c0d3.r3d
Goto Top

Windows DHCP Server - Firmenfremde Geräte den Netzwerk-Zugriff verweigern

Hallo,

wie bereits oben im Titel genannt, haben wir auf einem 2012er Server unseren DHCP laufen. Ab und zu kommt es dazu, dass ein spaßiger Mitarbeiter oder ein Azubi meint, hey ich steck mal den Rechner aus dem Switch und schließe meine eigene Hardware an oder nutze eine der freien Netzwerkdosen. Bei uns haben außer die AP´s, die Drucker und die Server alle Rechner dynamische Adressen.

Gibt es eine Möglichkeit im DHCP Server einzustellen, das neue unbekannte MAC-Adressen vorher z.B. genehmigt werden müssen bevor sie eine IP zugewiesen bekommen? Oder kann man das mit irgendwelchen Filter-Methoden machen?

Grüße

Content-Key: 484369

Url: https://administrator.de/contentid/484369

Ausgedruckt am: 28.03.2024 um 17:03 Uhr

Mitglied: emeriks
emeriks 11.08.2019 um 15:13:42 Uhr
Goto Top
Hi,
wenns mit Bordmitteln sein soll, dann ginge das schon mit einfachen MAC-Filtern . Das kommt aber jetzt darauf an, von wieviel Geräten wir da sprechen.

E.
Mitglied: NixVerstehen
NixVerstehen 11.08.2019 um 15:18:32 Uhr
Goto Top
Servus,

da hast du verschiedene Möglichkeiten. Ungenutzte Dosen kannst du vom Switch nehmen oder die Ports in ein „Quarantäne“-VLAN legen,

Wenn deine Switches die Möglichkeit bieten, dann kannst du DHCP-Trusted Port verwenden. Es soll ja Mitarbeiter geben, die aus Spaß alte Router an ungenutzte Dosen anschließen.

Mach dich mal zum Thema Radius und Windows-Server schlau. Der WinServer kann als NPS (Network Policy Server) fungieren.

Gruß NV
Mitglied: Lochkartenstanzer
Lochkartenstanzer 11.08.2019 um 15:36:23 Uhr
Goto Top
802.1X

lks
Mitglied: aqui
aqui 11.08.2019 aktualisiert um 15:41:09 Uhr
Goto Top
Gibt es eine Möglichkeit im DHCP Server einzustellen
Wenig oder nicht wirklich mit DHCP Frickelei ! Mit statischen IPs überwindet man das auch als Laie in Sekunden...
Das Feature der Wahl heisst 802.1x Port Authentisierung und hat jeder nur halbwegs bessere China Switch an Bord.
Mit dem Mac Passthrough Filter kannst du fremde Geräte entweder ganz blockieren oder in ein sog. Gummizellen VLAN zwingen wo sie nix machen können und sich z.B. über ein Captive_Portal mit einem Gast Voucher authentisieren müssen. CPs haben heutzutage auch einfache Switches schon mit an Bord.
Oder du nutzt statt Mac Adressen die MS AD Login Credentials. Beides geht...auch in Kombination.
Guckst du hier:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Ist ein simples Allerwelts Szenario was man eigentlich als Netzwerker auch ohne Administrator Forum Thread kennen sollte !
Mitglied: c0d3.r3d
c0d3.r3d 11.08.2019 um 15:45:03 Uhr
Goto Top
Hallo,

@emeriks, wenn ich das jetzt richtig verstanden haben, müsste ich bei den Verweigerten Geräten die MAC-Adressen aller Geräte eintragen die keine bekommen sollen - das würde gehen, bei Geräten die ich kenne, aber was mach ich mit neuen Geräten deren MAC ich nicht kenne? Wir reden hier von rund ~ 150 Arbeitsstationen, an denen es möglich ist, LAN Kabel zu tauschen oder umzustecken. In einigen Räumen, z.B. in unseren Schulungsräumen sind Verriegelbare LAN-Kabel in Verwendung, was jedoch nicht die optimalste Lösung ist, weil diese gerne mal "rausgerissen" werden und auf dauer das ganze kostspielig werden kann.

@NixVerstehen, Ungenutzte Dosen kann ich leider nicht vom Switch nehmen, da nirgendswo beschrieben worden ist, an welche Dose welches Kabel vom Patchpanel geht und dies bei über 200 Dosen manuell auszutesten ist mir persönlich zu viel Aufwand - da würde ich eher auf die MAC-Filterung zurückgreifen. Die Switche bieten leider keine solche Möglichkeiten, sind leider in den betreffenden Bereichen 0815 Desktop Switche aus einem PC Laden, teilweise sogar nur 100Mbit/s welche in Reihe geschaltet sind - teilweise echt schlimm wie darunter die Performance leidet, aber daran darf ich so einfach leider nichts ändern - ist nicht mein zuständiger Bereich. Zum NPS hab ich kurz was überflogen in der Mittagspause, setzte mich damit gleich nochmal auseinander.

Gruß
Mitglied: NixVerstehen
NixVerstehen 11.08.2019 um 16:40:09 Uhr
Goto Top
Zitat von @c0d3.r3d:

@NixVerstehen, Ungenutzte Dosen kann ich leider nicht vom Switch nehmen, da nirgendswo beschrieben worden ist, an welche Dose welches Kabel vom Patchpanel geht und dies bei über 200 Dosen manuell auszutesten ist mir persönlich zu viel Aufwand ...

Also die üblichen gewachsenen Strukturen, die eben irgendwie funktionieren.

Als wir 2014 in ein erworbenes Gebäude umgezogen sind, hab ich mit einem Kollegen einen Tag lang, bewaffnet mit Walkie-Talkie, Spannungsprüfer und Netzwerktester alle Netzwerkdosen und Steckdosen ordentlich beschriftet, weil der Vorbesitzer nichts dokumentiert hatte. War zwar viel Arbeit, aber spart zukünftig reichlich Sucharbeit.

Laufen den wenigstens alle Kabel auf Patchpanels in einem zentralen Schrank?

Gruß NV
Mitglied: sleaper
sleaper 11.08.2019 um 16:42:37 Uhr
Goto Top
Hi,

Schau dir doch mal macmon (https://www.macmon.eu/) an.... alles drin was du dafuer brauchst. Bei Fragen kannst du dich gerne melden.

Gruß
Mitglied: c0d3.r3d
c0d3.r3d 11.08.2019 um 18:19:05 Uhr
Goto Top
@NixVerstehen, ja genau - die immer gewachsene Struktur in der nie was protokolliert wurde.

Zentralen Schrank würde ich es nicht nennen, jede Etage hat halt einen Switch auf den die Etage zusammenläuft und von dort dann in den Serverraum in den nächsten Switch läuft, welcher direkt mit dem Server verbunden ist.

@sleaper, schau ich mir Mal an. Danke.
Mitglied: NixVerstehen
NixVerstehen 11.08.2019 um 18:28:11 Uhr
Goto Top
Zitat von @c0d3.r3d:

Zentralen Schrank würde ich es nicht nennen, jede Etage hat halt einen Switch auf den die Etage zusammenläuft und von dort dann in den Serverraum in den nächsten Switch läuft, welcher direkt mit dem Server verbunden ist.

Hmm...je Etage dann ein Patchfeld und ein Switch? Oder liegt der Switch irgendwo unter einem Schreibtisch von dort geht's direkt per Patchkabeln an die Geräte?
Mitglied: c0d3.r3d
c0d3.r3d 11.08.2019 um 18:37:15 Uhr
Goto Top
Jeder Raum hat einen Switch in dem alle Geräte aus dem Raum Zusammen kommen, manchmal auch zwei oder drei in Reihe wenn's zu viele Geräte sind. Dieser Switch ist mit wieder mit einem Kabel an den Etagen Switch angeschlossen. Und dieser ist wiederum im Server Raum ans Patchfeld gebunden.

Vereinzelt gibt es auch Wanddosen, die fließen dann aber auch an den Raum-Switch.

Grundsätzlich ist die Idee gut gewesen, nur die Umsetzung schlecht.
Mitglied: aqui
aqui 11.08.2019 aktualisiert um 18:39:33 Uhr
Goto Top
jede Etage hat halt einen Switch auf den die Etage zusammenläuft und von dort dann in den Serverraum in den nächsten Switch läuft, welcher direkt mit dem Server verbunden ist.
Flaches, dummes Layer 2 Netzwerk oder gibt es irgendwelche intelligente oder sinnvolle Segmentierung (VLANs etc.) ??!
Mitglied: NixVerstehen
NixVerstehen 11.08.2019 um 19:12:10 Uhr
Goto Top
Zitat von @c0d3.r3d:

Jeder Raum hat einen Switch in dem alle Geräte aus dem Raum Zusammen kommen, manchmal auch zwei oder drei in Reihe wenn's zu viele Geräte sind. Dieser Switch ist mit wieder mit einem Kabel an den Etagen Switch angeschlossen. Und dieser ist wiederum im Server Raum ans Patchfeld gebunden.

Vereinzelt gibt es auch Wanddosen, die fließen dann aber auch an den Raum-Switch.

Ok, Ihr habt also je Etage einen Etagen-Switch. Von dort führen wahllos wild verlegte Patchkabel zu irgendwelchen Desktop-Switches, die man eben wie Mehrfachsteckdosen solange aneinander gereiht hat, bis jedes Gerät einen freien Switchport bekommt. Und du bist der arme Administrator, der das möglichst ohne nennenswerte Kosten am Leben erhalten soll?

Falls das wie oben beschrieben zutrifft, ist der Zugriff betriebsfremder Geräte auf euer Netz vermutlich noch euer geringstes Problem.
Da muss erstmal eine Struktur und eine ordentliche Verkabelung rein.

Gruß NV
Mitglied: c0d3.r3d
c0d3.r3d 11.08.2019 um 20:12:35 Uhr
Goto Top
Naja, sinnvoll oder intelligent liegt im Auge des Betrachters - früher ist das wohl für sinnvoll erachtet worden. Es gibt VLAN's für die Eintrittskontrolle mit der Chip-Karte und für die Videoanlage im Haus - aber wo da die Kabel liegen hab ich keinen Blassen Schimmer - ich glaube ich will das auch garnicht wissen. Es ist eh schon katastrophal genug, dass jede Etage nur über ein 100MBit/s Switch miteinander verbunden ist und da hinter so ca 20-40 Rechner hängen - da dauert das Aufrufen von Webseiten schonmal - und den Proxy kann ich ausschließen. Wenn ich an Terminal Stationen sitze geht's mit dem surfen flott, die Server sind ja über Gigabit angebunden.

Mit der Mehrfachsteckdose trifft es wirklich sehr gut, zum Glück ist die Stromverteilung nicht so verlegt, da gibt es zum Glück nur Boden oder Wanddosen - und ne halbwegs gute Beschriftung.

Ja, die Struktur ist wie aus dem Bilderbuch, nämlich so wie man es nicht machen sollte. Ich hab auch bereits einen Termin mit dem zuständigen Chef für das Gebäude gemacht, weil nächstes Jahr VoIP geplant ist und da sehe ich definitiv mit der Struktur schwarz.

Wie würden denn eine sinnvolle Aufteilung eurer Meinung nach aussehen? Jede Etage mit einem Patchpanel (Gigabit) und von dort direkt zu den Clients ohne den Raum-Switch oder den Raum-Switch auch durch einen größeren Gigabit ersetzen, sodass keine Mehrfachswitche mehr nötig sind, außer halt von dem Raum in den Etagen Switch?
Mitglied: maretz
maretz 11.08.2019 um 22:22:47 Uhr
Goto Top
Moin,

was ich machen würde - je nachdem was ihr als Switch habt:
- Radius aufsetzen und dort die MAC-Adressen der Firmengeräte einlesen (sollte recht einfach mittels Script gehen wenn man die ausm DHCP von Windows exportiert bekommt)
- Switch auf den Radius setzen
- Jeden Port bei Benutzung einer nicht zugelassenen MAC auf Shut setzen und gesperrt lassen...
--> Der Kollege/Azubi steckt seinen Rechner wieder an, geht immer noch nicht, IT anrufen, Ar***tritt abholen. Wenn es lt. Firmenrichtlinie verboten ist private Geräte anzuklemmen (bzw. nicht explizit erlaubt!) UND dann noch die Firmen-Hardware abgezogen wird wäre der Spass für mich zuende. Ich wäre der letzte der nicht versucht Möglichkeiten zu finden, wer aber mein Netz kaputt macht muss damit rechnen das der o.g. Ar...tritt auch mal am Ar... vorbei geht und selbe Höhe der vorderen Körperseite trifft....
Mitglied: maretz
maretz 11.08.2019 um 22:27:20 Uhr
Goto Top
Für eine ordentliche Struktur kann der einzige Rat nur lauten: Entweder hol dir nen Firma ODER mach dir in Ruhe Gedanken.. Es gibt ungefähr 2000 Layouts die möglich sind. Die hängen dann vom Budget, von deinem Gebäude und von den Möglichkeiten ab... Nehmen wir an du musst durch x Brandabschnitte dann mag es ggf. sinn machen sogar mehrere Etagen-Verteiler pro Etage zu haben. Nehmen wir an du hast nur nen altes Kabel mit 4 Adern was leider einbetoniert wurde und du hast keine Option da was neues zu legen -> dann macht GBit schon wenig Sinn...

Dafür gibt es aber Firmen die sich mit genau diesen Themen auskennen - in nem Forum ohne wirkliche Baupläne, Fotos usw. sowas zu machen würde nur nen Schuss ins Blaue bedeuten... D.h. du hast ne chance von ca. 1/1999 das es wirklich passt.