Windows DHCP Server - Firmenfremde Geräte den Netzwerk-Zugriff verweigern
Hallo,
wie bereits oben im Titel genannt, haben wir auf einem 2012er Server unseren DHCP laufen. Ab und zu kommt es dazu, dass ein spaßiger Mitarbeiter oder ein Azubi meint, hey ich steck mal den Rechner aus dem Switch und schließe meine eigene Hardware an oder nutze eine der freien Netzwerkdosen. Bei uns haben außer die AP´s, die Drucker und die Server alle Rechner dynamische Adressen.
Gibt es eine Möglichkeit im DHCP Server einzustellen, das neue unbekannte MAC-Adressen vorher z.B. genehmigt werden müssen bevor sie eine IP zugewiesen bekommen? Oder kann man das mit irgendwelchen Filter-Methoden machen?
Grüße
wie bereits oben im Titel genannt, haben wir auf einem 2012er Server unseren DHCP laufen. Ab und zu kommt es dazu, dass ein spaßiger Mitarbeiter oder ein Azubi meint, hey ich steck mal den Rechner aus dem Switch und schließe meine eigene Hardware an oder nutze eine der freien Netzwerkdosen. Bei uns haben außer die AP´s, die Drucker und die Server alle Rechner dynamische Adressen.
Gibt es eine Möglichkeit im DHCP Server einzustellen, das neue unbekannte MAC-Adressen vorher z.B. genehmigt werden müssen bevor sie eine IP zugewiesen bekommen? Oder kann man das mit irgendwelchen Filter-Methoden machen?
Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 484369
Url: https://administrator.de/forum/windows-dhcp-server-firmenfremde-geraete-den-netzwerk-zugriff-verweigern-484369.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
15 Kommentare
Neuester Kommentar
Hi,
wenns mit Bordmitteln sein soll, dann ginge das schon mit einfachen MAC-Filtern . Das kommt aber jetzt darauf an, von wieviel Geräten wir da sprechen.
E.
wenns mit Bordmitteln sein soll, dann ginge das schon mit einfachen MAC-Filtern . Das kommt aber jetzt darauf an, von wieviel Geräten wir da sprechen.
E.
Servus,
da hast du verschiedene Möglichkeiten. Ungenutzte Dosen kannst du vom Switch nehmen oder die Ports in ein „Quarantäne“-VLAN legen,
Wenn deine Switches die Möglichkeit bieten, dann kannst du DHCP-Trusted Port verwenden. Es soll ja Mitarbeiter geben, die aus Spaß alte Router an ungenutzte Dosen anschließen.
Mach dich mal zum Thema Radius und Windows-Server schlau. Der WinServer kann als NPS (Network Policy Server) fungieren.
Gruß NV
da hast du verschiedene Möglichkeiten. Ungenutzte Dosen kannst du vom Switch nehmen oder die Ports in ein „Quarantäne“-VLAN legen,
Wenn deine Switches die Möglichkeit bieten, dann kannst du DHCP-Trusted Port verwenden. Es soll ja Mitarbeiter geben, die aus Spaß alte Router an ungenutzte Dosen anschließen.
Mach dich mal zum Thema Radius und Windows-Server schlau. Der WinServer kann als NPS (Network Policy Server) fungieren.
Gruß NV
Gibt es eine Möglichkeit im DHCP Server einzustellen
Wenig oder nicht wirklich mit DHCP Frickelei ! Mit statischen IPs überwindet man das auch als Laie in Sekunden...Das Feature der Wahl heisst 802.1x Port Authentisierung und hat jeder nur halbwegs bessere China Switch an Bord.
Mit dem Mac Passthrough Filter kannst du fremde Geräte entweder ganz blockieren oder in ein sog. Gummizellen VLAN zwingen wo sie nix machen können und sich z.B. über ein Captive_Portal mit einem Gast Voucher authentisieren müssen. CPs haben heutzutage auch einfache Switches schon mit an Bord.
Oder du nutzt statt Mac Adressen die MS AD Login Credentials. Beides geht...auch in Kombination.
Guckst du hier:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Ist ein simples Allerwelts Szenario was man eigentlich als Netzwerker auch ohne Administrator Forum Thread kennen sollte !
Zitat von @c0d3.r3d:
@NixVerstehen, Ungenutzte Dosen kann ich leider nicht vom Switch nehmen, da nirgendswo beschrieben worden ist, an welche Dose welches Kabel vom Patchpanel geht und dies bei über 200 Dosen manuell auszutesten ist mir persönlich zu viel Aufwand ...
@NixVerstehen, Ungenutzte Dosen kann ich leider nicht vom Switch nehmen, da nirgendswo beschrieben worden ist, an welche Dose welches Kabel vom Patchpanel geht und dies bei über 200 Dosen manuell auszutesten ist mir persönlich zu viel Aufwand ...
Also die üblichen gewachsenen Strukturen, die eben irgendwie funktionieren.
Als wir 2014 in ein erworbenes Gebäude umgezogen sind, hab ich mit einem Kollegen einen Tag lang, bewaffnet mit Walkie-Talkie, Spannungsprüfer und Netzwerktester alle Netzwerkdosen und Steckdosen ordentlich beschriftet, weil der Vorbesitzer nichts dokumentiert hatte. War zwar viel Arbeit, aber spart zukünftig reichlich Sucharbeit.
Laufen den wenigstens alle Kabel auf Patchpanels in einem zentralen Schrank?
Gruß NV
Hi,
Schau dir doch mal macmon (https://www.macmon.eu/) an.... alles drin was du dafuer brauchst. Bei Fragen kannst du dich gerne melden.
Gruß
Schau dir doch mal macmon (https://www.macmon.eu/) an.... alles drin was du dafuer brauchst. Bei Fragen kannst du dich gerne melden.
Gruß
Zentralen Schrank würde ich es nicht nennen, jede Etage hat halt einen Switch auf den die Etage zusammenläuft und von dort dann in den Serverraum in den nächsten Switch läuft, welcher direkt mit dem Server verbunden ist.
Hmm...je Etage dann ein Patchfeld und ein Switch? Oder liegt der Switch irgendwo unter einem Schreibtisch von dort geht's direkt per Patchkabeln an die Geräte?
Zitat von @c0d3.r3d:
Jeder Raum hat einen Switch in dem alle Geräte aus dem Raum Zusammen kommen, manchmal auch zwei oder drei in Reihe wenn's zu viele Geräte sind. Dieser Switch ist mit wieder mit einem Kabel an den Etagen Switch angeschlossen. Und dieser ist wiederum im Server Raum ans Patchfeld gebunden.
Vereinzelt gibt es auch Wanddosen, die fließen dann aber auch an den Raum-Switch.
Jeder Raum hat einen Switch in dem alle Geräte aus dem Raum Zusammen kommen, manchmal auch zwei oder drei in Reihe wenn's zu viele Geräte sind. Dieser Switch ist mit wieder mit einem Kabel an den Etagen Switch angeschlossen. Und dieser ist wiederum im Server Raum ans Patchfeld gebunden.
Vereinzelt gibt es auch Wanddosen, die fließen dann aber auch an den Raum-Switch.
Ok, Ihr habt also je Etage einen Etagen-Switch. Von dort führen wahllos wild verlegte Patchkabel zu irgendwelchen Desktop-Switches, die man eben wie Mehrfachsteckdosen solange aneinander gereiht hat, bis jedes Gerät einen freien Switchport bekommt. Und du bist der arme Administrator, der das möglichst ohne nennenswerte Kosten am Leben erhalten soll?
Falls das wie oben beschrieben zutrifft, ist der Zugriff betriebsfremder Geräte auf euer Netz vermutlich noch euer geringstes Problem.
Da muss erstmal eine Struktur und eine ordentliche Verkabelung rein.
Gruß NV
Moin,
was ich machen würde - je nachdem was ihr als Switch habt:
- Radius aufsetzen und dort die MAC-Adressen der Firmengeräte einlesen (sollte recht einfach mittels Script gehen wenn man die ausm DHCP von Windows exportiert bekommt)
- Switch auf den Radius setzen
- Jeden Port bei Benutzung einer nicht zugelassenen MAC auf Shut setzen und gesperrt lassen...
--> Der Kollege/Azubi steckt seinen Rechner wieder an, geht immer noch nicht, IT anrufen, Ar***tritt abholen. Wenn es lt. Firmenrichtlinie verboten ist private Geräte anzuklemmen (bzw. nicht explizit erlaubt!) UND dann noch die Firmen-Hardware abgezogen wird wäre der Spass für mich zuende. Ich wäre der letzte der nicht versucht Möglichkeiten zu finden, wer aber mein Netz kaputt macht muss damit rechnen das der o.g. Ar...tritt auch mal am Ar... vorbei geht und selbe Höhe der vorderen Körperseite trifft....
was ich machen würde - je nachdem was ihr als Switch habt:
- Radius aufsetzen und dort die MAC-Adressen der Firmengeräte einlesen (sollte recht einfach mittels Script gehen wenn man die ausm DHCP von Windows exportiert bekommt)
- Switch auf den Radius setzen
- Jeden Port bei Benutzung einer nicht zugelassenen MAC auf Shut setzen und gesperrt lassen...
--> Der Kollege/Azubi steckt seinen Rechner wieder an, geht immer noch nicht, IT anrufen, Ar***tritt abholen. Wenn es lt. Firmenrichtlinie verboten ist private Geräte anzuklemmen (bzw. nicht explizit erlaubt!) UND dann noch die Firmen-Hardware abgezogen wird wäre der Spass für mich zuende. Ich wäre der letzte der nicht versucht Möglichkeiten zu finden, wer aber mein Netz kaputt macht muss damit rechnen das der o.g. Ar...tritt auch mal am Ar... vorbei geht und selbe Höhe der vorderen Körperseite trifft....
Für eine ordentliche Struktur kann der einzige Rat nur lauten: Entweder hol dir nen Firma ODER mach dir in Ruhe Gedanken.. Es gibt ungefähr 2000 Layouts die möglich sind. Die hängen dann vom Budget, von deinem Gebäude und von den Möglichkeiten ab... Nehmen wir an du musst durch x Brandabschnitte dann mag es ggf. sinn machen sogar mehrere Etagen-Verteiler pro Etage zu haben. Nehmen wir an du hast nur nen altes Kabel mit 4 Adern was leider einbetoniert wurde und du hast keine Option da was neues zu legen -> dann macht GBit schon wenig Sinn...
Dafür gibt es aber Firmen die sich mit genau diesen Themen auskennen - in nem Forum ohne wirkliche Baupläne, Fotos usw. sowas zu machen würde nur nen Schuss ins Blaue bedeuten... D.h. du hast ne chance von ca. 1/1999 das es wirklich passt.
Dafür gibt es aber Firmen die sich mit genau diesen Themen auskennen - in nem Forum ohne wirkliche Baupläne, Fotos usw. sowas zu machen würde nur nen Schuss ins Blaue bedeuten... D.h. du hast ne chance von ca. 1/1999 das es wirklich passt.