Jump to content
Sign in to follow this  
pfeffis

Switch Mac Filter

Recommended Posts

Servus!

 

Es gibt 3 Switche (HP Pro Curve 2650er). Diese sind ohne MAC Tabellen konfiguriert :eek: . Dieses stelle ich nun gerade ab :D . Eine dumme Frage hätte ich da aber vorher noch:

 

Die Switche sind untereinander logischerweise verbunden über Active Connector. Wenn ich nun an dem Active Connector Port eine statische Mac hinzufüge, also an Switch1 auf Active Connector Port 22 die MAC von Switch 2 an Port 50 und umgekehrt, können sich dann nur noch Switch 1 und 2 untereinander "unterhalten" oder können meine PC´s die an den LAN Port´s bei Switch 1 und 2 hängen sich auch noch "unterhalten"!?

 

Grüße

Share this post


Link to post
Share on other sites

Meiner Meinung nach macht ein MAC Filter nur Sinn für die Ports wo Clients draufhängen, ob des auch für Switche untereinander gilt weiß ich nicht macht aber auch keinen Sinn

Share this post


Link to post
Share on other sites

Um noch eins drauf zu setzen:

 

MAC-Filter machen meines Erachtens überhaupt keinen Sinn.

 

Zum einen ist man mehr mit der Pflege beschäftigt als mit der normalen Arbeit und zum zweiten kann man bei nahezu jeder NIC die MAC frei konfigurieren. Ein Sicherheitsgewinn ist es daher wohl kaum, wenn ich dem Switch erzähle, ich habe die MAC meines Kollegen und ich damit den MAC-Filter aushebel.

 

grüße

 

dippas

Share this post


Link to post
Share on other sites

Um welche Art von Sicherheit gegen wem und was soll es denn gehen bei der Aktion?

 

Falls es nur verhindern soll, das ein FWW-User sein privates NB anschliesst an einen Port, da kann es reichen.

Share this post


Link to post
Share on other sites

es geht darum, dass nicht jeder rechner an einer x beliebigen patch dose angeschlossen werden kann, sonder nur der mit der entsprechenden MAC. Im DHCP Server sind auch entsprechende Einstellungen konfiguriert.

Wie habt ihr denn bei euch sowas geregelt - wenn sowas keinen sinn macht !?:confused:

 

Grüße

Share this post


Link to post
Share on other sites

Deine Anforderung ist ganz klar ein Fall für 802.1x -> das können auch HP Switches ab der 25xx Serie (der 2650er sowieso)

 

Kann mich dippas nur voll und ganz anschließen, was du vor hast ist nicht wirklich managebar und die Sicherheit bei MAC-Adressen anzusetzen ist IMHO vergeudete Zeit.

Natürlich kann man es so machen aber dann sollte das schon eine sehr kleine Installation sein (max. 20-30 Geräte) und die Sicherheit als nice-to-have angesehen werden. :rolleyes:

 

Aber um noch mal deine ursprüngliche Frage zu beantworten:

Ein MAC-Filter filtert (wie der Name schon sagt :D ) anhand der (Source-)MAC-Adressen und lässt somit auch nur die durch die angegeben wurden.

In deinem Beispiel würde überhaupt nichts mehr funktionieren weil du erstens keine Client-Adressen angibst und zweitens müsstest du die Base-MAC der beiden Switches angeben. Management-Traffic wird nur mit dieser Adresse verschickt und ist nicht davon abhängig welche MAC-Adresse der Outgoing-Switchport hat.

Share this post


Link to post
Share on other sites

Ja, mit 802.1x kannst du im Grunde VLAN-Zuordnung machen. Authentifizierte Geräte und/oder Benutzer kommen ins "normale" LAN, Gäste ins GuestLAN... Je nach Belieben :D

Share this post


Link to post
Share on other sites

Nun ja, VLAN hat doch nun aber nicht unbedingt was mit Sicherheit zu tun (jede Station kann jede andere direkt ansprechen würde dadurch vermieden werden doch aber sonst nichts, oder?)

Wir haben hier eine W2k Domäne im Einsatz mit ca. 70 Usern. Es kommt hierbei auch vor, dass ein User auf Resourcen von einem anderen User zugreifen muss. Verstehe nicht so ganz was mir VLAN bringt bzw was so schlimm an der MAC Filterung ist.???

 

@dippas: "Ein Sicherheitsgewinn ist es daher wohl kaum, wenn ich dem Switch erzähle, ich habe die MAC meines Kollegen und ich damit den MAC-Filter aushebel."

 

Das nutzt doch gar nichts, da der Rechner nicht am selben Port hängt. Es würde klappen, wenn man einen beliebigen Rechner an den Port von PCx hängt und zuvor von PCx die MAC herausfindet und diese dann auf dem beliebigen Rechner einträgt. Nur wie kann man sich denn dagegen wehren???????????

 

Grüße

Share this post


Link to post
Share on other sites

Hab geschreiben "je nach Belieben" d.h. du kannst unbekannte Geräte auch einfach aussperren -> oft werden unbekannte Geräte halt in ein VLAN verschoeben in dem sie "nur" Internetzugang haben. Sehr praktisch wenn Gäste/Consultants/externe Mitarbeiter nicht auf eure Infrastruktur zugreifen sollen aber trotzdem ins Internet müssen

 

Vielleicht hast du vorher auch was falsch verstanden, natürlich wird nicht jeder User in ein eigenes VLAN verschoeben. Jede Gruppe wird ins gleiche VLAN verschoben und hat somit eben Zugriff auf alles oder nur bestimmte Bereiche.

 

Der Vorteil von 802.1x gegenüber deiner Lösung mit MAC-Filtern:

1) einmal zentral konfiguriert (RADIUS-Server) gilt dann für alle Switches

2) wesentlich sicherer weil man mit Zertifikaten arbeiten kann

3) Sicherheitsstufe kann pro User (nicht nur pro Gerät) vergeben werden

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...