Theoretisch komplettes Netzwerk lahmlegen durch Fake-Router?

Mitglied: staybb

staybb (Level 2) - Jetzt verbinden

11.02.2016 um 02:20 Uhr, 4562 Aufrufe, 34 Kommentare, 1 Danke

Hallo,

was ich mich schon immer gefragt habe ist folgende einfache Frage:

Wenn jemand ein eigenen PC in die Firma mitbringt oder sonst wohin wo er einen LAN Anschluss hat und eine IP zugewiesen bekommt. So kann er ja auch hingehen, sollte es keine IP Filterungen oder Beschränkungen in dem Netz geben und sich einfach eine feste IP zuweisen, da er ja lokaler Administrator von seinem Rechner ist.

Nun nehmen wir an er nimmt die IP 192.168.1.1, welche in dem Netz der Hauptrouter wäre und gleichzeitig das Gateway über dem alle Rechner surfen. Dann würden die Rechner den Router nicht mehr auflösen können und hätten keine Internetverbindung und wenn auf dem Router noch mehr geschalten ist, im schlimmsten Fall garkein funktionierendes Netz mehr.

Ist dies so einfach möglich, könnte so ein "Laie" wirklich einfach soviel Unheil in einem Netz verursachen?

Ich habe schon einmal erlebt, das ein AccessPoint auf die Werkseinstellungen von einem Mitarbeiter gesetzt wurde und der dann dei 192.168.1.1 IP hatte und alle Rechner über ihn routen wollten und es ging dann garnichts mehr.

Ist es also wirklich so einfach möglich ein Netz lahm zu legen? Wie kann man dies unterbinden?
34 Antworten
Mitglied: StefanKittel
11.02.2016, aktualisiert um 07:36 Uhr
Moin,

im Prinzip nur wie von Dir beschrieben mit einer IP-Filterung auf Switch-Port-Ebene.

Mit den IP-Einstellungen kann man ganz viel unheil treiben.
PCs sind was das angeht einfach zu gutgläubig.

Besonders PCs die Ihre IP per DHCP bekommen haben.
Denen kann ein Bösewicht auch ein Update schicken für IP, DNS und Gateway.

In ungemanageden Netzwerkzwerken ist es ein Krampf Geräte nach IP zu finden.

Siehe z.B.
http://www.securityartwork.es/2013/01/30/defenses-against-dhcp-attacks/

Viele Grüße

Stefan
Bitte warten ..
Mitglied: Deepsys
11.02.2016 um 08:08 Uhr
Hi,

jau, das kann so klappen in einfachen Netzen.
Und da der Gateway im eigenen Netz sein muss, kann das jeder mit Admin-Rechten machen.
Es reicht schon ein zweiter DHCP-Router das macht viel Unheil.

Schützen kann man sich dagegen zwar, aber das ist doch recht viel Aufwand.
Z.b. mit 802.1x Authentifizierung. Nur müssen das alle Geräte können oder per Hand freigeben.

Also, ja es ist möglich, schützen aber eben auch.

VG,
Deepsys
Bitte warten ..
Mitglied: StefanKittel
11.02.2016 um 08:34 Uhr
Am schönsten ist es doch eh wenn ein Mitarbeiter einen AP-Router mitbringt.
Damit kann er dann selber mit seinen privaten Geräten einfacher ins Internet.
Zusätzlich killt der eingebaute DHCP-Server dann das halbe Netzwerk nach und nach.
Und das WLAN ist natürlich mit WEP verschlüsselt.
Bitte warten ..
Mitglied: Bingo61
11.02.2016, aktualisiert um 08:57 Uhr
Hallo,

AccessPoint sollte man mit Passwort schützen, das auser Admin und GF keiner kennt.
Ebenso Router und alle Netzwerkgeräte.
und die IP 001, ist wenn vorhanden nur im Router änderbar , wenn die vorhanden gibts keine 2.
Du kommst nicht mit 2 x der selben IP in ein Netz.
Ausser,
du nimmst der Router vom Netz und spielst den Router mit deinen PC
Darum das Ding in Raum stellen, und zusperren.
Und das keiner etwas ins Netz bringen kann das da nicht reingehört , sollte man sein Netzwerk im Auge haben .
Kannst das auch mit V- Lan lösen, so kommen die Client mit DHCP ins Netz aber nicht ins Hauptnetz.
Dann haben die ihren Bereich, sollte da was sein, ist es eben nur ein Bereicht und nicht das komplette Netz.
Bitte warten ..
Mitglied: Deepsys
11.02.2016 um 09:05 Uhr
Moin,

Zitat von @Bingo61:

das ist aber so nicht ganz richtig.:

AccessPoint sollte man mit Passwort schützen, das auser Admin und GF keiner kennt.
Ebenso Router und alle Netzwerkgeräte.
Es ging um Geräte die einer mitbringt, nicht die von der Firma.
Wer die Standardkennwörter nimmt, ist es selber schuld.

und die IP 001, ist wenn vorhanden nur im Router änderbar , wenn die vorhanden gibts keine 2.
Du kommst nicht mit 2 x der selben IP in ein Netz.
Doch, klar geht das. Gebe einem Geräte eine feste IP und hänge es rein.
Neuere Windows erkennen das zwar, aber es gibt nicht nur Windows und die Erkennung kann man abschalten.
Kleiner Router mit DHCP und der IP vom Standardgateway ist schick ;-) face-wink

du nimmst der Router vom Netz und spielst den Router mit deinen PC
Nö, es reicht das dein Rechner der Router wird.

Darum das Ding in Raum stellen, und zusperren.
Hilft aber auch nicht ...

Und das keiner etwas ins Netz bringen kann das da nicht reingehört , sollte man sein Netzwerk im Auge haben .
Jo, hat Vorteile.
Das kleine arpwatch kann da schon viel finden.

Kannst das auch mit V- Lan lösen, so kommen die Client mit DHCP ins Netz aber nicht ins Hauptnetz.
???
Und wo ist das Standartgateway? Immer im gleichen Subnetz ...
Für eine anderes VLAN musst du routen und wenn man die IP vom Gateway nimmt ...

VG,
Deepsys
Bitte warten ..
Mitglied: emeriks
11.02.2016 um 09:09 Uhr
Hi,
ein primitiver Ansatz:
Das Risiko mit den doppelten Adressen durch Zurücksetzen diverser Geräte auf Werkseinstellungen kann man allein dadurch minimieren, dass man eben kein Netz aus dem Bereich der üblichen Verdächtigen verwendet. Also statt 192.168.x.y/24 besser z.B. 172.16.x.y/24. Nach meiner Erfahrung sind die Adressen aus den Werkseinstellungen solcher Geräte i.A. im 192.168....
Das schützt natürlich nicht davor, dass dann so ein Geräte einen DHCP-Dienst startet ....

E.
Bitte warten ..
Mitglied: aqui
11.02.2016 um 09:19 Uhr
So kann er ja auch hingehen, sollte es keine IP Filterungen oder Beschränkungen in dem Netz geben und sich einfach eine feste IP zuweisen, da er ja lokaler Administrator von seinem Rechner ist.
Ja, das ist richtig ! Betonung liegt hier aber auf "keine IP Filterungen oder Beschränkungen in dem Netz" !
Dann würden die Rechner den Router nicht mehr auflösen können
Jein....
Die Rechner machen ein ARP Request um eine Layer 2 Kommunikation einzuleiten. Hier kommt es jetzt zu einer Race Condition im Netz, wer schneller antwortet, der PC oder der Router. Es kann also der eine oder der andere gewinnen...
Durch die doppelten ARP Replies kommt es aber zu einer Warnmeldung auf dem Router und auch auf dem PC das es eine IP Adress Dopplung gibt.
Das Netz wäre aber teilweise lahmgelegt...das ist richtig !
Ist dies so einfach möglich, könnte so ein "Laie" wirklich einfach soviel Unheil in einem Netz verursachen?
Ja, das ist so möglich.
Allerdings ist die Schlussfolgerung daraus von dir recht naiv, denn der eigentliche Laie ist hier NICHT der Anwender sondern der Admin.
Ein verantwortungsvoller Admin arbeitet im Netz mit 802.1x Port Authentication. ARP Spoofing Detection und DHCP Snooping um sowas sicher zu verhindern.
IP hatte und alle Rechner über ihn routen wollten und es ging dann garnichts mehr.
Auch hier wieder eine technsich fehlerhafte Schlussfolgerung denn über einen AP wird niemals geroutet ! Jeder nur halbwegs kundige Netzwerker wiess das APs ausschliesslich als simple Bridge arbeiten.
Die Management IP Adresse des APs antwortet aber wieder auf ARPs und so nimmt dann das Unglück wieder seinen Lauf.
Wie kann man dies unterbinden?
Siehe oben...
Ein verantwortungsvoller Admin arbeitet im Netz mit 802.1x Port Authentication. ARP Spoofing Detection und DHCP Snooping um sowas sicher zu verhindern.
Bitte warten ..
Mitglied: brammer
11.02.2016 um 09:48 Uhr
Hallo,

Antworten zu deiner Frage hast du ja genug bekommen, da alle in dieselbe Kerbe schlagen sage ich dazu auch nicht noch mehr....

Aber, eine Frage (okay, es sind 3 geworden) sei erlaubt....

Bist du betroffener einer solchen Aktion?
Willst du das ausprobieren?
Wissendurst?

Brammer
Bitte warten ..
Mitglied: multi10
11.02.2016 um 10:11 Uhr
In solchen Firmen unterschreibt normalerweise jeder Mitarbeiter eine IT Sicherheitsanweisung und Policy.
In dieser wird der Mitarbeiter genau aufmerksam drauf gemacht, das bei einem Ihm verursachten Ausfall, er alleine dafür Haftbar gemacht werden kann.
(kompletter Stillstand der Frima) Ich kenn das auch nur so.

Unterbinden kannst du sowas nur mit Endzugangssicherheit wie hier schon erwähnt wobei z.B. 802.1x auf MAC Basis alleine kein Schutz ist, da die MAC fälschen für jemand mit ein bisschen Google Know-How kein Problem darstellt. Es sollte auf jedenfall noch eine Netztrennung statt finden, dann fällt zum Beispiel nur das Default V-Lan aus oder eben das Druckernetzwerk aber nicht alle Netzwerke.

Wenn du ganz auf Sicher gehn willst dann 802.1x mit MAC und User identifikation.
Bitte warten ..
Mitglied: Bingo61
11.02.2016 um 10:26 Uhr
@aqui
das ist 1 a wie du das beschreibst,
Aber:
dann nehme ich einen Netzwerk Drucker vom Netz, übernehme dessen IP und komme auch ohne 802.1x Port Authentication ins Netz.
Das ist bei vielen Firmen der Schwachpunkt, habe es selbst im Aussendienst ausgenutzt.
Admin war extern, war nicht erreichbar , intern konnte keiner eine IP für ext. Techniker freigeben.
Was macht man da ? übernimmt den Port vom Drucker flugs ist man drinn.
Da kommt nicht mal eine Cisco die den Port verwaltet mit.
Sicher ist man da nur mit 10 oder 100 M/bit unterwegs wenn die so konfig sind.
Aber es geht.
Hatte das an UNI's , Automobil Firmen und Öffentlichen Einrichtungen so gemacht.
Die einzigen die gut abgesichert waren, ist die Entwicklungsabteilung eines Autoherstellers .
Aber auch nur, weil die beim Kopierer die Funktion aud deaktiv hatten .
Alo wenn mal ein ext. Techniker kommt der Drucker repariert oder Kopierer, da 2 Augen auf Ihn werfen :-) face-smile

Dazu gibts auch Artikel :

m Sommer 2005 hat Steve Riley von Microsoft einen Artikel veröffentlicht, in dem er eine ernsthafte Sicherheitslücke im 802.1X-Protokoll aufzeigte, die auf einem Man-in-the-middle-Angriff beruht. Zusammengefasst basiert die Lücke auf der Tatsache, dass per 802.1X nur der Anfang der Verbindung gesichert wird, dass es aber nach der Authentifizierung potenziellen Angreifer möglich ist, die geöffnete Verbindung zu eigenen Zwecken zu missbrauchen, sofern es dem Angreifer gelingt, sich physisch in die Verbindung einzuschleusen. Dazu kann ein Arbeitsgruppen-Hub mit authentifiziertem Rechner oder ein zwischen authentifiziertem Rechner und abgesichertem Port geschalteter Laptop genutzt werden. Riley schlägt für kabelbasierende Netzwerke die Verwendung von IPsec oder eine Kombination aus IPsec und 802.1X vor.[5]
Bitte warten ..
Mitglied: Hitman4021
11.02.2016 um 15:45 Uhr
Hallo Zusammen

Zitat von @Bingo61:

@aqui
das ist 1 a wie du das beschreibst,
Aber:
dann nehme ich einen Netzwerk Drucker vom Netz, übernehme dessen IP und komme auch ohne 802.1x Port Authentication ins Netz.
Das ist falsch.
Wenn auf dem Port des Drucker 802.1x Authentication aktiviert ist, wird von deinem Client eine Authentifizierung verlangt und du hast die notwendigen Credentials/Zertifikate nicht - somit bist du bestenfalls im Quarantäne LAN.
Die Übernahme der IP funktioniert auf nur wenn ARP Inspection/DHCP Snooping nicht konfiguriert ist. Ansonsten kommst du mit einer ungültigen MAC/IP Kombination am Switch an, welcher daraufhin deine Pakete dropped.

Wie @aqui schon gesagt hat kann man solche Dinge effektiv unterbinden.

mfg
Bitte warten ..
Mitglied: aqui
11.02.2016, aktualisiert um 16:05 Uhr
dann nehme ich einen Netzwerk Drucker vom Netz, übernehme dessen IP und komme auch ohne 802.1x Port Authentication ins Netz.
Falsch ! und zeigt das du wenig Netzwerk Kenntniss hast, sorry.
Der Drucker wird natürlich über seine Mac Adresse per .1x authentisiert und aus die Maus....
OK, wenn man fair ist kann man die Mac Adresse faken und kommt trotzdem rein.
Die Fähigkeiten das zu tun übersteigt aber die eines durchschnittlichen DAUs erheblich und wäre auch ein Aufwand der große kriminelle Energie erfordert.
Was dann bei korrekter Firmen Sicherheits Policy (siehe oben) ein fristloser Kündigungsgrund wäre.
Firmen die es ganz richtig machen sichern sich dagegen auch mit einem IDS/IPS System ab, was aufgrund des dann nicht mehr Drucker spezifischen IP Flows von diesem Port Alarm schlägt und den in den Error Disable Mode versetzt per SNMP.
Also auch das kann man wasserdicht machen. Deine Schlussfolgerungen sind also mal wieder nicht zuende gedacht.
Von der alten Security Lücke bei .1x mal nicht zu reden, die haben alle (renomierten) Hersteller längst gefixt.
Bitte warten ..
Mitglied: Lochkartenstanzer
11.02.2016, aktualisiert um 16:03 Uhr
Zitat von @aqui:

Ein verantwortungsvoller Admin arbeitet im Netz mit 802.1x Port Authentication. ARP Spoofing Detection und DHCP Snooping um sowas sicher zu verhindern.

Und hat eine Cat9 als LART bereitliegen. :-) face-smile

lks

d95e79a54b731b23e9c737ce7d4eb382 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
11.02.2016 um 16:06 Uhr
Man beachte die Stecker am Ende die machen richtig Aua !! :-D face-big-smile
Bitte warten ..
Mitglied: emeriks
11.02.2016 um 16:07 Uhr
Ja. Das heißt dann sich auch richtig: Cut? Nein!
Bitte warten ..
Mitglied: Deepsys
11.02.2016 um 16:24 Uhr
Zitat von @aqui:

dann nehme ich einen Netzwerk Drucker vom Netz, übernehme dessen IP und komme auch ohne 802.1x Port Authentication ins Netz.
Falsch ! und zeigt das du wenig Netzwerk Kenntniss hast, sorry.
Nöö, es gibt etliche Drucker älterer Bauart die eben kein 802.1x können, aber noch schön drucken ;-) face-wink
Und die müsstet du ohne 802.1x freigeben und schon bist du wieder drin (wenn diese Dinger dann nicht in einem eigenen VLAN sind).

So oder so, ich finde sein Scenario wird bei fast allen Firmen ohne größere IT-Abteilung funkionieren ;-) face-wink
Bitte warten ..
Mitglied: Hitman4021
11.02.2016 um 16:29 Uhr
Zitat von @Deepsys:

Zitat von @aqui:

dann nehme ich einen Netzwerk Drucker vom Netz, übernehme dessen IP und komme auch ohne 802.1x Port Authentication ins Netz.
Falsch ! und zeigt das du wenig Netzwerk Kenntniss hast, sorry.
Nöö, es gibt etliche Drucker älterer Bauart die eben kein 802.1x können, aber noch schön drucken ;-) face-wink
Und die müsstet du ohne 802.1x freigeben und schon bist du wieder drin (wenn diese Dinger dann nicht in einem eigenen VLAN sind).
Wenn ich in einem Netzwerk 802.1x einführe, würde ich die Ports für diese Geräte zumindest anhand der MAC freischalten und nicht einfach ohne irgendwas. Bzw. Drucker kommen aus Prinzip in ein VLAN wo nur Drucken erlaubt ist und sonst nichts.

So oder so, ich finde sein Scenario wird bei fast allen Firmen ohne größere IT-Abteilung funkionieren ;-) face-wink
Leider...
Womit man wieder sieht das IT Security nicht die notwendige Aufmerksamkeit bekommt, bis es zu einem Data Breach kommt.
Bitte warten ..
Mitglied: aqui
11.02.2016 um 16:34 Uhr
Nöö, es gibt etliche Drucker älterer Bauart die eben kein 802.1x können, aber noch schön drucken
Lieber Deepsys
Bitte tue uns allen den Gefallen und lese die Thread Antworten komplett und mit Tiefsinn. Dort steht doch Mac Passthrough !!
Sprich man macht eine .1x Authentisierung auf Basis der Mac Adresse mit oder ohne dyn. VLAN Zuweisung. Damit kann man auch ein 30 Jahres altes Endgerät authentisieren.
Bitte warten ..
Mitglied: altmetaller
11.02.2016, aktualisiert um 16:43 Uhr
Also, mal so rein kulturell betrachtet hat ein Mitarbeiter nicht "mal eben ohne Rücksprache" einen AccessPoint oder einen Drucker "zurückzusetzen".

Das Gerät kommt vom Netz, wird konfiguriert und kommt dann ins Netz zurück.

Abgesehen davon behaupte ich mal, dass nahezu alle Access Points und Drucker nach einem Reset erst einmal als DHCP-Client funktionieren.

Und überhaupt: Wer ans Kabel kommt, kann immer irgendwie Blödsinn bauen. Die Frage wäre eher, welchen Aufwand man treibt, um das zu verhindern. So oder so: "In der EDV geht es immer eine Spur schneller, sicherer und zuverlässiger". Die Lösung liegt im Kompromiss.
Bitte warten ..
Mitglied: aqui
11.02.2016, aktualisiert um 16:49 Uhr
Wer ans Kabel kommt, kann immer irgendwie Blödsinn bauen. Die Frage wäre eher, welchen Aufwand man treibt, um das zu verhindern.
Das ist der entscheidende Satz ! ;-) face-wink
Vielleicht sollte man noch hinzufügen wie wichtig einem Security im Netz ist...
Bitte warten ..
Mitglied: altmetaller
11.02.2016 um 17:32 Uhr
Macht es eigentlich Sinn, einen DC als Gateway dazwischenzuhängen?

Ich stelle mir gerade vor, vom DC zum Backbone ein VLAN zu ziehen und dann via DHCP den DC als Gateway zu verteilen.

Allerdings kann hier dann auch ein wilder DHCP-Server reingrätschen, ein anderes Gerät die IP vom DC erhalten und "eigentlich" hat ein DC auch schon so genügend Aufgaben zu erledigen...?!?

Ich hatte übrigens schon Kunden, die haben - zumindest in einigen Büros - die Patchkabel mit Sekundenkleber in den Unterputzdosen fixiert. Afaik gibt es auch abschließbare Dosen. Wohl auch nicht ohne Grund...
Bitte warten ..
Mitglied: umount
11.02.2016 um 20:38 Uhr
Auch zum Thema habe ich was passendes Parat. Ein guter Kumpel von mir hat eine Sehschwäche und sieht nur 20% weshalb er mit seinem Privatlaptop in einem Lagodidact Schulnetz arbeitet. Jetzt hat irgendein Dummdödel das Lankabel vom Laptop 2x in den gleichen Switch gesteckt. Daraufhin war der Admin 3 Stunden damit beschäftig Packete auszulesen. Er hat es dann auf die Fachinformatiker Systemintegration 1 Lehrjahr (also uns) geschoben da die PCs im falschen Raum in der Software eingetragen waren. In der Software stand Störung in Raum 12 dabei war "die störung" in Raum 11!
Bitte warten ..
Mitglied: altmetaller
11.02.2016 um 21:09 Uhr
Wie willst Du denn ein LAN-Kabel von einem Laptop zweimal in einen Switch stecken? Das Ding hat doch nur zwei Enden?!?
Bitte warten ..
Mitglied: umount
11.02.2016 um 21:17 Uhr
Wenn der Laptop weg ist was bleibt eine zweite Schnittstelle das hat der Dödel in den Switch gesteckt
Bitte warten ..
Mitglied: umount
11.02.2016 um 21:17 Uhr
Also ein Loop!
Bitte warten ..
Mitglied: clSchak
11.02.2016 um 21:44 Uhr
Hi

erm, wenn man das nicht passend konfiguriert hat durch den Loop das Netz lahmgelegt wird, dann sind grundsätzliche Design- / Configfehler im Netz.

Ein nettes aber kostspieliges Tools das einem neben 802.1x weitere Sicherheitstechnik mitbringt wäre ARPGuard, ist aber recht teuer (leider), damit kann die Authentifizierung und das Handling von unbekannten Geräte sehr schön umsetzen.

Gruß
@clSchak
Bitte warten ..
Mitglied: Deepsys
12.02.2016, aktualisiert um 10:20 Uhr
Guten Morgen

Zitat von @aqui:
Bitte tue uns allen den Gefallen und lese die Thread Antworten komplett und mit Tiefsinn. Dort steht doch Mac Passthrough !!
Sprich man macht eine .1x Authentisierung auf Basis der Mac Adresse mit oder ohne dyn. VLAN Zuweisung. Damit kann man auch ein 30 Jahres altes Endgerät authentisieren.
Ja, wenn man das so macht hast du natürlich völlig Recht.
Ich kenne es aber auch wie rocco61, das diese genau nicht gemacht wurde.
Vor allen in Firmen in denen die IT nicht die Drucker betreut, sondern eher der Hausmeister Facility Manager. (Ja, erlebt).
Aber eigentlich sind wir hier durch und ich schließe auch mit dem Satz von FA-jka und aqui ab:
Wer ans Kabel kommt, kann immer irgendwie Blödsinn bauen. Die Frage wäre eher, welchen Aufwand man treibt, um das zu verhindern

Das ist der entscheidende Satz ! 

Schönen ruhigen Tag allen hier ..... heute ist Freitag :-) face-smile
Bitte warten ..
Mitglied: emeriks
12.02.2016 um 10:00 Uhr
Vor allen in Firmen in denen die IT nicht die Drucker betreut, sondern eher der Hausmeister. (Ja, erlebt).
Das ist überhaupt nicht unüblich. Drucker laufen in vielen Büroumgebungen unter "Facility Management". Letzters betrachtet Drucker i.A. als technisches Gerät wie jedes andere auch und behandelt es auch so. Solange im Fahrstuhl nur ne Lampe gewechselt werden muss, muss dafür nicht extra die Wartungsfima kommen. So auch bei Drucker. Tonerwechsel, Papierstau, Betreuung/Begleitung der Wartungsfirma vor Ort, der rein physische Austausch von Geräten - das machen alles diese Techniker des FM. Nur wir nennen diese gerne pauschal und oft abwertend "Hausmeister".
Bitte warten ..
Mitglied: StefanKittel
12.02.2016 um 10:09 Uhr
Diese "Hausmeister" sind übrigends die gleichen die beim Augenarzt die Augenlaser justieren.
Der Arzt drückt nur noch auf einen Knopf....
Ein Hoch auf die Hausmeister.
Bitte warten ..
Mitglied: aqui
12.02.2016, aktualisiert um 19:02 Uhr
Jetzt hat irgendein Dummdödel das Lankabel vom Laptop 2x in den gleichen Switch gesteckt. Daraufhin war der Admin 3 Stunden damit beschäftig Packete auszulesen
Sorry aber der Riesendummdödel ist hier der Netzwerk Admin. Scheinbar hat der keinerlei Ahnung, denn auch ein Azubi im ersten Lehrjahr weiss das man auf Netzen bzw. Switches immer Spanning Tree aktiviert.
Das hätte dann diesen "Dummdödel Fehler" sicher verhindert.
Das dann noch auf die Kollegen zu schieben ist dann schon dummdreist. Muss man wohl nicht mehr weiter kommentieren solche grenzenlose Inkompetenz dieses "Admins" !
Bitte warten ..
Mitglied: umount
13.02.2016 um 18:35 Uhr
Was heisst den Admin der ist Lehrer und macht das Nebenher.
SRHK ist besser gesichert.
Und ELO-IT Auch.
Bitte warten ..
Mitglied: aqui
15.02.2016, aktualisiert um 14:15 Uhr
Gerade ein Lehrer sollte solche simplen Banalitäten kennen wie ihm Schüler das Netzwerk sabotieren können und er es mit einem simplen Mausklick sicher verhindern kann.
Spanning Tree ist so wie das kleine Einmaleins beim Mathelehrer...das sollte der auch mindestens drauf haben !
SRHP + ELO-IT = Bahnhof oder was ist das kryptisches ?
Bitte warten ..
Mitglied: umount
15.02.2016 um 18:27 Uhr
SRHK und ELO IT sind die Domains an dem die Rechner hängen :-) face-smile
Bitte warten ..
Mitglied: aqui
15.02.2016 um 20:19 Uhr
Dafür gibts wieder die neunschwänzige vom Kollgegen LKS oben....
Die Antwort wie man eine Domain dann "besser" sichert bist du uns ja noch schultig. "Sichern" per se ist ja ein recht weitläufiger Begriff der ALLES in der IT umfasst.
Kann man dann nur hoffen das der jetzt wenigstens STP aktiviert haben damits nicht wieder nen Dummdödel Gau gibt...
Bitte warten ..
Heiß diskutierte Inhalte
Sicherheit
Verpackter Laptop entwendet
r0x3llVor 1 TagFrageSicherheit10 Kommentare

Hallo. Mir wurde aus dem Büro ein noch verpackter Dell XPS Laptop mit einem Wert von ca 3.500€ gestohlen. Kann man da was orten? ...

Windows 10
Netzwerkzugriff intern extern blockiert nach Aufbau NordVPN Verbindung
gelöst Slavik-10Vor 1 TagFrageWindows 1030 Kommentare

hallo Leute, ich habe mir vor kurzem ein VPN Anbieter bestellt. Das Problem an der ganzen Sache ist, sobald eine VPN Verbindung zu einem ...

Off Topic
Namenskonzept Kundengeräte
bitnarratorVor 1 TagFrageOff Topic5 Kommentare

Hallo, ich möchte gerne einmal die Diskussion anstoßen, weil ich eine hier in diese Richtung noch nichts gefunden habe. Es geht um die Bennenung ...

Netzwerkgrundlagen
Router für neues Heimnetzwerk - was will man 2021 haben?
billy01Vor 1 TagFrageNetzwerkgrundlagen7 Kommentare

Guten Abend zusammen, nachdem sich bei mir viel getan hat, stehe ich nun vor einem Umzug und dem Neuaufbau meines Heimnetzwerkes. Also weg von ...

Windows Server
Kein Internetzugriff bei einem Domänenclient
KerberoVor 1 TagFrageWindows Server15 Kommentare

Hallo community, ich habe ein ganz komisches Verhalten eines Clients bei mir. Ich habe eine kleine Domäne (6 Clients und ein Windows Server 2016 ...

LAN, WAN, Wireless
2x Fritzbox 7590 mit separatem DSL über WAN verbinden
gelöst FailixVor 18 StundenFrageLAN, WAN, Wireless19 Kommentare

Liebes Administrator Forum, Ich bin schon länger passiver Lese und habe mich jetzt entschlossen mit einer Frage den ersten Post hier zu schreiben. Über ...

LAN, WAN, Wireless
Cat 7 Patchkabel mit nur 11MBits im Download
gelöst RickHHVor 15 StundenFrageLAN, WAN, Wireless7 Kommentare

Moin zusammen, ich habe mir soeben ein paar Patchkabel (aus einem Cat 7 Kabel) fertig gemacht. Die Belegung ist: 1 weiß/grün 2 grün 3 weiß/orange 4 blau 5 weiß/blau ...

DNS
Network Scanner zeigt falschen Hostname an
gelöst vafk18Vor 18 StundenFrageDNS10 Kommentare

Ich habe in meinem Netzwerk 3 Fritzboxen im Betrieb. Die Fritzboxen haben in den Einstellungen als Namen "fb7270", "fb7369" und "fb7412". Jede Fritzbox hat ...