-s-v-o-
Goto Top

Netzwerk vor Fremdrechner schützen

Guten Morgen zusammen

Ich hätte mal eine Frage an euch.

Wie schützt ihr euer Netzwerk vor Fremder Hardware - Laptop, Netbook,....

Mir ist aufgefallen das hin und wieder unsere User ihre privaten rechner in das interne Netzwerk
hängen bzw. Kunden und Dienstleister im Besprechungsraum ihre Geräte anschließen. Diese Rechner holen sich natürlich auch eine IP über den DHCP und somit ist dies eine potentielle Gefahr was Viren, Trojaner,.... angeht.
Klar, man kann den Usern sagen das sie das nicht machen dürfen/unterlassen sollen aber einen 100%igen Schutz ist
dies auch nicht. Sie stöpseln einfach das Gerät an wenn keiner von der IT da ist.

Gibt es irgendwele Tool welche gleich eine Info raus schicken wenn ein Fremdrechner angeschlossen wird bzw.
noch besser wäre das bei einem Fremdrechner eventuell der Lan-Port am Switch deaktiviert wird und der Fremdrechner somit
auch keine IP mehr erhält.
Wir haben 3com - 4500, HP 2810, HP 2848 und HP e2620 Switches im Einsatz.

Vielen Dank im Voraus

Mfg
-s-v-o-

Content-ID: 191773

Url: https://administrator.de/forum/netzwerk-vor-fremdrechner-schuetzen-191773.html

Ausgedruckt am: 26.12.2024 um 01:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 25.09.2012 aktualisiert um 10:47:06 Uhr
Goto Top
Moin,

da gibt es mehrere Methoden:


lks

Nachtrag:

Deine Switche sollten 802.1x können, mindestens 2 davon.
ColdZero89
ColdZero89 25.09.2012 aktualisiert um 10:27:23 Uhr
Goto Top
Moin,

einfach ein "Besucher"-Netzwerk bereitstellen. Darüber können die Privatrechner dann raus, ohne von dir oder dem Chef auf die Finger zu bekommen. Somit nutzen die Kollegen dann doch das lieber *g* so meine Erfahrung.

Oder es gibt keinen DHCP mehr. Nur noch fest zugewiesene IPs.
Für die IT gibt es die DHCP-IP-Range noch, aber die müssen bei euch beantragt werden, sodass ihr diese IPs vergebt. Missrbauch = ende.

Allgemein ist es aber so: Egal ob ein PC ne IP vom Netzwerk hat oder nicht, ist dort ein Virus isses ne Gefahr. Sicherlich schwieriger für das Virus wo anders hinzugelangen, dennoch ist es möglich.
Alternative die mir grad einfällt: Alle Netzwerkkabel die unnötig rumliegen entfernen oder in Besprechungsräumen sind. Wenn eni Meeting stattfindet müssen die sich für die gegeben Anzahl erst die Netzwerkkabel holen. Einer ist Verantwortlich und ihr seht ja wenn ein Fremdrechner im Netz ist an den DHCP leases. Der Computername ist ja nicht so wie euer Standard in der Firma.
Dann bekommt der User erstmal eins auf die Finger.
Ich würde als chef sogar so weit gehen zu sagen dies ist Fahrlässiges Handeln der Firma gegebenüber (Viren können den betrieb lahm legen) abmahnung.

Was meinst du wei schnell das ablässt? face-smile

P.S.: LKS das Cat9 kannt ich noch net, hatte grad erstmal tränen in den Augen, das hatte ich überhaupt nicht erwartet face-big-smile

Gruß Zero
kontext
kontext 25.09.2012 aktualisiert um 12:58:45 Uhr
Goto Top
HeyHo,

die einfachste Möglichkeit - nur die Dosen schalten die wirklich benötigt werden.
Denke nicht das der User das Netzwerkkabel vom Drucker oder seinem Firmen-PC nimmt um den privaten anstecken zu können ...
... oder den DHCP abdrehen

Alternativ wie @Lochkartenstanzer schon schrieb: 802.1X
Normalerweise siehst du ja im DHCP ob ein Gerät im Netz war was nicht dorthin gehört ...
... dann würde ich mal einen Auszug davon machen und dich mit deinem Vorgesetzten zusammen sitzen ...

Cheers
@zanko
Lochkartenstanzer
Lochkartenstanzer 25.09.2012 aktualisiert um 10:41:52 Uhr
Goto Top
Zitat von @ColdZero89:
P.S.: LKS das Cat9 kannt ich noch net, hatte grad erstmal tränen in den Augen, das hatte ich überhaupt nicht erwartet

Und das schöne ist, das Cat9 kann man sich selbst bauen, im Gegensatz zu Cat1 bist Cat7. kommt gut, wenn man sowas im Büro hat, so daß es jeder sehen kann. face-smile

lks

Nachtrag:

Benötigte Bauteile:

  • Genügend Patchkabel nach Bedarf
  • Griff für Fahhrradlenker.
60730
60730 25.09.2012 aktualisiert um 10:54:44 Uhr
Goto Top
Moin,

geben tun tuts des scho, abbaaaa....

das ist nicht mal eben so zusammengezimmert (ich hab da mehr als 6 Monate dran gesessen)
Das gibts aber auch zu kaufen z.B MacMon - afaik ne Nummer die nicht für den kleinen Hartgeldfreier gedacht ist.

Du mußt da Ausnahmen machen:

  • Neue Kiste die du aufsetzen willst face-wink
  • wenn Ihr ein Gast Wlan habt face-wink

Mit anderen Worten - das Ding, was ich da gezimmert habe hat ne Lücke - ich kann die Ports an denen das Gast Wlan hängt nicht überwachen - bzw. die Ports nicht abklemmen.

Aber da sowohl der Einrichtungsswitch als auch die Stockwerksverteilung hinter abgeschlossenen Türen stehen ist das (bei uns) nicht so tragisch.

Von daher nimm gleich die 802.1.x Nummer und verzichte auf das abklemmen und mailen.

Gruß

Edit
@ Zanko - 4getit...
Was glaubst du, war bei mir der Grund mir so ne Baustelle anzuschaffen?
Es gibt sogar fredys, die bringen Ihren eigenen kleinen 5er Hub mit....

/edit

edit²

ähh Ihr habt Euch aber von mal den Avatar vom SVO angesehen?
Das ist unbekannter Nummer 1, auch bekannt als Bernie von Bernie und Ert oder Bullzeye....
Der hat das ganze "Spielzeug"
/edit²
MrNetman
MrNetman 25.09.2012 um 10:58:50 Uhr
Goto Top
Zitat von @60730:
Das gibts aber auch zu kaufen z.B MacMon - afaik ne Nummer die nicht für den kleinen Hartgeldfreier gedacht ist.
  • Neue Kiste die du aufsetzen willst face-wink
  • wenn Ihr ein Gast Wlan habt face-wink

macmon ist schon mit das flexibelste und eleganteste System. Aber es hängt wohl von der Netzwerkgröße, Komplexität und dem Sicherheitsbedürfnis ab.
Erzieherisch ist es genial. Der 5er Switch fliegt raus und damit die Kollegen im Büro. Das wirkt erst mal und die Blicke richten sich auf den, der gerade rum murkst. Auch das Umziehen und Mitnehmen von Geräten kann entsprechend gehandhabt werden. Damit werden Drucker nicht mehr ohne Vorwarnung umgeräumt und ähnliches mehr. Und das funktioniert auch mit älternen, nicht 802.1x kompatiblen Systemen.

Vieles läuft über SNMP - und das setzt eine sauber managebare Umgebung voraus.

Gruß
Netman
kontext
kontext 25.09.2012 aktualisiert um 11:05:21 Uhr
Goto Top
Zitat von @60730:
Edit
@ Zanko - 4getit...
Was glaubst du, war bei mir der Grund mir so ne Baustelle anzuschaffen?
Es gibt sogar fredys, die bringen Ihren eigenen kleinen 5er Hub mit....

/edit


Was du für Fredys hast ;)
Aber solche kenne ich - meistens sind's die Elektriker :D

Aber es gibt ja wie gesagt 802.1X - haben eh schon alle erwähnt :P
Aber ich sag schon nix mehr face-smile

Cheers
@zanko
brammer
brammer 25.09.2012 um 12:30:42 Uhr
Goto Top
Hallo,

@zanko

die einfachste Möglichkeit - nur die Dosen schalten die wirklich benötigt werden.
Denke nicht das der User das Netzwerkkabel vom Drucker oder seinem Firmen-PC nimmt um den privaten anstecken zu können
...

sorry, aber das ist mehr als naiv!
Für 19 Euro gibt es im Blödmarkt kleine ungemanagete Switche... oder die alte Fritzbox von zuhause mitbringen und schon haben deine User sogar WLAN...

802.1x ist das schon das Mittel der Wahl.
Daneben natürlich noch schriftliche Vorgaben der Geschäftsleitung was die User dürfen und was nicht...
Mit ensptrechenden konsequenzen:

1. Böser Anruf vom Admin
1a. Abschalten des entsrechenden Switch Ports ohne Vorwahnung...
2. Böser Anschiss vom Chef
3. Abmahnung
MrNetman
MrNetman 25.09.2012 um 12:40:46 Uhr
Goto Top
802.1x wird genau durch das von brammer erwähnte Szenario: Switche vom Blödmarkt und Fritzbox ausgehebelt. Einmal den Port authentisiert und immer Verbindung für alle angeschlossenen Teilnehmer.
MAC-Security läßt sich nur von einem kleinen Router aushebeln, wobei der ja auch eine eigene MAC hat.
kontext
kontext 25.09.2012 um 12:57:47 Uhr
Goto Top
Zitat von @brammer:
sorry, aber das ist mehr als naiv!

Ich weiß ja nicht wie es bei euch aussieht ...
... aber A) sind unsere User nicht gerade die Computer-Spezis
... und B) wie gesagt wir haben das schon lange so im Einsatz und es funktioniert
... und C) geht es hier ein wenig um die Erziehung der User - das das nicht die beste Lösung ist mit den Port's war mir schon bewusst, jedoch muss man auch dazusagen das in vielen Büro's alle Port's geschalten sind obwohl nie was "Produktives" dran hängt ...

Man muss sich seine User erziehen und wie brammer schon geschrieben hat ...
... Eskalation in die nächste Ebene / Ebenen

In diesem Fall tut es mir leid und ich habe den Punkt gestrichen ...

Cheers
@zanko
Lochkartenstanzer
Lochkartenstanzer 25.09.2012 um 13:15:06 Uhr
Goto Top
Moin,

egal welche Methode man wählt, ohne LART zur Erziehung der USER geht es nicht. Und das wirkungsvollste sind imemr noch Erziehungsmaßnahmen vom Chef.

Das kann natürlich durch 802.1x unterstützt werden.

lks
DerWoWusste
DerWoWusste 25.09.2012 aktualisiert um 13:18:07 Uhr
Goto Top
Moin.

somit ist dies eine potentielle Gefahr was Viren, Trojaner,.... angeht.
Auch hier mal ansetzen. Warum ist das denn eine Gefahr? Sind bei Euch Freigaben für das Gastkonto freigegeben? Patcht Ihr nicht? Schwache Kennwörter? Wenn alles "nein", dann kann nur durch Zeroday-Lücken irgendwas reinkommen und die sind doch selten. Nicht selten aus jedermanns Sicht, aber aus meiner.

Edit: noch was: schau Dir mal arpwatch an.
brammer
brammer 25.09.2012 um 13:40:37 Uhr
Goto Top
Hallo,

@zanko
Ich weiß ja nicht wie es bei euch aussieht ...

Sehr vielfältig...
Größtensteils normale User, aber eben auch echte Spezies die wissen was sie machen können...
Aber die sind nicht das Problem, eben weil sie wissen was sie können, aber auch wissen was sie damit anrichten..

... aber A) sind unsere User nicht gerade die Computer-Spezis

Das größte Problem sind die KOllegen die zuhause ihr Netzwerk eingerichtet haben und dieses Wissen auf ihrne Arbeitsplatz projezieren...
das führt dann zu ungemanageten Switchen und Fritzboxen (am besten mit aktivem DHCP...)

brammer
kontext
kontext 25.09.2012 um 13:45:34 Uhr
Goto Top
Hallo @brammer,

stimmt - da gebe ich dir vollkommen recht.
Aber wie auch lks schrieb - es geht um die Erziehung ...
... wie gesagt ich bin froh und auch dankbar das wir diese Spezis nicht haben ...
... bzw. dahin geleitet habe ihre Neugierde in den Heimnetzen auszutesten face-smile

IMHO versuchen die User immer irgendwie es zu schaffen ...
... außer sie werden sensibilisiert und erzogen

Cheers
@zanko
108012
108012 25.09.2012 um 17:26:34 Uhr
Goto Top
Hallo -s-v-o,

das funktioniert ganz einfach!
Es gibt aber zwei Möglichkeiten, je nach dem wie Du drauf bist, wählst Du Dir eine davon aus.


1. Bau Dir die Cat.9 (Neun neunschwänzige LAN Katze), packe sie Dir in eine Tüte, geh in die Abteilung mach die Tür zu und stell einen Stuhl davor (böse gucken musst Du natürlich auch), so das keiner abhauen kann ;)dann holst Du die CAT.9 LAN Katze aus der Tüte sagst laut mit ernster Stimme: "Die Katze ist aus dem Sack" Und dann musst Du Dir den denjenigen einmal vorknöpfen und Ihn laut fragen ob er die Viren hier eingeschleppt hat!

Falls das nicht wirkt, tja dann eben Plan 2.0!

2.0 Schnappe Dir ein paar Handschuhe sammele den Straßendreck vor Eurem Gebäude auf und packe Ihn in eine Tüte, geh zu dem Unhold und Kippe Ihm den ganzen Dreck auf den Schreibtisch.

Wenn dann jemand fragt was das soll, sagst Du zu Ihm folgendes: "Ihr sammelt den unsichtbaren Dreck im Internet ein und kippt mir den auf/in meinen Arbeitsplatz, das riecht nicht und das kann man auch nicht sehen, aber ich mache es jetzt genau wie Ihr und beschmutze und versaue Euch Euren Arbeitsplatz genauso."

Keine Sorge das funktioniert immer!

Gruß
Dobby
2hard4you
2hard4you 25.09.2012 um 17:55:58 Uhr
Goto Top
*notiert*

Tüte Dreck in Serverraum stellen

^^

24
Lochkartenstanzer
Lochkartenstanzer 25.09.2012 um 18:06:15 Uhr
Goto Top
Moin

Die Katze muß im Arbeitszimemr des Admins oder vor der Tür hängen.

Und wenn man darauf angesprochen wird, kann man die Einsatzzweck des LART herausstellen. Dann wird manches vergehen schon im Vorfeld verhindert.

lks


PS. Es hilft manchmal mit Schaum vor dem Mund mit dem Ding durchs Haus zu rennen und damit wie wild herumzufuchteln. face-smile
aqui
aqui 25.09.2012, aktualisiert am 28.09.2012 um 13:45:26 Uhr
Goto Top
Na ja und wenn er dann statt biologischer doch eine technische Lösung sucht wird er hier fündig:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Da steht genau wie man es wasserdicht richtig macht ! Das supporten sogar seine 3Com und HP Gurken von oben !
-s-v-o-
-s-v-o- 26.09.2012 um 10:03:45 Uhr
Goto Top
Guten Morgen zusammen

Vielen dank für die vielen Hinweise.
An einem Besuchernetzwerk sind wir dran jedoch sollen sich natürlich auch nur Besucher
dort einloggen.

Naja, DHCP deaktivieren ist halt auch eine unschöne sache. Bei Änderungen an jeden Rechner rennen, auch
in anderen Standorten....

Den Usern sagen das sie das nicht dürfen kann man 1000 mal. Sie machen es halt wenn keine da ist und über den Rechnername rauszufinden wer das war ist nahezu unmöglich.

An 802.1X hatte ich auch schon gedacht. Hat mich nur interessiert wie ihr das löst.

Macmon ist denke ich für die größe ein bisschen mit Kanonen auf Spatzen geschossen.

@aqui
Die 3com und HP reichen für unsere Zwecke. Dank Citrix haben wir eine Netzwerklast was sogar ein 0815 Switch mitmacht.

@DerWoWusste
Gastkonto ist nicht aktiv jedoch ist (werfe ich mal so in den Raum) die Gefahr von innen was zu erhalten größer als von draußen (Wenn der Antivirus nicht wieder suizid begeht face-wink

Also nochmals. Vielen dank. Ich denke es auf auf 802.1X rauslaufen.

Mfg
-s-v-o-
Lochkartenstanzer
Lochkartenstanzer 26.09.2012 um 10:15:46 Uhr
Goto Top
Zitat von @-s-v-o-:
Also nochmals. Vielen dank. Ich denke es auf auf 802.1X rauslaufen.

Du solltest Dir trotzdem noch eine Cat9 besorgen, wenn du nicht sowas schon hast. Das macht imemr Eindruck, wenn man mit sowas mal auf den Tisch hat, wenn man jemanden erwischt. face-smile

lks
-s-v-o-
-s-v-o- 26.09.2012 um 10:47:02 Uhr
Goto Top
Habe ich was viel besseres face-wink
Da gibts doch solche Hundehalsbänder bei denen man via Funk elektroschocks verteilen kann.
Das bekommen die User um den Hals die erwischt werden und bei der Fernbedienung wird der Auslöser mit Tesa fixiert face-wink

Mfg
-s-v-o-
aqui
aqui 28.09.2012 aktualisiert um 13:49:20 Uhr
Goto Top
Die (technisch) klassische Lösung mit 802.1x kannst du ja nun oben im Tutorial nachlesen und damit ist technisch alles zur Lösung gesagt....
Denn wenns nun in den Bereich von Flora und Fauna abgleitet bringt das bloss wieder den Biber auf den Plan face-wink

Wenns das denn nun war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
dischel
dischel 01.10.2012 um 10:05:11 Uhr
Goto Top
Network Access Protection - kurz NAP unter W2K8, feine Sache
MaikHSW
MaikHSW 01.10.2012 um 11:09:44 Uhr
Goto Top
Hey.
Es kann nun sein dass ich etwas durcheinander werfe, aber ich versuche mich mal:
Konnte man den DHCP Server nicht so einstellen, dass nur an bekannte Rechner (Computerkonten) eine DHCP Adresse vergeben wird?
Klar, der User kann sich dann immer noch eine eigene Adresse ausdenken, aber über die Switche sollte man solche Systeme doch schnell orten können.
Und dann halt direkt Finger ab.

Alternativ kann man auf jeden Port eine Port Security legen (Cisco kann das z.B.).
Wenn da also einmal eine andere MAC als die bekannte senden will wird der Port direkt geblockt.
Und dann weiß man auch direkt, wer es war face-smile
Denn genau diese Person wird zeitnah eine Anfrage stellen weil ihr Netzwerk nicht mehr so will...
Sicher ist das keine High End Lösung und diese ist auch leicht zu umgehen, aber dazu bedarf es schon wieder krimineller Energie.
Das ganze gepaart mit 802.1x und vielleicht einer NAP Lösung und das Thema hat sich.
Wer dann die Zeit findet, diese ganzen Mechanismen zu umgehen und dennoch sein Privatnotebook ins Netz zu schleusen,
der kann so oder so direkt entlassen werden. Denn wer soviel Freizeit hat kann ja gar nicht gearbeitet haben.....

Kostenfaktor: Null
Einrichtungsaufwand: Mittel
Erfolgsaussichten: vielversprechend


Gruß
-s-v-o-
-s-v-o- 02.10.2012 um 10:02:00 Uhr
Goto Top
Guten Morgen zusammen

Danke noch für die Hinweise. Da habe ich in nächster Zeit wieder genug arbeit.

Mfg
-s-v-o-