT da ist.
Gibt es irgendwele Tool welche gleich eine Info raus schicken wenn ein Fremdrechner angeschlossen wird bzw.
noch besser wäre das bei einem Fremdrechner eventuell der Lan-Port am Switch deaktiviert wird und der Fremdrechner somit
auch keine IP mehr erhält.
Wir haben 3com - 4500, HP 2810, HP 2848 und HP e2620 Switches im Einsatz.
Vielen Dank im Voraus
Mfg
-s-v-o-
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 191773
Url: https://administrator.de/contentid/191773
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
25 Kommentare
Neuester Kommentar
Moin,
einfach ein "Besucher"-Netzwerk bereitstellen. Darüber können die Privatrechner dann raus, ohne von dir oder dem Chef auf die Finger zu bekommen. Somit nutzen die Kollegen dann doch das lieber *g* so meine Erfahrung.
Oder es gibt keinen DHCP mehr. Nur noch fest zugewiesene IPs.
Für die IT gibt es die DHCP-IP-Range noch, aber die müssen bei euch beantragt werden, sodass ihr diese IPs vergebt. Missrbauch = ende.
Allgemein ist es aber so: Egal ob ein PC ne IP vom Netzwerk hat oder nicht, ist dort ein Virus isses ne Gefahr. Sicherlich schwieriger für das Virus wo anders hinzugelangen, dennoch ist es möglich.
Alternative die mir grad einfällt: Alle Netzwerkkabel die unnötig rumliegen entfernen oder in Besprechungsräumen sind. Wenn eni Meeting stattfindet müssen die sich für die gegeben Anzahl erst die Netzwerkkabel holen. Einer ist Verantwortlich und ihr seht ja wenn ein Fremdrechner im Netz ist an den DHCP leases. Der Computername ist ja nicht so wie euer Standard in der Firma.
Dann bekommt der User erstmal eins auf die Finger.
Ich würde als chef sogar so weit gehen zu sagen dies ist Fahrlässiges Handeln der Firma gegebenüber (Viren können den betrieb lahm legen) abmahnung.
Was meinst du wei schnell das ablässt?
P.S.: LKS das Cat9 kannt ich noch net, hatte grad erstmal tränen in den Augen, das hatte ich überhaupt nicht erwartet
Gruß Zero
einfach ein "Besucher"-Netzwerk bereitstellen. Darüber können die Privatrechner dann raus, ohne von dir oder dem Chef auf die Finger zu bekommen. Somit nutzen die Kollegen dann doch das lieber *g* so meine Erfahrung.
Oder es gibt keinen DHCP mehr. Nur noch fest zugewiesene IPs.
Für die IT gibt es die DHCP-IP-Range noch, aber die müssen bei euch beantragt werden, sodass ihr diese IPs vergebt. Missrbauch = ende.
Allgemein ist es aber so: Egal ob ein PC ne IP vom Netzwerk hat oder nicht, ist dort ein Virus isses ne Gefahr. Sicherlich schwieriger für das Virus wo anders hinzugelangen, dennoch ist es möglich.
Alternative die mir grad einfällt: Alle Netzwerkkabel die unnötig rumliegen entfernen oder in Besprechungsräumen sind. Wenn eni Meeting stattfindet müssen die sich für die gegeben Anzahl erst die Netzwerkkabel holen. Einer ist Verantwortlich und ihr seht ja wenn ein Fremdrechner im Netz ist an den DHCP leases. Der Computername ist ja nicht so wie euer Standard in der Firma.
Dann bekommt der User erstmal eins auf die Finger.
Ich würde als chef sogar so weit gehen zu sagen dies ist Fahrlässiges Handeln der Firma gegebenüber (Viren können den betrieb lahm legen) abmahnung.
Was meinst du wei schnell das ablässt?
P.S.: LKS das Cat9 kannt ich noch net, hatte grad erstmal tränen in den Augen, das hatte ich überhaupt nicht erwartet
Gruß Zero
HeyHo,
die einfachste Möglichkeit - nur die Dosen schalten die wirklich benötigt werden.
Denke nicht das der User das Netzwerkkabel vom Drucker oder seinem Firmen-PC nimmt um den privaten anstecken zu können ...
... oder den DHCP abdrehen
Alternativ wie @Lochkartenstanzer schon schrieb: 802.1X
Normalerweise siehst du ja im DHCP ob ein Gerät im Netz war was nicht dorthin gehört ...
... dann würde ich mal einen Auszug davon machen und dich mit deinem Vorgesetzten zusammen sitzen ...
Cheers
@zanko
die einfachste Möglichkeit -
Denke nicht das der User das Netzwerkkabel vom Drucker oder seinem Firmen-PC nimmt um den privaten anstecken zu können ...
... oder den DHCP abdrehen
Alternativ wie @Lochkartenstanzer schon schrieb: 802.1X
Normalerweise siehst du ja im DHCP ob ein Gerät im Netz war was nicht dorthin gehört ...
... dann würde ich mal einen Auszug davon machen und dich mit deinem Vorgesetzten zusammen sitzen ...
Cheers
@zanko
Zitat von @ColdZero89:
P.S.: LKS das Cat9 kannt ich noch net, hatte grad erstmal tränen in den Augen, das hatte ich überhaupt nicht erwartet
P.S.: LKS das Cat9 kannt ich noch net, hatte grad erstmal tränen in den Augen, das hatte ich überhaupt nicht erwartet
Und das schöne ist, das Cat9 kann man sich selbst bauen, im Gegensatz zu Cat1 bist Cat7. kommt gut, wenn man sowas im Büro hat, so daß es jeder sehen kann.
lks
Nachtrag:
Benötigte Bauteile:
- Genügend Patchkabel nach Bedarf
- Griff für Fahhrradlenker.
Moin,
geben tun tuts des scho, abbaaaa....
das ist nicht mal eben so zusammengezimmert (ich hab da mehr als 6 Monate dran gesessen)
Das gibts aber auch zu kaufen z.B MacMon - afaik ne Nummer die nicht für den kleinen Hartgeldfreier gedacht ist.
Du mußt da Ausnahmen machen:
Mit anderen Worten - das Ding, was ich da gezimmert habe hat ne Lücke - ich kann die Ports an denen das Gast Wlan hängt nicht überwachen - bzw. die Ports nicht abklemmen.
Aber da sowohl der Einrichtungsswitch als auch die Stockwerksverteilung hinter abgeschlossenen Türen stehen ist das (bei uns) nicht so tragisch.
Von daher nimm gleich die 802.1.x Nummer und verzichte auf das abklemmen und mailen.
Gruß
Edit
@ Zanko - 4getit...
Was glaubst du, war bei mir der Grund mir so ne Baustelle anzuschaffen?
Es gibt sogar fredys, die bringen Ihren eigenen kleinen 5er Hub mit....
/edit
edit²
ähh Ihr habt Euch aber von mal den Avatar vom SVO angesehen?
Das ist unbekannter Nummer 1, auch bekannt als Bernie von Bernie und Ert oder Bullzeye....
Der hat das ganze "Spielzeug"
/edit²
geben tun tuts des scho, abbaaaa....
das ist nicht mal eben so zusammengezimmert (ich hab da mehr als 6 Monate dran gesessen)
Das gibts aber auch zu kaufen z.B MacMon - afaik ne Nummer die nicht für den kleinen Hartgeldfreier gedacht ist.
Du mußt da Ausnahmen machen:
- Neue Kiste die du aufsetzen willst
- wenn Ihr ein Gast Wlan habt
Mit anderen Worten - das Ding, was ich da gezimmert habe hat ne Lücke - ich kann die Ports an denen das Gast Wlan hängt nicht überwachen - bzw. die Ports nicht abklemmen.
Aber da sowohl der Einrichtungsswitch als auch die Stockwerksverteilung hinter abgeschlossenen Türen stehen ist das (bei uns) nicht so tragisch.
Von daher nimm gleich die 802.1.x Nummer und verzichte auf das abklemmen und mailen.
Gruß
Edit
@ Zanko - 4getit...
Was glaubst du, war bei mir der Grund mir so ne Baustelle anzuschaffen?
Es gibt sogar fredys, die bringen Ihren eigenen kleinen 5er Hub mit....
/edit
edit²
ähh Ihr habt Euch aber von mal den Avatar vom SVO angesehen?
Das ist unbekannter Nummer 1, auch bekannt als Bernie von Bernie und Ert oder Bullzeye....
Der hat das ganze "Spielzeug"
/edit²
Zitat von @60730:
Das gibts aber auch zu kaufen z.B MacMon - afaik ne Nummer die nicht für den kleinen Hartgeldfreier gedacht ist.
Das gibts aber auch zu kaufen z.B MacMon - afaik ne Nummer die nicht für den kleinen Hartgeldfreier gedacht ist.
- Neue Kiste die du aufsetzen willst
- wenn Ihr ein Gast Wlan habt
macmon ist schon mit das flexibelste und eleganteste System. Aber es hängt wohl von der Netzwerkgröße, Komplexität und dem Sicherheitsbedürfnis ab.
Erzieherisch ist es genial. Der 5er Switch fliegt raus und damit die Kollegen im Büro. Das wirkt erst mal und die Blicke richten sich auf den, der gerade rum murkst. Auch das Umziehen und Mitnehmen von Geräten kann entsprechend gehandhabt werden. Damit werden Drucker nicht mehr ohne Vorwarnung umgeräumt und ähnliches mehr. Und das funktioniert auch mit älternen, nicht 802.1x kompatiblen Systemen.
Vieles läuft über SNMP - und das setzt eine sauber managebare Umgebung voraus.
Gruß
Netman
Zitat von @60730:
Edit
@ Zanko - 4getit...
Was glaubst du, war bei mir der Grund mir so ne Baustelle anzuschaffen?
Es gibt sogar fredys, die bringen Ihren eigenen kleinen 5er Hub mit....
/edit
Edit
@ Zanko - 4getit...
Was glaubst du, war bei mir der Grund mir so ne Baustelle anzuschaffen?
Es gibt sogar fredys, die bringen Ihren eigenen kleinen 5er Hub mit....
/edit
Was du für Fredys hast ;)
Aber solche kenne ich - meistens sind's die Elektriker :D
Aber es gibt ja wie gesagt 802.1X - haben eh schon alle erwähnt :P
Aber ich sag schon nix mehr
Cheers
@zanko
Hallo,
@zanko
sorry, aber das ist mehr als naiv!
Für 19 Euro gibt es im Blödmarkt kleine ungemanagete Switche... oder die alte Fritzbox von zuhause mitbringen und schon haben deine User sogar WLAN...
802.1x ist das schon das Mittel der Wahl.
Daneben natürlich noch schriftliche Vorgaben der Geschäftsleitung was die User dürfen und was nicht...
Mit ensptrechenden konsequenzen:
1. Böser Anruf vom Admin
1a. Abschalten des entsrechenden Switch Ports ohne Vorwahnung...
2. Böser Anschiss vom Chef
3. Abmahnung
@zanko
die einfachste Möglichkeit - nur die Dosen schalten die wirklich benötigt werden.
Denke nicht das der User das Netzwerkkabel vom Drucker oder seinem Firmen-PC nimmt um den privaten anstecken zu können
...
Denke nicht das der User das Netzwerkkabel vom Drucker oder seinem Firmen-PC nimmt um den privaten anstecken zu können
...
sorry, aber das ist mehr als naiv!
Für 19 Euro gibt es im Blödmarkt kleine ungemanagete Switche... oder die alte Fritzbox von zuhause mitbringen und schon haben deine User sogar WLAN...
802.1x ist das schon das Mittel der Wahl.
Daneben natürlich noch schriftliche Vorgaben der Geschäftsleitung was die User dürfen und was nicht...
Mit ensptrechenden konsequenzen:
1. Böser Anruf vom Admin
1a. Abschalten des entsrechenden Switch Ports ohne Vorwahnung...
2. Böser Anschiss vom Chef
3. Abmahnung
802.1x wird genau durch das von brammer erwähnte Szenario: Switche vom Blödmarkt und Fritzbox ausgehebelt. Einmal den Port authentisiert und immer Verbindung für alle angeschlossenen Teilnehmer.
MAC-Security läßt sich nur von einem kleinen Router aushebeln, wobei der ja auch eine eigene MAC hat.
MAC-Security läßt sich nur von einem kleinen Router aushebeln, wobei der ja auch eine eigene MAC hat.
Ich weiß ja nicht wie es bei euch aussieht ...
... aber A) sind unsere User nicht gerade die Computer-Spezis
... und B) wie gesagt wir haben das schon lange so im Einsatz und es funktioniert
... und C) geht es hier ein wenig um die Erziehung der User - das das nicht die beste Lösung ist mit den Port's war mir schon bewusst, jedoch muss man auch dazusagen das in vielen Büro's alle Port's geschalten sind obwohl nie was "Produktives" dran hängt ...
Man muss sich seine User erziehen und wie brammer schon geschrieben hat ...
... Eskalation in die nächste Ebene / Ebenen
In diesem Fall tut es mir leid und ich habe den Punkt gestrichen ...
Cheers
@zanko
Moin,
egal welche Methode man wählt, ohne LART zur Erziehung der USER geht es nicht. Und das wirkungsvollste sind imemr noch Erziehungsmaßnahmen vom Chef.
Das kann natürlich durch 802.1x unterstützt werden.
lks
egal welche Methode man wählt, ohne LART zur Erziehung der USER geht es nicht. Und das wirkungsvollste sind imemr noch Erziehungsmaßnahmen vom Chef.
Das kann natürlich durch 802.1x unterstützt werden.
lks
Moin.
Edit: noch was: schau Dir mal arpwatch an.
somit ist dies eine potentielle Gefahr was Viren, Trojaner,.... angeht.
Auch hier mal ansetzen. Warum ist das denn eine Gefahr? Sind bei Euch Freigaben für das Gastkonto freigegeben? Patcht Ihr nicht? Schwache Kennwörter? Wenn alles "nein", dann kann nur durch Zeroday-Lücken irgendwas reinkommen und die sind doch selten. Nicht selten aus jedermanns Sicht, aber aus meiner.Edit: noch was: schau Dir mal arpwatch an.
Hallo,
@zanko
Sehr vielfältig...
Größtensteils normale User, aber eben auch echte Spezies die wissen was sie machen können...
Aber die sind nicht das Problem, eben weil sie wissen was sie können, aber auch wissen was sie damit anrichten..
Das größte Problem sind die KOllegen die zuhause ihr Netzwerk eingerichtet haben und dieses Wissen auf ihrne Arbeitsplatz projezieren...
das führt dann zu ungemanageten Switchen und Fritzboxen (am besten mit aktivem DHCP...)
brammer
@zanko
Ich weiß ja nicht wie es bei euch aussieht ...
Sehr vielfältig...
Größtensteils normale User, aber eben auch echte Spezies die wissen was sie machen können...
Aber die sind nicht das Problem, eben weil sie wissen was sie können, aber auch wissen was sie damit anrichten..
... aber A) sind unsere User nicht gerade die Computer-Spezis
Das größte Problem sind die KOllegen die zuhause ihr Netzwerk eingerichtet haben und dieses Wissen auf ihrne Arbeitsplatz projezieren...
das führt dann zu ungemanageten Switchen und Fritzboxen (am besten mit aktivem DHCP...)
brammer
Hallo @brammer,
stimmt - da gebe ich dir vollkommen recht.
Aber wie auch lks schrieb - es geht um die Erziehung ...
... wie gesagt ich bin froh und auch dankbar das wir diese Spezis nicht haben ...
... bzw. dahin geleitet habe ihre Neugierde in den Heimnetzen auszutesten
IMHO versuchen die User immer irgendwie es zu schaffen ...
... außer sie werden sensibilisiert und erzogen
Cheers
@zanko
stimmt - da gebe ich dir vollkommen recht.
Aber wie auch lks schrieb - es geht um die Erziehung ...
... wie gesagt ich bin froh und auch dankbar das wir diese Spezis nicht haben ...
... bzw. dahin geleitet habe ihre Neugierde in den Heimnetzen auszutesten
IMHO versuchen die User immer irgendwie es zu schaffen ...
... außer sie werden sensibilisiert und erzogen
Cheers
@zanko
Hallo -s-v-o,
das funktioniert ganz einfach!
Es gibt aber zwei Möglichkeiten, je nach dem wie Du drauf bist, wählst Du Dir eine davon aus.
1. Bau Dir die Cat.9 (Neun neunschwänzige LAN Katze), packe sie Dir in eine Tüte, geh in die Abteilung mach die Tür zu und stell einen Stuhl davor (böse gucken musst Du natürlich auch), so das keiner abhauen kann ;)dann holst Du die CAT.9 LAN Katze aus der Tüte sagst laut mit ernster Stimme: "Die Katze ist aus dem Sack" Und dann musst Du Dir den denjenigen einmal vorknöpfen und Ihn laut fragen ob er die Viren hier eingeschleppt hat!
Falls das nicht wirkt, tja dann eben Plan 2.0!
2.0 Schnappe Dir ein paar Handschuhe sammele den Straßendreck vor Eurem Gebäude auf und packe Ihn in eine Tüte, geh zu dem Unhold und Kippe Ihm den ganzen Dreck auf den Schreibtisch.
Wenn dann jemand fragt was das soll, sagst Du zu Ihm folgendes: "Ihr sammelt den unsichtbaren Dreck im Internet ein und kippt mir den auf/in meinen Arbeitsplatz, das riecht nicht und das kann man auch nicht sehen, aber ich mache es jetzt genau wie Ihr und beschmutze und versaue Euch Euren Arbeitsplatz genauso."
Keine Sorge das funktioniert immer!
Gruß
Dobby
das funktioniert ganz einfach!
Es gibt aber zwei Möglichkeiten, je nach dem wie Du drauf bist, wählst Du Dir eine davon aus.
1. Bau Dir die Cat.9 (Neun neunschwänzige LAN Katze), packe sie Dir in eine Tüte, geh in die Abteilung mach die Tür zu und stell einen Stuhl davor (böse gucken musst Du natürlich auch), so das keiner abhauen kann ;)dann holst Du die CAT.9 LAN Katze aus der Tüte sagst laut mit ernster Stimme: "Die Katze ist aus dem Sack" Und dann musst Du Dir den denjenigen einmal vorknöpfen und Ihn laut fragen ob er die Viren hier eingeschleppt hat!
Falls das nicht wirkt, tja dann eben Plan 2.0!
2.0 Schnappe Dir ein paar Handschuhe sammele den Straßendreck vor Eurem Gebäude auf und packe Ihn in eine Tüte, geh zu dem Unhold und Kippe Ihm den ganzen Dreck auf den Schreibtisch.
Wenn dann jemand fragt was das soll, sagst Du zu Ihm folgendes: "Ihr sammelt den unsichtbaren Dreck im Internet ein und kippt mir den auf/in meinen Arbeitsplatz, das riecht nicht und das kann man auch nicht sehen, aber ich mache es jetzt genau wie Ihr und beschmutze und versaue Euch Euren Arbeitsplatz genauso."
Keine Sorge das funktioniert immer!
Gruß
Dobby
*notiert*
Tüte Dreck in Serverraum stellen
^^
24
Tüte Dreck in Serverraum stellen
^^
24
Moin
Die Katze muß im Arbeitszimemr des Admins oder vor der Tür hängen.
Und wenn man darauf angesprochen wird, kann man die Einsatzzweck des LART herausstellen. Dann wird manches vergehen schon im Vorfeld verhindert.
lks
PS. Es hilft manchmal mit Schaum vor dem Mund mit dem Ding durchs Haus zu rennen und damit wie wild herumzufuchteln.
Die Katze muß im Arbeitszimemr des Admins oder vor der Tür hängen.
Und wenn man darauf angesprochen wird, kann man die Einsatzzweck des LART herausstellen. Dann wird manches vergehen schon im Vorfeld verhindert.
lks
PS. Es hilft manchmal mit Schaum vor dem Mund mit dem Ding durchs Haus zu rennen und damit wie wild herumzufuchteln.
Na ja und wenn er dann statt biologischer doch eine technische Lösung sucht wird er hier fündig:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Da steht genau wie man es wasserdicht richtig macht ! Das supporten sogar seine 3Com und HP Gurken von oben !
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Da steht genau wie man es wasserdicht richtig macht ! Das supporten sogar seine 3Com und HP Gurken von oben !
Guten Morgen zusammen
Vielen dank für die vielen Hinweise.
An einem Besuchernetzwerk sind wir dran jedoch sollen sich natürlich auch nur Besucher
dort einloggen.
Naja, DHCP deaktivieren ist halt auch eine unschöne sache. Bei Änderungen an jeden Rechner rennen, auch
in anderen Standorten....
Den Usern sagen das sie das nicht dürfen kann man 1000 mal. Sie machen es halt wenn keine da ist und über den Rechnername rauszufinden wer das war ist nahezu unmöglich.
An 802.1X hatte ich auch schon gedacht. Hat mich nur interessiert wie ihr das löst.
Macmon ist denke ich für die größe ein bisschen mit Kanonen auf Spatzen geschossen.
@aqui
Die 3com und HP reichen für unsere Zwecke. Dank Citrix haben wir eine Netzwerklast was sogar ein 0815 Switch mitmacht.
@DerWoWusste
Gastkonto ist nicht aktiv jedoch ist (werfe ich mal so in den Raum) die Gefahr von innen was zu erhalten größer als von draußen (Wenn der Antivirus nicht wieder suizid begeht
Also nochmals. Vielen dank. Ich denke es auf auf 802.1X rauslaufen.
Mfg
-s-v-o-
Vielen dank für die vielen Hinweise.
An einem Besuchernetzwerk sind wir dran jedoch sollen sich natürlich auch nur Besucher
dort einloggen.
Naja, DHCP deaktivieren ist halt auch eine unschöne sache. Bei Änderungen an jeden Rechner rennen, auch
in anderen Standorten....
Den Usern sagen das sie das nicht dürfen kann man 1000 mal. Sie machen es halt wenn keine da ist und über den Rechnername rauszufinden wer das war ist nahezu unmöglich.
An 802.1X hatte ich auch schon gedacht. Hat mich nur interessiert wie ihr das löst.
Macmon ist denke ich für die größe ein bisschen mit Kanonen auf Spatzen geschossen.
@aqui
Die 3com und HP reichen für unsere Zwecke. Dank Citrix haben wir eine Netzwerklast was sogar ein 0815 Switch mitmacht.
@DerWoWusste
Gastkonto ist nicht aktiv jedoch ist (werfe ich mal so in den Raum) die Gefahr von innen was zu erhalten größer als von draußen (Wenn der Antivirus nicht wieder suizid begeht
Also nochmals. Vielen dank. Ich denke es auf auf 802.1X rauslaufen.
Mfg
-s-v-o-
Du solltest Dir trotzdem noch eine Cat9 besorgen, wenn du nicht sowas schon hast. Das macht imemr Eindruck, wenn man mit sowas mal auf den Tisch hat, wenn man jemanden erwischt.
lks
Habe ich was viel besseres
Da gibts doch solche Hundehalsbänder bei denen man via Funk elektroschocks verteilen kann.
Das bekommen die User um den Hals die erwischt werden und bei der Fernbedienung wird der Auslöser mit Tesa fixiert
Mfg
-s-v-o-
Da gibts doch solche Hundehalsbänder bei denen man via Funk elektroschocks verteilen kann.
Das bekommen die User um den Hals die erwischt werden und bei der Fernbedienung wird der Auslöser mit Tesa fixiert
Mfg
-s-v-o-
Die (technisch) klassische Lösung mit 802.1x kannst du ja nun oben im Tutorial nachlesen und damit ist technisch alles zur Lösung gesagt....
Denn wenns nun in den Bereich von Flora und Fauna abgleitet bringt das bloss wieder den Biber auf den Plan
Wenns das denn nun war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Denn wenns nun in den Bereich von Flora und Fauna abgleitet bringt das bloss wieder den Biber auf den Plan
Wenns das denn nun war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Network Access Protection - kurz NAP unter W2K8, feine Sache
Hey.
Es kann nun sein dass ich etwas durcheinander werfe, aber ich versuche mich mal:
Konnte man den DHCP Server nicht so einstellen, dass nur an bekannte Rechner (Computerkonten) eine DHCP Adresse vergeben wird?
Klar, der User kann sich dann immer noch eine eigene Adresse ausdenken, aber über die Switche sollte man solche Systeme doch schnell orten können.
Und dann halt direkt Finger ab.
Alternativ kann man auf jeden Port eine Port Security legen (Cisco kann das z.B.).
Wenn da also einmal eine andere MAC als die bekannte senden will wird der Port direkt geblockt.
Und dann weiß man auch direkt, wer es war
Denn genau diese Person wird zeitnah eine Anfrage stellen weil ihr Netzwerk nicht mehr so will...
Sicher ist das keine High End Lösung und diese ist auch leicht zu umgehen, aber dazu bedarf es schon wieder krimineller Energie.
Das ganze gepaart mit 802.1x und vielleicht einer NAP Lösung und das Thema hat sich.
Wer dann die Zeit findet, diese ganzen Mechanismen zu umgehen und dennoch sein Privatnotebook ins Netz zu schleusen,
der kann so oder so direkt entlassen werden. Denn wer soviel Freizeit hat kann ja gar nicht gearbeitet haben.....
Kostenfaktor: Null
Einrichtungsaufwand: Mittel
Erfolgsaussichten: vielversprechend
Gruß
Es kann nun sein dass ich etwas durcheinander werfe, aber ich versuche mich mal:
Konnte man den DHCP Server nicht so einstellen, dass nur an bekannte Rechner (Computerkonten) eine DHCP Adresse vergeben wird?
Klar, der User kann sich dann immer noch eine eigene Adresse ausdenken, aber über die Switche sollte man solche Systeme doch schnell orten können.
Und dann halt direkt Finger ab.
Alternativ kann man auf jeden Port eine Port Security legen (Cisco kann das z.B.).
Wenn da also einmal eine andere MAC als die bekannte senden will wird der Port direkt geblockt.
Und dann weiß man auch direkt, wer es war
Denn genau diese Person wird zeitnah eine Anfrage stellen weil ihr Netzwerk nicht mehr so will...
Sicher ist das keine High End Lösung und diese ist auch leicht zu umgehen, aber dazu bedarf es schon wieder krimineller Energie.
Das ganze gepaart mit 802.1x und vielleicht einer NAP Lösung und das Thema hat sich.
Wer dann die Zeit findet, diese ganzen Mechanismen zu umgehen und dennoch sein Privatnotebook ins Netz zu schleusen,
der kann so oder so direkt entlassen werden. Denn wer soviel Freizeit hat kann ja gar nicht gearbeitet haben.....
Kostenfaktor: Null
Einrichtungsaufwand: Mittel
Erfolgsaussichten: vielversprechend
Gruß
Guten Morgen zusammen
Danke noch für die Hinweise. Da habe ich in nächster Zeit wieder genug arbeit.
Mfg
-s-v-o-
Danke noch für die Hinweise. Da habe ich in nächster Zeit wieder genug arbeit.
Mfg
-s-v-o-
