du verstehst nicht auf was ich hinaus will, wenn mir eien dieser mac adressen bekannt ist, dann trag ich die bei mir ein und fertig. Schon kann ich alles ws der richtige Besitzer dieser Adresse ebenfalls tun. Mir gehts also schon um den ersten Schritt bei einem sicheren Netz...der Authentifizierung, und die ist wenn man sich auf etwas unzuverlässiges wie die MAC Adresse verlässt eben nicht sicher.
Es geht atmo nichts über 802.1X, richtig implementiert tut sich da ein Angreifer schon verdammt schwer....und ihr tut euch grade bei gossen Netzen um vieles einfacher.
die MAC Adresse ist fest auf dem Port konfiguriert. Es ist UNMÖGLICH, dass irgendwer sich diese MAC adresse klaut weil dazu muss er auch zeitgleich die Kontrolle über den Rechner haben für den diese aktiviert ist.
Was bringt es jemanden, die MAC Adresse von einem anderen Rechner zu fälschen, wenn für seinen Port diese gar nicht aktiv ist? Er kann doch nur eine einzige MAC für seinen Rechner verwenden, dass ist diese welche wir von der Administration für seinen Switchport aktiviert haben. Da wir Administratoren auch die einzigen sind, die physikalisch Zugang zu den Rechnern und Switchports haben (die User loggen sich ausschließlich remote auf die Computer ein), kann auch niemand ein Kabel umstecken oder so).
ich wüsste nicht wie 802.1x auch nur im Ansatz so einfach, zweckmäßig und effektiv arbeiten sollte. Weil für diese Methode bei uns ist Rechnerseitig nichts nötig. Einfach nur die MAC Adresse bei der Installation notieren und dann wird das ganze auf den Switchport konfiguriert. Sobald der User versucht die MAC oder IP zu ändern, geht diese MAC einfach nicht oder der ganze Rechner ist offline und wir haben einen Eintrag in unserem Log.
Und das Ziel von diesem Thread hier war nicht das, weil das jetzt beschriebene mit der Portsecurity läuft schon seit ner ganzen Weile...hier im Thread geht es darum, die IntraVLAN Kommunikation auf Null zu reduzieren, sprich privateVLANs, was durch die 2960 halt nur durch ein paar Kunststücke möglich ist, sprich protected Ports auf den 2960 und eine VACL auf den 6500.
Da die Rechner nur die MAC nutzen können, die wir am Switchport eingetragen haben und der Coreswitch nur die Pakete forwarded, wo die ZielMAC die vom Gateway ist, wie sollte da jetzt irgendeiner auch nur im Ansatz in der Lage sein etwas anderes zu machen als was wir ihm explizit erlaubt haben?
Naja, "Portsecurity" mit der MAC Adresse ist dennoch so eine Sache. Den 0815 User behinderst du da mit, ist schon klar. Aber an ein IPconfig /all zu kommen und wenn der User mal nicht da ist sich an diesen Port zu klemmen, oder auch nur dazwischen ist da halb so schweer. So manch ein Hardwarehersteller macht es noch einfacher da die MAC Adresse gleich mit auf den Inventaraufkleber gedruckt wird. Da ist es dann selbst für die Puzfrau einfach das abzlesen.
Ein ordentliches 802.1x Konzept ist da meiner Meinung nach besser und auch skalierbarer. Außerdem ist es sobald es mal eingerichtet ist mit weniger Arbeitsaufwand verbunden. Das hängt aber auch immer mit der Größe des Netzes sowie der Anzahl an Änderungen zusammen.
Aber jedem Netzwerkadmin das was er möchte. Ich würde es auch nicht gerne sehen wenn jemand bei mir rummosert
ich habe doch extra geschrieben, die einzigen, die physikalisch überhaupt in der Lage sind an die Kabel zu kommen, sind die Netzwerkadmins
es ist zu 100% ausgeschlossen, dass irgendein anderer an die Hardware (Switche, Kabel, Rechner) rankommt, außer den Admins selbst. Wenn doch, dann hätten wir ein arges Sicherheitsproblem
Und jetzt erkläre mir mal, wenn da kein User in der Lage ist, überhaupt die Kabel zu Gesicht zu bekommen, wie er jetzt noch etwas anstellen sollte
und in unserem Anwendungsfall ist 802.1x schlichtweg nicht realisierbar weil so ziemlich sämtliche auf den Markt bekannten Betriebsysteme zum Einsatz kommen und die Administration meist zu 100% dem User selbst obliegt. Und da dann noch viele User ihr eigenes Betriebssystem installieren, ohne unser zutun, wäre das einfach zuviel Aufwand da dann auch noch eine funktionierende RADIUS authentifizierung ans Laufen zu bekommen. Ich wüsste nichtmal wie das unter Citrix Xen oder einem ESXi oder vsphere oder so gehen sollte. Habs zumindest noch nie gehört dass die das könnten.
Also sowas in der Art wie Hetzner oder S4Y Sag das doch gleich ...
Ne, die Diskussion ist wirklich bisschen vom Thema weg, kommt halt immer aufs Szenario an.
Protected Ports am Edge und VACLs sind da doch am einfachsten ...
Sag das doch gleich ... 
