Jump to content

Switch Mac Filter


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Servus!

 

Es gibt 3 Switche (HP Pro Curve 2650er). Diese sind ohne MAC Tabellen konfiguriert :eek: . Dieses stelle ich nun gerade ab :D . Eine dumme Frage hätte ich da aber vorher noch:

 

Die Switche sind untereinander logischerweise verbunden über Active Connector. Wenn ich nun an dem Active Connector Port eine statische Mac hinzufüge, also an Switch1 auf Active Connector Port 22 die MAC von Switch 2 an Port 50 und umgekehrt, können sich dann nur noch Switch 1 und 2 untereinander "unterhalten" oder können meine PC´s die an den LAN Port´s bei Switch 1 und 2 hängen sich auch noch "unterhalten"!?

 

Grüße

Link to post

Um noch eins drauf zu setzen:

 

MAC-Filter machen meines Erachtens überhaupt keinen Sinn.

 

Zum einen ist man mehr mit der Pflege beschäftigt als mit der normalen Arbeit und zum zweiten kann man bei nahezu jeder NIC die MAC frei konfigurieren. Ein Sicherheitsgewinn ist es daher wohl kaum, wenn ich dem Switch erzähle, ich habe die MAC meines Kollegen und ich damit den MAC-Filter aushebel.

 

grüße

 

dippas

Link to post
  • 3 weeks later...

es geht darum, dass nicht jeder rechner an einer x beliebigen patch dose angeschlossen werden kann, sonder nur der mit der entsprechenden MAC. Im DHCP Server sind auch entsprechende Einstellungen konfiguriert.

Wie habt ihr denn bei euch sowas geregelt - wenn sowas keinen sinn macht !?:confused:

 

Grüße

Link to post

Deine Anforderung ist ganz klar ein Fall für 802.1x -> das können auch HP Switches ab der 25xx Serie (der 2650er sowieso)

 

Kann mich dippas nur voll und ganz anschließen, was du vor hast ist nicht wirklich managebar und die Sicherheit bei MAC-Adressen anzusetzen ist IMHO vergeudete Zeit.

Natürlich kann man es so machen aber dann sollte das schon eine sehr kleine Installation sein (max. 20-30 Geräte) und die Sicherheit als nice-to-have angesehen werden. :rolleyes:

 

Aber um noch mal deine ursprüngliche Frage zu beantworten:

Ein MAC-Filter filtert (wie der Name schon sagt :D ) anhand der (Source-)MAC-Adressen und lässt somit auch nur die durch die angegeben wurden.

In deinem Beispiel würde überhaupt nichts mehr funktionieren weil du erstens keine Client-Adressen angibst und zweitens müsstest du die Base-MAC der beiden Switches angeben. Management-Traffic wird nur mit dieser Adresse verschickt und ist nicht davon abhängig welche MAC-Adresse der Outgoing-Switchport hat.

Link to post

Nun ja, VLAN hat doch nun aber nicht unbedingt was mit Sicherheit zu tun (jede Station kann jede andere direkt ansprechen würde dadurch vermieden werden doch aber sonst nichts, oder?)

Wir haben hier eine W2k Domäne im Einsatz mit ca. 70 Usern. Es kommt hierbei auch vor, dass ein User auf Resourcen von einem anderen User zugreifen muss. Verstehe nicht so ganz was mir VLAN bringt bzw was so schlimm an der MAC Filterung ist.???

 

@dippas: "Ein Sicherheitsgewinn ist es daher wohl kaum, wenn ich dem Switch erzähle, ich habe die MAC meines Kollegen und ich damit den MAC-Filter aushebel."

 

Das nutzt doch gar nichts, da der Rechner nicht am selben Port hängt. Es würde klappen, wenn man einen beliebigen Rechner an den Port von PCx hängt und zuvor von PCx die MAC herausfindet und diese dann auf dem beliebigen Rechner einträgt. Nur wie kann man sich denn dagegen wehren???????????

 

Grüße

Link to post

Hab geschreiben "je nach Belieben" d.h. du kannst unbekannte Geräte auch einfach aussperren -> oft werden unbekannte Geräte halt in ein VLAN verschoeben in dem sie "nur" Internetzugang haben. Sehr praktisch wenn Gäste/Consultants/externe Mitarbeiter nicht auf eure Infrastruktur zugreifen sollen aber trotzdem ins Internet müssen

 

Vielleicht hast du vorher auch was falsch verstanden, natürlich wird nicht jeder User in ein eigenes VLAN verschoeben. Jede Gruppe wird ins gleiche VLAN verschoben und hat somit eben Zugriff auf alles oder nur bestimmte Bereiche.

 

Der Vorteil von 802.1x gegenüber deiner Lösung mit MAC-Filtern:

1) einmal zentral konfiguriert (RADIUS-Server) gilt dann für alle Switches

2) wesentlich sicherer weil man mit Zertifikaten arbeiten kann

3) Sicherheitsstufe kann pro User (nicht nur pro Gerät) vergeben werden

Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...