Axelino 10 Posted December 15, 2004 Report Share Posted December 15, 2004 Hallo, kennt jemand ein Tool, mit dem man im Netzwerk nur Rechner mit bestimmten Mac-Adressen, die z.B. in einer Liste gepflegt werden, zulassen kann? Ich könnte zwar die Mac-Adressen über DHCP-Reservierung fest an eine IP-Adresse binden, aber dann habe ich keine echte dynamische IP-Verwaltung mehr. Falls man "unbekannte" Mac-Adressen schon nicht sperren kann (was meiner Meinung nach ein simples Sicherheitstool wäre), gibts dann wenigstens eine Möglichkeit, dass der Admin informiert wird, sobald eine Mac-Adresse die nicht in einer Whitelist steht, ans Netz kommt? Viele Grüße Axelino Quote Link to comment
dark knight 10 Posted December 15, 2004 Report Share Posted December 15, 2004 Könnte dir da Option 47 Bereichskennung im DHCP helfen? Quote Link to comment
Operator 10 Posted December 15, 2004 Report Share Posted December 15, 2004 Für den Privatbereich unerschwinglich, aber im professionellen Bereicht sehr zu empfehlen sind Manageable Switche, die das konfigurieren der erlaubten MAC-Adressen pro Port erlauben. Damit könntest Du dann z.B. einstellen, daß an einem Port kein anderes Gerät angeschlossen werden darf und falls doch der Port einfach deaktiviert wird. So oder so ähnlich :) Das wird nur mit 30€ Switchen nicht klappen. Meine Cisco's in der Firma waren doch etwas teurer ;) Andre Quote Link to comment
blub 115 Posted December 15, 2004 Report Share Posted December 15, 2004 Hi, Der Standard, der Schutz auf dieser Ebene anbietet, heisst 802.1x . Google einfach mal z.B. http://www2.computeruniverse.net/compare.asp?a=90089417&language=deutsch&w=normal 85€ für nen Router, der 802.1x unterstützt, ist ja gar nicht mehr so teuer. cu blub Quote Link to comment
Axelino 10 Posted December 16, 2004 Author Report Share Posted December 16, 2004 Hallo Operator, wir haben hier managebare Switches, HP Procurve 4000m sind echt gut, aber haben meines Wissens den Nachteil, dass ich die Mac-Adresse nur auf einen bestimmten Port fixieren kann. Sobald jemand sein Notebook umstöpselt wärs dann aber aus, das kanns auch nicht sein. Eigentlich müsste es doch ein simples Tool sein, bestimmte Mac-Adressen zu sperren, oder zumindest den Admin zu warnen wenn jemand mit einer "out of range"-Adresse ans Netz geht. Wenn es sowas noch nicht gibt, dann ist das ne echte Marktlücke. Quote Link to comment
Operator 10 Posted December 16, 2004 Report Share Posted December 16, 2004 Hi Axelino, ja das stimmt... dafür gibts dann 802.1x. Das gibts nicht nur für Wireless Router, sondern auch für normale Switche. Musst mal schauen, ob die ProCurve Switche das können. Nur dann muss man sowas konsequent auf allen Ports umsetzen und den dafür benötigten RADIUS Server einigermaßen sicher aufsetzen :) Ein Tool, das unbekannt MAC Adressen aufspürt und meldet ist mir nicht bekannt. Spätestens bei mehreren Netzen und VLANs ist das aber eh unpraktisch, da Du in jedem Segment so einen Sniffer mitlaufen lassen müsstest, um alles zu protokollieren. Aber ich ziehe Prävention reinem Monitoring vor... Andre Quote Link to comment
dark knight 10 Posted December 16, 2004 Report Share Posted December 16, 2004 Vor ~ 4 oder 5 Jahren hatte die University Cambridge mal ein verfahren im Campus unter linux beschrieben um IP'S für neue Clients in ein Quarantänenetz zu stellen, las sich sehr gut schien logisch. Aber dem Hinweis Operator's würde ich heute auf jeden Fall folgen. Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.