Netzwerkzugriff für fremde Geräte sperren, Tooltip
Moin Leute,
als erstes, "a gutes neues" wünsch ich in die Runde.
Folgendes, wir sind gerade dabei unsere Systeme zu "härten", jetzt ist uns im Zuge der Evaluierung aufgefallen, dass manch unserer User die Privaten PC an unser Firmen-Lan anstöpseln.
Wir möchten gerne nur mehr bekannte/genehmigte MAC-Adressen in unser Netz lassen, da die Geräte von uns aus der IT kommen, da sind die dann bekannt.
Meine Frage, hier geht es auch um einen Zeit/Kosten aufwand, kennt jemand ein Tool welches mir einen Report erstellt (Täglich/Wöchentlich), wo unbekannte Geräte aufgelistet sind? (Anhand des Host-Namen) , hatte bis Dato noch keine Verwendung für so etwas, wenn mir jemand konstruktiven Input geben kann wär ich richtig froh.
Grüße
als erstes, "a gutes neues" wünsch ich in die Runde.
Folgendes, wir sind gerade dabei unsere Systeme zu "härten", jetzt ist uns im Zuge der Evaluierung aufgefallen, dass manch unserer User die Privaten PC an unser Firmen-Lan anstöpseln.
Wir möchten gerne nur mehr bekannte/genehmigte MAC-Adressen in unser Netz lassen, da die Geräte von uns aus der IT kommen, da sind die dann bekannt.
Meine Frage, hier geht es auch um einen Zeit/Kosten aufwand, kennt jemand ein Tool welches mir einen Report erstellt (Täglich/Wöchentlich), wo unbekannte Geräte aufgelistet sind? (Anhand des Host-Namen) , hatte bis Dato noch keine Verwendung für so etwas, wenn mir jemand konstruktiven Input geben kann wär ich richtig froh.
Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5288965371
Url: https://administrator.de/forum/netzwerkzugriff-fuer-fremde-geraete-sperren-tooltip-5288965371.html
Ausgedruckt am: 31.03.2025 um 13:03 Uhr
28 Kommentare
Neuester Kommentar

Moin.
Mit MAC Filter härtest du ehrlich gesagt gar nichts, das umgeht dir jeder Depp.
Aktiviere 802.1x Authentifizierung an den Ports und betanken die Rechner/Devices mit einem Computerzertifikat und lass die LAN-Schnittstelle 802.1x mit PEAP machen und die Clients damit per Radius authentifizieren. Alternativ eben 802.1x mit EAP-MSChapv2 mit Username und Passwort wenn dir Zertifikate nicht geheuer sind.
Wenn man wissen will was so im Netz schwirrt der schaut sich seinen Switch und dessen ARP Table an oder nimmt das DHCP Log zur Hand.
Gruß wurstel
Mit MAC Filter härtest du ehrlich gesagt gar nichts, das umgeht dir jeder Depp.
Aktiviere 802.1x Authentifizierung an den Ports und betanken die Rechner/Devices mit einem Computerzertifikat und lass die LAN-Schnittstelle 802.1x mit PEAP machen und die Clients damit per Radius authentifizieren. Alternativ eben 802.1x mit EAP-MSChapv2 mit Username und Passwort wenn dir Zertifikate nicht geheuer sind.
Wenn man wissen will was so im Netz schwirrt der schaut sich seinen Switch und dessen ARP Table an oder nimmt das DHCP Log zur Hand.
Gruß wurstel
Zitat von @5175293307:
Moin.
Mit MAC Filter härtest du ehrlich gesagt gar nichts, das umgeht dir jeder Depp.
Aktiviere 802.1x Authentifizierung an den Ports und betanken die Rechner/Devices mit einem Computerzertifikat und lass die LAN-Schnittstelle 802.1x mit PEAP machen und die Clients damit per Radius authentifizieren. Alternativ eben 802.1x mit EAP-MSChapv2 mit Username und Passwort wenn dir Zertifikate nicht geheuer sind.
Gruß wurstel
Moin.
Mit MAC Filter härtest du ehrlich gesagt gar nichts, das umgeht dir jeder Depp.
Aktiviere 802.1x Authentifizierung an den Ports und betanken die Rechner/Devices mit einem Computerzertifikat und lass die LAN-Schnittstelle 802.1x mit PEAP machen und die Clients damit per Radius authentifizieren. Alternativ eben 802.1x mit EAP-MSChapv2 mit Username und Passwort wenn dir Zertifikate nicht geheuer sind.
Gruß wurstel
Es kommt drauf an wie man es macht - so pauschal ist deine Aussage nunmal bestenfalls unsinn...
Eine einfache und kostenlose Lösung ist erstmal ne Whitelist zu aktivieren - da die IT ja die Geräte kennt die die ausgegeben haben. Klar KANN man dann die MAC überschreiben - man muss aber erstmal eine gültige haben die dann aber auch nicht im Netzwerk aktiv ist...
Das ganze KANN man auch noch weiter treiben - indem man sagt auf welchem Switch sich welche MAC an welchem Port anmelden darf und am WLC sagt man einfach das nur geräte die ne IP via DHCP bekommen ins Netz kommen...
Das ist natürlich kein 100% Schutz, wird aber in den meisten Fällen mit wenig Aufwand (je nach Netzwerk-Equipment) schon die meisten Probleme beheben ohne das man auch nur 1 Euro ausgeben muss...

Man kann auch einfach zum Personalleiter gehen, dass er einen Schläger anheuert um dann mit Kneifzange und Lötkolben eine Unterschrift einzuholen, dass das Netzwerk des Arbeitgebers keine Hafenn*tte ist und jeder sein Ding einsteckt...

Du kannst dir eines der NAC Tools anschauen, die sind dafür gemacht
Aruba Clearpass
Macmon
Cisco ISE
FortiNAC
Oder baust dir mit dem Windows NPS oder FreeRadius was eigenes auf
Aruba Clearpass
Macmon
Cisco ISE
FortiNAC
Oder baust dir mit dem Windows NPS oder FreeRadius was eigenes auf

Zitat von @aqui:

Du kannst dir eines der NAC Tools anschauen, die sind dafür gemacht
Ruckus Cloudpath nicht zu vergessen!! Dann mache ich weiter:
ARP Guard ;)
Weiterer Ansatz: die Windows Firewall sollte auf den Clients inbound eh dicht sein, die sollten nicht gefährdet sein. Und auf den Servern kann selbige sichere Regeln anwenden, die mit Authentifizierung (und nicht mit IPs) arbeiten, sprich: nur Domänenmitglieder dürfen mitspielen, für andere sind die Ports dicht und es wäre für die Server egal, was da noch eingesteckt wird.

Zitat von @MrHeisenberg:
Moin,
mir geht es in erster Linie darum die Clients herauszufiltern um eine Menge zu haben, wie wir dann unser Netzwerk dicht machen muss dann gesondert entschieden werden, im Endstadium hat es so zu laufen dass nur Geräte welche "freigegeben" sind ins Netzwerk können, ob WiFi oder LAN ist dann egal, im Guest WiFi können´s dann tun was die wollen (fast alles).
Zitat von @5175293307:
Moin.
Mit MAC Filter härtest du ehrlich gesagt gar nichts, das umgeht dir jeder Depp.
Aktiviere 802.1x Authentifizierung an den Ports und betanken die Rechner/Devices mit einem Computerzertifikat und lass die LAN-Schnittstelle 802.1x mit PEAP machen und die Clients damit per Radius authentifizieren. Alternativ eben 802.1x mit EAP-MSChapv2 mit Username und Passwort wenn dir Zertifikate nicht geheuer sind.
Wenn man wissen will was so im Netz schwirrt der schaut sich seinen Switch und dessen ARP Table an oder nimmt das DHCP Log zur Hand.
Gruß wurstel
Moin.
Mit MAC Filter härtest du ehrlich gesagt gar nichts, das umgeht dir jeder Depp.
Aktiviere 802.1x Authentifizierung an den Ports und betanken die Rechner/Devices mit einem Computerzertifikat und lass die LAN-Schnittstelle 802.1x mit PEAP machen und die Clients damit per Radius authentifizieren. Alternativ eben 802.1x mit EAP-MSChapv2 mit Username und Passwort wenn dir Zertifikate nicht geheuer sind.
Wenn man wissen will was so im Netz schwirrt der schaut sich seinen Switch und dessen ARP Table an oder nimmt das DHCP Log zur Hand.
Gruß wurstel
Moin,
mir geht es in erster Linie darum die Clients herauszufiltern um eine Menge zu haben, wie wir dann unser Netzwerk dicht machen muss dann gesondert entschieden werden, im Endstadium hat es so zu laufen dass nur Geräte welche "freigegeben" sind ins Netzwerk können, ob WiFi oder LAN ist dann egal, im Guest WiFi können´s dann tun was die wollen (fast alles).
Schau dir mal eines der NAC Tools an.
Clearpass beispielsweise:
Du lässt zunächst alle Anfragen genehmigen und baust daraus eine Datenbank auf, dann aktivierst du Fingerprinting bzw Profiling und siehst, was für ein Gerät hinter der MAC steht. Im nächsten Schritt schaltest du die MAC-Authentifizierung scharf und schaust, ob sich noch ein User meldet.
So hast du relativ schnell deutlich mehr Kontrolle
also wenns in deinem Netzwerk so läuft, na dann gute Nacht
Wie? Ne Unterschrift ist schon zu viel?Ich bin da ja etwas befangen, weil ich in meinen jungen Jahren durchaus auch mal meinen Privatrechner dabei hatte (MacOS) und nebenbei dort auch mal Spezl-PCs neu aufsetzte … die hatten halt schnelleres Internet 😂
Wer solche privaten PCs aber kennt, der will sowas nicht innerhalb des Firmennetzwerks „unbeaufsichtigt“, stundenlang werkeln lassen 😏 Schon gar nicht unsepariert. Zudem willst Du nicht, das von sowas ggf. auf Serverdaten zugegriffen wird und die dann aus dem Haus getragen werden.
Aber die MAC-Adressen der Firmen-HW auslesen und zu dokumentieren ist doch bestimmt kein Hexenwerk? Ihr habt doch ggf. sowas wie ne Inventarisierung oder über den Domänencontroller müsste das doch auch angestoßen werden können?

Zitat von @MrHeisenberg:
also wenns in deinem Netzwerk so läuft, na dann gute Nacht
Zitat von @2423392070:
Man kann auch einfach zum Personalleiter gehen, dass er einen Schläger anheuert um dann mit Kneifzange und Lötkolben eine Unterschrift einzuholen, dass das Netzwerk des Arbeitgebers keine Hafenn*tte ist und jeder sein Ding einsteckt...
Man kann auch einfach zum Personalleiter gehen, dass er einen Schläger anheuert um dann mit Kneifzange und Lötkolben eine Unterschrift einzuholen, dass das Netzwerk des Arbeitgebers keine Hafenn*tte ist und jeder sein Ding einsteckt...
also wenns in deinem Netzwerk so läuft, na dann gute Nacht
Wir sind ein internationales Unternehmen und folgen Standards. Auch Management Standards.
Ein Gerät mitbringen ist verboten. Ein Gerät anschließen ist verboten.
Die Regeln dazu sind zwingend einzuhalten.
Mitarbeiter die sich daran nicht halten haben ein Personalproblem.
Lieferanten mit dem Einkauf Probleme.

Zitat von @2423392070:
Wir sind ein internationales Unternehmen und folgen Standards. Auch Management Standards.
Ein Gerät mitbringen ist verboten. Ein Gerät anschließen ist verboten.
Die Regeln dazu sind zwingend einzuhalten.
Mitarbeiter die sich daran nicht halten haben ein Personalproblem.
Lieferanten mit dem Einkauf Probleme.
Zitat von @MrHeisenberg:
also wenns in deinem Netzwerk so läuft, na dann gute Nacht
Zitat von @2423392070:
Man kann auch einfach zum Personalleiter gehen, dass er einen Schläger anheuert um dann mit Kneifzange und Lötkolben eine Unterschrift einzuholen, dass das Netzwerk des Arbeitgebers keine Hafenn*tte ist und jeder sein Ding einsteckt...
Man kann auch einfach zum Personalleiter gehen, dass er einen Schläger anheuert um dann mit Kneifzange und Lötkolben eine Unterschrift einzuholen, dass das Netzwerk des Arbeitgebers keine Hafenn*tte ist und jeder sein Ding einsteckt...
also wenns in deinem Netzwerk so läuft, na dann gute Nacht
Wir sind ein internationales Unternehmen und folgen Standards. Auch Management Standards.
Ein Gerät mitbringen ist verboten. Ein Gerät anschließen ist verboten.
Die Regeln dazu sind zwingend einzuhalten.
Mitarbeiter die sich daran nicht halten haben ein Personalproblem.
Lieferanten mit dem Einkauf Probleme.
Das Problem ist ja meist mangelnde Konsequenz.
Ich erlebe es nahezu jeden Tag, dass es zwar diese RIchtlinien gibt, sie aber niemanden interessieren.
Vor kurzem habe ich mal "Steam" auf dem Desktop-PC bei einem Kunden gesehen... Wahnsinn...
Ein "du-du-du" hilft keinem, daher ist man leider dazu gezwungen mit einer Batterie an Tools den User von allem Möglichen abzuhalten.

Die Tools haben wir auch. Kostet Millionen.
Aber Erwachsene arbeiten bei uns auch. Die behandeln wir auch so. Notfalls Abmahnung und auch Strafanzeige.
Aber Erwachsene arbeiten bei uns auch. Die behandeln wir auch so. Notfalls Abmahnung und auch Strafanzeige.
Also ist es immer noch üblich, das MA-PCs mit Admin-Rechten arbeiten?! Ich, in meinem fast biblischen Alter, bin dann doch etwas überrascht.
Ich hatte das in jungen Jahren ja auch noch, während der Vertriebsrechner meiner Freundin schon vor über 15 Jahren so „zugedengelt“ war, dass wir nen Bewerbungsschreiben nur über nen Infrarot-Anschluss (ja, sowas gabs damals noch) rausschmuggeln konnten. Das Ding hatte durchaus meinen Spieltrieb gefordert 🤭
Ich hatte das in jungen Jahren ja auch noch, während der Vertriebsrechner meiner Freundin schon vor über 15 Jahren so „zugedengelt“ war, dass wir nen Bewerbungsschreiben nur über nen Infrarot-Anschluss (ja, sowas gabs damals noch) rausschmuggeln konnten. Das Ding hatte durchaus meinen Spieltrieb gefordert 🤭

Zitat von @2423392070:
Aber Erwachsene arbeiten bei uns auch. Die behandeln wir auch so. Notfalls Abmahnung und auch Strafanzeige.
Und ganz genau so muss es laufen. Wie gesagt: Leider gibt es viel zu selten Konsequenzen
Zitat von @110135:
Und ganz genau so muss es laufen. Wie gesagt: Leider gibt es viel zu selten Konsequenzen
Zitat von @2423392070:
Aber Erwachsene arbeiten bei uns auch. Die behandeln wir auch so. Notfalls Abmahnung und auch Strafanzeige.
Und ganz genau so muss es laufen. Wie gesagt: Leider gibt es viel zu selten Konsequenzen
jap - da ist dann Mitarbeitermotivation sicherlich ein ganz grosses Thema... aber gut, auch das muss jede Firma für sich selbst entscheiden...

Irgendwie habe ich den Eindruck, dass sowas von Leuten geäußert wird, die keine berufliche Verantwortung haben oder große Unternehmen von innen kennen.
Große Unternehmen haben eine Compliance. Gesetze gibt es auch einzuhalten. Wir sind international tätig und daher sind unsere Compliance-Regeln generisch gehalten und gehen vom höchsten Standard aus
Das heißt, jeder Fremde gibt sein Smartphone ab, oder lässt es im Auto. Wir haben hier CXOs als Gäste, die Konzernen vorstehen und zum Auto zurück gehen und ihr 30€ Feature Phone ohne Kamera holen, damit die telefonisch erreichbar sind. Sonst ist die Hardware abzugeben.
Eigenes Personal bringt keine Hardwares mit und verhindert stringent, dass Lieferanten unabgesprochen was mitbringen oder anschließen.
Das ist verpflichtend und wird jährlich unterwiesen gegen Unterschrift.
Da müssen wir uns auch keine Sorgen
um unsere Reputation machen, weil die sehr hoch ist. Jeder Klardenkende versteht die Gründe. Wer das nicht versteht, ist auch als Hilfsarbeiter nicht interessant für uns.
Große Unternehmen haben eine Compliance. Gesetze gibt es auch einzuhalten. Wir sind international tätig und daher sind unsere Compliance-Regeln generisch gehalten und gehen vom höchsten Standard aus
Das heißt, jeder Fremde gibt sein Smartphone ab, oder lässt es im Auto. Wir haben hier CXOs als Gäste, die Konzernen vorstehen und zum Auto zurück gehen und ihr 30€ Feature Phone ohne Kamera holen, damit die telefonisch erreichbar sind. Sonst ist die Hardware abzugeben.
Eigenes Personal bringt keine Hardwares mit und verhindert stringent, dass Lieferanten unabgesprochen was mitbringen oder anschließen.
Das ist verpflichtend und wird jährlich unterwiesen gegen Unterschrift.
Da müssen wir uns auch keine Sorgen
um unsere Reputation machen, weil die sehr hoch ist. Jeder Klardenkende versteht die Gründe. Wer das nicht versteht, ist auch als Hilfsarbeiter nicht interessant für uns.

Ein Jemand im "Big Business" tummelt sich sicher nicht in einem IT-Forum, die Zeit würde das eh nicht zulassen.
Wahrscheinlich meint er damit sein eigenes Zuhause bei den Bordsteinschwalben am Hafen 😂.
Wahrscheinlich meint er damit sein eigenes Zuhause bei den Bordsteinschwalben am Hafen 😂.
Zitat von @MrHeisenberg:
also ich muss schon eines anmerken, Beleidigen kannst scheinbar auf einigen Ebenen, aber was mir aufällt, du konntest bis dato keinen konstruktiven Beitrag bringen, sondern eigtl. nur "Big-Business"-Laberei, glaube mir ich kenne große Firmen, Datacenter uvm. schon dort gearbeitet, und eines ist sicher, wenn scheinbar alle bei euch in der "Big-Firma" so drauf sind, würde ich nicht einmal als Hilfsarbeiter beginnen wollen.
Vieles kommt mir bei deinem Post als "Wunschdenken" rüber, kurzum, wenn du eine Diskussion suchst, dann eröffne einen eigenen Post, hier geht es um ein klar definiertes Problem, wo schon mehrere Forenteilnehmer Ansatzpunkte liefern konnten, da ist deine "Anmerkung" mit der "Hafen*" sehr unpassend.
Zitat von @2423392070:
Irgendwie habe ich den Eindruck, dass sowas von Leuten geäußert wird, die keine berufliche Verantwortung haben oder große Unternehmen von innen kennen.
Große Unternehmen haben eine Compliance. Gesetze gibt es auch einzuhalten. Wir sind international tätig und daher sind unsere Compliance-Regeln generisch gehalten und gehen vom höchsten Standard aus
Das heißt, jeder Fremde gibt sein Smartphone ab, oder lässt es im Auto. Wir haben hier CXOs als Gäste, die Konzernen vorstehen und zum Auto zurück gehen und ihr 30€ Feature Phone ohne Kamera holen, damit die telefonisch erreichbar sind. Sonst ist die Hardware abzugeben.
Eigenes Personal bringt keine Hardwares mit und verhindert stringent, dass Lieferanten unabgesprochen was mitbringen oder anschließen.
Das ist verpflichtend und wird jährlich unterwiesen gegen Unterschrift.
Da müssen wir uns auch keine Sorgen
um unsere Reputation machen, weil die sehr hoch ist. Jeder Klardenkende versteht die Gründe. Wer das nicht versteht, ist auch als Hilfsarbeiter nicht interessant für uns.
Irgendwie habe ich den Eindruck, dass sowas von Leuten geäußert wird, die keine berufliche Verantwortung haben oder große Unternehmen von innen kennen.
Große Unternehmen haben eine Compliance. Gesetze gibt es auch einzuhalten. Wir sind international tätig und daher sind unsere Compliance-Regeln generisch gehalten und gehen vom höchsten Standard aus
Das heißt, jeder Fremde gibt sein Smartphone ab, oder lässt es im Auto. Wir haben hier CXOs als Gäste, die Konzernen vorstehen und zum Auto zurück gehen und ihr 30€ Feature Phone ohne Kamera holen, damit die telefonisch erreichbar sind. Sonst ist die Hardware abzugeben.
Eigenes Personal bringt keine Hardwares mit und verhindert stringent, dass Lieferanten unabgesprochen was mitbringen oder anschließen.
Das ist verpflichtend und wird jährlich unterwiesen gegen Unterschrift.
Da müssen wir uns auch keine Sorgen
um unsere Reputation machen, weil die sehr hoch ist. Jeder Klardenkende versteht die Gründe. Wer das nicht versteht, ist auch als Hilfsarbeiter nicht interessant für uns.
also ich muss schon eines anmerken, Beleidigen kannst scheinbar auf einigen Ebenen, aber was mir aufällt, du konntest bis dato keinen konstruktiven Beitrag bringen, sondern eigtl. nur "Big-Business"-Laberei, glaube mir ich kenne große Firmen, Datacenter uvm. schon dort gearbeitet, und eines ist sicher, wenn scheinbar alle bei euch in der "Big-Firma" so drauf sind, würde ich nicht einmal als Hilfsarbeiter beginnen wollen.
Vieles kommt mir bei deinem Post als "Wunschdenken" rüber, kurzum, wenn du eine Diskussion suchst, dann eröffne einen eigenen Post, hier geht es um ein klar definiertes Problem, wo schon mehrere Forenteilnehmer Ansatzpunkte liefern konnten, da ist deine "Anmerkung" mit der "Hafen*" sehr unpassend.
Zitat von @5175293307:
Ein jemand im "Big Business" tummelt sich sicher nicht in einem IT-Forum, die Zeit würde das eh nicht zulassen.
Wahrscheinlich meint er damit sein eigenes Zuhause bei den Bordsteinschwalben am Hafen 😂.
Ein jemand im "Big Business" tummelt sich sicher nicht in einem IT-Forum, die Zeit würde das eh nicht zulassen.
Wahrscheinlich meint er damit sein eigenes Zuhause bei den Bordsteinschwalben am Hafen 😂.
nun - ich denke Beleidigungen sind nicht zielführend - in KEINER Seite.
WAS allerdings schon ist: Lustig wenn er glaubt das niemand hier in grossen Unternehmen ist und das es jemanden beeindruckt wer da so alles zu Gast ist... Es mag sein das Jobs z.B. bei ner grossen deutschen Airline usw. nicht als "grosser Konzern" zählen - aber auch da hat man verstanden das man mit Menschen arbeitet... Und sofern es keine wirklich sensiblen Bereiche sind hat man eben nen guten Weg gefunden. Aber vermutlich ist das Unternehmen nicht gross u. wichtig genug für jemand "unbelanglosen"... Alternativ müsste ich nämlich durchaus davon ausgehen das die Probleme eher auf mentaler Ebene liegen - es gibt leider immer wieder "Hilfsscheriffs" die meinen durch etwas Macht sich nur dadurch profilieren zu können weils Fachlich eben einfach nicht reicht.
Das war auch nicht gegen dich gerichtet... Aber du wirst halt immer welche finden die sich nur darüber profilieren können wie hart die doch sind und wie hart die gegen Regelverstösse vorgehen. Ehrlich gesagt - in meinem bisherigen Berufsleben waren das immer Leute die in der realität irgendwo in der Ecke gesessen haben weil die nix zu melden hatten. Aber ich bin mir sicher hier ist es natürlich anders (...). Hier ist es ein wirklicher top-manager der nebenbei noch das örtliche chapter der Hells-Angels leitet und wer da quer kommt wird halt gleich mal eben umgehauen - aber natürlich gilt hier eh "ein mann, ein Wort" und da wird jeder sich sofort vor Erfurcht verneigen... Bitte habe doch Respekt davor. Dann is jemand glücklich und fühlt sich beachtet... nix mehr ist doch der Hintergrund zwischen dem ganzen "Top-management-super-mega-wichtig getue"....