dolphon 10 Geschrieben 27. April 2007 Melden Teilen Geschrieben 27. April 2007 Hi, folgende Frage sind wir zur Zeit in der Abteilung am diskutieren. Wie kann man den Netzwerk-Zugang einer externen Person mit Notebook im Unternehmen verhindert. Sprich einer kommt ins Hauptgebäude und stöpselt seine NB in einem Büro ans Netz. MFG Dominik Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 27. April 2007 Melden Teilen Geschrieben 27. April 2007 Hi, eine Möglichkeit bestände darin eine Portsecurity aufzubauen, ist aber wiederum mit Kosten und Verwaltungsaufwand verbunden. ->Windows Server How-To Guides: 802.1x Port Security mit IAS-Server und Windows CA - ServerHowTo.de Zitieren Link zu diesem Kommentar
tacher 10 Geschrieben 27. April 2007 Melden Teilen Geschrieben 27. April 2007 Wir setzen bei uns Static DHCP ein. Hält schon mal sicher 99% davon ab ihre eigene IT von zuhause mitzunehmen. Zitieren Link zu diesem Kommentar
eXOs 10 Geschrieben 27. April 2007 Melden Teilen Geschrieben 27. April 2007 Wir setzen bei uns Static DHCP ein. Hält schon mal sicher 99% davon ab ihre eigene IT von zuhause mitzunehmen. Hi, kenn ich nicht, Frage an der Stelle, wie genau läuft das? IUnd wie ist das mit dem verwealtungsaufwand? Zitieren Link zu diesem Kommentar
aligan 10 Geschrieben 27. April 2007 Melden Teilen Geschrieben 27. April 2007 Hi, Es kommt auf die Größe des Unternehmens an. es kommt drauf an welche Ziele du verfolgst: - willst du dir irgendwelche Wahnsinnige vom Hals halten? - willst du neugierigen Mitarbeitern die ständig die "PC-Bild tools" ausprobieren möchten Steine in den Weg legen? - oder gehts es um Korruption, Spionage, Racheakte oder... Punkt 3. ist nicht ohne, wenn du dies bez. Fragen hast bitte PN. aligan Zitieren Link zu diesem Kommentar
Squire 212 Geschrieben 27. April 2007 Melden Teilen Geschrieben 27. April 2007 jeder der nur ansatzweise weiß wie man TCP/IP schreibt kommt in das Netz rein! Es werden halt nur die IP Adressen nicht völlig frei vergeben. Das hält externe noch lange nicht vom Netz ab! Entweder nur die benötigten Netzwerkdosen durchpatchen oder Portsecurity auf den Switchen (alle nicht beötigten Ports deaktivieren) Mir fallen da zwar einige Methoden ein um Unbefugten den Zugriff nicht zu gewähren aber die sind mit heftigen Aufwand verbunden ... Mac Filter auf den Switchen, Radius Authentifizierung, ... Wie gesagt .. einfachst und wirkungsvollste Methode nur die benötigten Netzwerkanschlüsse bereitstellen - WLAN ist bei uns mit etokens, Zertifikaten und Radius abgesichert und ein völlig anderes Netzsegment mit Firewalls zum normalen Netz ... und vor allem ohne DHCP @eXos: Er meint ... DHCP Range aufmachen, kompletten Range von der Verteilung ausschließen und IP Adressen via Reservierung im DHCP eintragen (im Prinzip zentrale manuelle IP Adressvergabe - Du benötigst die Mac Adresse der Nic, trägst diese ein und setzt die IP Adresse) Zitieren Link zu diesem Kommentar
fischer-denkt 10 Geschrieben 30. Mai 2007 Melden Teilen Geschrieben 30. Mai 2007 Da gibts keine 100%ige Lösung, man kann es aber mit einem hohen Maß an administrativen Aufwandt sehr eingrenzen. Zum einen würd ich mal die Abteilungen in verschiedene Subnets hängen. Diese dann mit VLANs oder gar mit seperaten Switches trennen. Am Ende steht immer die Firewall welche als Gateway arbeitet. Somit ist schonmal geklärt dass die Buchhaltung nicht zu bestimmten Servern usw. hin kommt. Sinnvoll wäre es eventuell in dem Regelsatz nicht nur auf IPs zu schauen sondern auch die MACs zu bestimmten Sources zu definieren (würde extremen administrativen Aufwandt mit sich bringen). Somit hätte man aber die Garantie, dass definitiv nur interene Geräte arbeiten können. Außnahmen bilden natürlich die Regel. Unterschätzt werden glaub ich auch oft die VOIP-phones. Steckt man statt einem Telefon ein Notebook an, hängt er im Netz. Diesen also auch ein eigenes Netz geben. Wenn man es ganz sicher machen möchte kann man intern auch VPN aufziehen, also die PC verbinden sich zur FW und dürfen somit erst ins Netz. Es ist ein interessantes Thema wo man unendlich lang unterhalten kann. Bin auf weitere Antworten gespannt. LG Falk Zitieren Link zu diesem Kommentar
Gulp 226 Geschrieben 30. Mai 2007 Melden Teilen Geschrieben 30. Mai 2007 Eine MAC ist ja nun auch nicht schwer zu fälschen .... Port Security hält zumindest die meisten Spassvögel mit Hardware von zuause ab .... aber glaub mir wenn erst MAC basierte Port Security auf Switch Level altiv ist, möchte man sich über kurz oder lang keine neuen PC's mehr in 50er oder 100er Einheiten auf einmal zum Einrichten liefern lassen. ;) Kombiniert mit VLAN's und Abteilungsservern sieht das zwar alles schnuckelig aus, generiert aber manchmal echt komische Konstrukte wenn die User von Abteilung A den Inhalt einer Abteilungs-Freigabe auf den Public Server in der DMZ kopieren, damit Abteilung B da dran kommt ....... Solch ein Netzwerkdesign lässt sich IMO leider nicht pauschal empfehlen, das bedarf grundsätzlich einer angepassten Abbildung des Workflows im Unternehmen und macht es dadurch nicht wirklich einfacher, da sich auch nicht alles so einfach abbilden lässt. Grüsse Gulp Zitieren Link zu diesem Kommentar
fischer-denkt 10 Geschrieben 30. Mai 2007 Melden Teilen Geschrieben 30. Mai 2007 Mhm, ich kenn einige die so ein Konzept fahren und das sehr erfolgreich. Mit einer gescheiten internen FW lassen sich Probleme auch schnell finden und lösen. Shares sind ein Problem. Das gleiche hat man aber auch bei einem ungetrennten Netz. Um einen Public Share wird man glaub ich nicht herumkommen. Pro Abteilung einen Server würd ich glaub ich etwas übertrieben finden, dass sollte man auch mit einem intelligenten MSAD-Berechtigungskonzept auf einem Server absichern können. LG Falk Zitieren Link zu diesem Kommentar
Gulp 226 Geschrieben 30. Mai 2007 Melden Teilen Geschrieben 30. Mai 2007 Ich habe ja auch nicht gesagt, dass das Konzept an sich schlecht ist, im Gegenteil, sowas hab ich auch schon mehrfach erfolgreich umgesetzt. Allerdings muss man sich die durch das Konzept bedingten "Schwachstellen", administrativen Unebenheiten, den zu erwartenden Mehraufwand an manchen Stellen und wohl auch die zu erwartenden Kosten am Besten vorher bewusst werden, was zugegebenermassen schwer fällt. Daher meine, durchaus nicht ganz bierernst gemeinten, jedoch aus der Realität entnommenen Einwürfe. Ich kann Dir jedenfalls sagen, dass der ein oder andere IT Verantwortliche, dem ich eine solche Lösung aufgesetzt habe, diese vorher in den höchsten Tönen gelobt hat und nach zwei Wochen die Schnauze voll hatte vom (ich meine ja immer noch angeblich) ".... erheblichen und nicht zumutbarem administrativen Mehraufwand, gänzlich abgesehen von dem hier nicht berücksichtigten Mehraufwand zur Dokumentation der ständig durchzuführenden Änderungen...." und daher die ein oder andere Konfiguration wieder deaktiviert bzw entfernt hat. Es kommt eben, wie ich auch schon sagte, auf die Umstände und Gegebenheiten im Unternehmen an. Grüsse Gulp Zitieren Link zu diesem Kommentar
fischer-denkt 10 Geschrieben 30. Mai 2007 Melden Teilen Geschrieben 30. Mai 2007 Entschuldigen brauchst Du Dich nun wirklich nicht. Ich habe nur mit Leuten zu tun die schon fertige Umgebungen am laufen haben oder gerade dabei sind eine aufbauen. Bisher habe ich noch nie jemanden überzeugen müssen ... Da erlebt man sicher das ein oder andere mal eine Überraschung! LG Falk Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.