Axelino 10 Geschrieben 15. Dezember 2004 Melden Geschrieben 15. Dezember 2004 Hallo, kennt jemand ein Tool, mit dem man im Netzwerk nur Rechner mit bestimmten Mac-Adressen, die z.B. in einer Liste gepflegt werden, zulassen kann? Ich könnte zwar die Mac-Adressen über DHCP-Reservierung fest an eine IP-Adresse binden, aber dann habe ich keine echte dynamische IP-Verwaltung mehr. Falls man "unbekannte" Mac-Adressen schon nicht sperren kann (was meiner Meinung nach ein simples Sicherheitstool wäre), gibts dann wenigstens eine Möglichkeit, dass der Admin informiert wird, sobald eine Mac-Adresse die nicht in einer Whitelist steht, ans Netz kommt? Viele Grüße Axelino Zitieren
dark knight 10 Geschrieben 15. Dezember 2004 Melden Geschrieben 15. Dezember 2004 Könnte dir da Option 47 Bereichskennung im DHCP helfen? Zitieren
Operator 10 Geschrieben 15. Dezember 2004 Melden Geschrieben 15. Dezember 2004 Für den Privatbereich unerschwinglich, aber im professionellen Bereicht sehr zu empfehlen sind Manageable Switche, die das konfigurieren der erlaubten MAC-Adressen pro Port erlauben. Damit könntest Du dann z.B. einstellen, daß an einem Port kein anderes Gerät angeschlossen werden darf und falls doch der Port einfach deaktiviert wird. So oder so ähnlich :) Das wird nur mit 30€ Switchen nicht klappen. Meine Cisco's in der Firma waren doch etwas teurer ;) Andre Zitieren
blub 115 Geschrieben 15. Dezember 2004 Melden Geschrieben 15. Dezember 2004 Hi, Der Standard, der Schutz auf dieser Ebene anbietet, heisst 802.1x . Google einfach mal z.B. http://www2.computeruniverse.net/compare.asp?a=90089417&language=deutsch&w=normal 85€ für nen Router, der 802.1x unterstützt, ist ja gar nicht mehr so teuer. cu blub Zitieren
Axelino 10 Geschrieben 16. Dezember 2004 Autor Melden Geschrieben 16. Dezember 2004 Hallo Operator, wir haben hier managebare Switches, HP Procurve 4000m sind echt gut, aber haben meines Wissens den Nachteil, dass ich die Mac-Adresse nur auf einen bestimmten Port fixieren kann. Sobald jemand sein Notebook umstöpselt wärs dann aber aus, das kanns auch nicht sein. Eigentlich müsste es doch ein simples Tool sein, bestimmte Mac-Adressen zu sperren, oder zumindest den Admin zu warnen wenn jemand mit einer "out of range"-Adresse ans Netz geht. Wenn es sowas noch nicht gibt, dann ist das ne echte Marktlücke. Zitieren
Operator 10 Geschrieben 16. Dezember 2004 Melden Geschrieben 16. Dezember 2004 Hi Axelino, ja das stimmt... dafür gibts dann 802.1x. Das gibts nicht nur für Wireless Router, sondern auch für normale Switche. Musst mal schauen, ob die ProCurve Switche das können. Nur dann muss man sowas konsequent auf allen Ports umsetzen und den dafür benötigten RADIUS Server einigermaßen sicher aufsetzen :) Ein Tool, das unbekannt MAC Adressen aufspürt und meldet ist mir nicht bekannt. Spätestens bei mehreren Netzen und VLANs ist das aber eh unpraktisch, da Du in jedem Segment so einen Sniffer mitlaufen lassen müsstest, um alles zu protokollieren. Aber ich ziehe Prävention reinem Monitoring vor... Andre Zitieren
dark knight 10 Geschrieben 16. Dezember 2004 Melden Geschrieben 16. Dezember 2004 Vor ~ 4 oder 5 Jahren hatte die University Cambridge mal ein verfahren im Campus unter linux beschrieben um IP'S für neue Clients in ein Quarantänenetz zu stellen, las sich sehr gut schien logisch. Aber dem Hinweis Operator's würde ich heute auf jeden Fall folgen. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.