besucher

Hallo Leute, wenn Ihr erlaubt, möchte ich euch um Hilfe bitten. Problembeschreibung Kurz: Ab dem ersten Anmelden an der Domäne eines XP Clients dauert das "Computereinstellungen werden übernommen..." bei den nächsten Anmeldungen fast 2 Minuten. Problembeschreibung Lang: Server: Windows Server 2003 Standard Edition SP1 - DC, DNS, DHCP, WINS, AD Client(s): Windows XP Professional (Version 2002) SP2 XP Client wird mit einer Installationsroutine neu aufgesetzt und automatisch in die Domäne in eine Installation OU in AD eingetragen. Die Installationsroutine ist wie folgt: Neuer PC: Booten von einem Bootmedium --> PC bekommt von DHCP IP Adresse --> Netzlaufwerk wird verbunden --> XP wird installiert --> Lokaler Administrator bleibt/wird angemeldet. Solange sich kein Benutzer an der Domain anmeldet geht das Anmelden ratz-fatz... aber wenn Sich zum Ersten mal ein Domain Benutzer anmeldet --> Problem Kurz Dachte Zuerst DNS aber der "Scheint" zu Funktionieren. Jemand eine Idee? ipconfig/all - ServerX: Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : serverx Primäres DNS-Suffix . . . . . . . : domain.local Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : domain.local Ethernet-Adapter LAN-TEAM: Verbindungsspezifisches DNS-Suffix: Physikalische Adresse . . . . . . : xx-xx-xx-xx-xx-xx DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.60.220 Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.60.5 DNS-Server . . . . . . . . . . . : 192.168.60.220 ipconfg/all - Client: Ethernetadapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: domain.local Beschreibung. . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet for hp Physikalische Adresse . . . . . . : xx-xx-xx-xx-xx-xx DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja IP-Adresse. . . . . . . . . . . . : 192.168.60.110 Subnetzmaske. . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.60.5 DHCP-Server . . . . . . . . . . . : 192.168.60.220 DNS-Server. . . . . . . . . . . . : 192.168.60.220[b]// DNS Server Standort 1[/b] 10.6.0.10 [b]// DNS Server Standort 2[/b] Primärer WINS-Server. . . . . . . : 192.168.60.220 Lease erhalten. . . . . . . . . . : Donnerstag, 23. März 2006 09:27:39 Lease läuft ab. . . . . . . . . . : Freitag, 24. März 2006 09:27:39 AD: Server befindet sich in: CN=SERVERX,OU=Domain Controllers,DC=domain,DC=local AD: Clients befinden sich in: CN=XP-Client,OU=Computer,OU=Ressorcen,OU=Standort1,OU=Standorte,DC=domain,DC=local Angewendete Gruppenrichtlinienobjekte: Hab auch alle Gruppenrichtlinienobjekte außer die Default Domain Policy und eine mit Passwortrichtlinen rausgenommen (ohne spürbaren Erfolg) domain.local - Default Domain Policy - Passwortrichtlinen

Ja London wäre schon interessant... amen :jau: lg

Stimmt aber die Funktionsweise von 802.1x ist, dass ein Client eine erste Verbindung zum Switch herstellt. Der Switch ignoriert solange alle Verbindungen und fragt die Identität des Clients ab und sendet diese an den RADIUS Server. Wenn der RADIUS den Client authentifiziert wird diesem die Kommunikation durch den Switch ermöglicht und daher beim Switch (Layer2) die MAC Adresse des Clients dem Switch Port zugeordnet. Danke, werd ich mir mal reinziehen :) Siehe meine antwort auf mein erstes Quote.... ...nachdem ein Client 802.1x authentifiziert und dadurch der Switchport geöffnet wird, erfolgt "keine weitere" Kommunikation zwischen Client und Switch. Wenn ich jetzt auf dem Angreifer-Client die MAC Adresse des authentifiziert PC übertrage und jetzt einen HUB (Layer1 - der alles Broadcastet) auf das authentifizierte geöffnete Switchport dazwischenschalte auf dem der authentifizierte Client und mein Angreifer-Client (mit der selben MAC) hängt, ist es für den Switch so als gäbe es nur den einen Client, wegen der selben MAC Adresse. Dadurch wäre es dem Angreifer möglich mittels UDP und ICMP Protokollen zu kommunizieren. Sollte aber auf dem authentifiziert Client eine Firewall laufen die nicht angeforderten Datenverkehr blockt könnte der Angreifer auch mittels TCP kommunizieren und hätte somit vollzugriff. lg michael

Danke für eure Antworten, eigentlich geht es mir nur um ein "kostengünstiges" Tool das mich Informiert wenn ein nicht konformes Endgerät in meinem Netz identifiziert wird… zur: 802.1x-Authentifizierung: ist vorhanden aber das Problem bei Kupfer erfolgt ja diese nur bei herstellen der Verbindung... (möchte jetzt keine Anleitung für böse Buben schreiben) wenn also mit dem internen PC eine authentifizierte 802.1x Verbindung steht, der böse Bube diesen PC physisch vom Netz trennt, einen HUB dazwischen steckt - MAC Adresse auf seinen privaten PC überträgt - usw… Switches sind nun mal (Hauptsächlich) Layer 2 Komponenten (MAC Adresse)…

Anscheinend kann man solches wirklich nur über eine MAC Erkennung lösen. Leider ist es aber ein leichtes dem Fremdgerät eine MAC Adresse zu verpassen die irgendein Rechner im Firmennetz besitzt. Natürlich kann der "Angreifer" nur wenig machen (z.B.: über den Proxy ins Internet) weil er nicht in der Domain hängt, aber das reicht ja schon :( Kennt ihr ein nettes Tool (außer CISCO), dass so etwas ermöglicht? lg und danke fürs welcome Michael

Hallo, ein Sicherheitsrisiko ist wenn jemand Fremdhardware -Privatlaptop- im internen Firmen Netz ansteckt. Wenn Ihr erlaubt möchte ich dazu zwei Fragen stellen.... Kennt Ihr Tools die, die Überwachung ermöglichen und mir eventuell auch eine AlarmMessage senden wenn jemand solche im Netz ansteckt? Was tut Ihr dagegen? Besten Dank Michael