taubi 10 Geschrieben 4. März 2005 Melden Teilen Geschrieben 4. März 2005 Hallo zusammen, in unserem internen VLAN sind Server w2k,2003,NW6.5,Linux,Solaris und Clients Win9x..XP per IP-classB und teilweise IPX vernetzt (ges. ca.350Geräte). Das Internet ist über einen Router zu erreichen. Unter anderem gibt es eine Domäne mit 2x W2k(DC) und 1x Win2003(M) Server. Auf den DC's läuft DHCP,DNS,WINS. Die meisten Clients haben feste IP's aus benanntem ClassB-Netz. Alle anderen Clients beziehen Konfigurationen vom DHCP. Die Netzanbindung erfolgt mittels cisco switches mit ethernet100 Ports. Beide DHCP-Server stehen zwecks Ausfallsicherheit im gleichen subnetz mit unterschiedlichen Bereichen. Um den ungewollten Anschluss zB. virenverseuchter Laptops in Zukunft zu verhindern aber trotzdem registrierten Studenten und Gästen eine Kommunikation zu ermöglichen, würde ich nun bekannte MAC's in Reservierungslisten eintragen und die Bereiche auf jene beschränken müssen. Diese Prozedur muss dann wohl je DHCP Server getätigt werden. Beim Ausscheiden dann nochmals. Frage 1. Gibt es eine elegantere Lösung? 2. Ist Windows DHCP der richtige Weg oder Diskusionen pro NovellDHCP nachzugeben? 3. Wie kann man die Performanceeinbußen wegen langer Listen eingrenzen oder sind sie zu vernachlässigen? 4. Gibt es eine Möglichkeit die Zuweisungen mittels Passwortabfrage zu regulieren? schon mal danke im voraus taubi Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 4. März 2005 Melden Teilen Geschrieben 4. März 2005 Hy ich würde bis auf Drucker und Server alles andere dynamisch per DCHP regeln. (Einfacher Administrierbar) Novell würde ich von Board schmeißen kenn genug die höchset Novell Zertifizierungen haben und gesagt haben Novell hat den Zug verpasst. Lange Listen gibts nicht und die Zuweisung könntest du zwar nicht per Passwort aber per MAC steuern, wozu ? (hoher Aufwand ) Gruß CoolAce :cool: Zitieren Link zu diesem Kommentar
a.jakob 10 Geschrieben 6. März 2005 Melden Teilen Geschrieben 6. März 2005 hallo.. also deine Grundidee ist auf jedenfall gut.. jedoch halte ich den Aufwand für zu gigantisch. Ich kenne deine Netzstrucktur nicht genug um hier jetzt einen besseren Vorschlag machen zu können. Jedoch würde ich mir überlegen die von dir gewünschte Sicherheit evtl auf anderen Wegen herzustellen. Grundsätzlich würden meine Ideen richtung Firewalls oder IDS etc gehen. Vielleicht könnte die Umarbeitung der Netzstrucktur auch helfen. Hierzu mal ein paar Fragen die Dir vielleicht helfen: 1. Gibt es ausser deinen PC´s und die Gastzugänge noch weitere "Gruppen" von Usern. 2. Gibt es Systeme die man in eigene Netze setzen kann wo nur einzelne Gruppen zugriff haben. 3. Gibt es sehr sensibele Bereiche? Hier könnte ein Macfilter vor dem Server helfen. etc. Insgesamt sollte man auch nicht vergessen das eine MAC Adresse auch geändert werden kann. Die Sicherheit ist nicht unbedingt dadurch gegeben. MAC Adressen verschaffen etwas Sicherheit. Sind aber auch leicht zu attakieren. Ich hoffe ich konnte Dir etwas helfen. MFG a.jakob Zitieren Link zu diesem Kommentar
taubi 10 Geschrieben 7. März 2005 Autor Melden Teilen Geschrieben 7. März 2005 Hi CoolAce , hi A.Jakob alle Rechner mit DHCP verwalten hört sich gut an, kann ich aber nur durchsetzen, wenn ich mit einer überzeugenden Lösung aufwarten kann. Für "Netware rausschmeissen" gilt das gleiche. Nochimmer ist die Verwaltung der Dateisystemrechte und die NDS einfacher zu bedienen und schneller wirksam. Zum Beispiel kann ich für einen Benutzer per Knopfdruck alle vergebenen Dateirechte im gesamten Baum suchen und listen lassen. Gleiches gilt für die effektiven Rechte. Eine Änderung wird sofort wirksam. Deshalb wurde vor kurzem für die Dateiserver mit Netware 4 ein Upgrade auf Netware 6.5 entschieden. Nichts desdo trotz möchte ich hier mit guten MS Lösungen überzeugen zB. DHCP, DNS... Eine Firewall gibts natürlich zwischen Intranet und Internet. Ich beziehe mich auf das Intranet indem fast ALLE PC's und Laptop's folgende Gemeinsamkeiten haben : -nichtöffentliche IP Adresse mit Maske 16Bit -selben Gateway zum Internet -Zugriff mittels Novellclient über TCP/IP auf 2 oben erwähnte Dateiserver Der sensible Bereich ist pysisch getrennt und hat damit auch keinen Intranet und Internetzugang; soll auch hier nicht betrachtet werden. Die Änderung einer MAC sehe ich als mutwilligen manuellen Systemeingriff und möchte diesen aus der Aufgabenstellung erstmal ausklammern. Mac-Filter am Server(DHCP) - was ist damit gemeint ? würde mich auf weitere Vorschläge freuen taubi Zitieren Link zu diesem Kommentar
taubi 10 Geschrieben 11. Mai 2005 Autor Melden Teilen Geschrieben 11. Mai 2005 So sieht nun unsere Lösung aus: Dhcp1 und 2 mit identischen Bereichen Bereich auf Dhcp2 von der Verteilung ausgeschlossen trotzdem auf beiden Dhcp identische Registrierungen je MAC manuell pflegen Der client findet bei Anfrage die Reservierung auf einem der Server und erhält die Lease. Fällt einer aus , reicht der zweite DHCP für Leasebestätigung laut Reservierung aus. Eine Zuständigkeitsüberschneidung und Datenbankfehler gibt es wegen der Bereichsausschließung auf Dhcp2 nicht. Demnächst implementiert: Um den manuellen Aufwand für Tagesgäste klein zu halten wird ein WLAN hinter einem Router örtlich und zeitlich begrenzt aktiviert, welches Dhcp ohne Registrierung zulassen wird. Die erlaubten Verbindungen werden dort beschränkt werden. Damit ist das Netz kontrollierbarer geworden. Die absolute Sicherheit könnte man über inteligente Switche und Radiusserver erreichen. Manueller Aufwand bleibt jedoch gleich groß. ciao taubi Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.