bronto665 10 Geschrieben 7. Dezember 2005 Melden Geschrieben 7. Dezember 2005 Hallo! Ich habe eine Windows 2003 Domäne mit ausschließlich XP Clients. Ab unnd an kommen externe Besucher mit ihren eigenen Laptops in unser Netzwerk und bekommen natürlich auch eine DHCP Adresse. Ich habe 2 Intenetgateways, die vollkommen getrennt sind. Einer wird kaum benutzt. Kann ich meinem DHCP Server irgendwie sagen, dass er den Clients aus der Domäne einen bestimmten DHCP Adressbereich gibt? Den anderen (Laptops) soll er eine anderes Netz / Bereich geben. Aus Sicherheitsgründen. Ich dachte schon daran den Clients über GP einfach eine ClassID zuzuweisen. Allerdings bringen die ClassIDs leider nur in einem Adressbereich etwas: So könnte ich den Laptops einen anderen DNS oder gateway geben - aber das reicht ja nicht aus. Ich möchte die Laptops gern aus meinem Netzbereich ganz raus haben. Vielen Dank für Ideen / Lösungen Gruß, Bronto
Tobi72 10 Geschrieben 7. Dezember 2005 Melden Geschrieben 7. Dezember 2005 Hallo, das ist kein Problem. Richte einfach eine IP-Adressreservierung ein. Du brauchst dazu die MAC-Adresse der Netzwerkkarte des Laptops und schon kann es losgehen.
carlito 10 Geschrieben 7. Dezember 2005 Melden Geschrieben 7. Dezember 2005 Kann ich meinem DHCP Server irgendwie sagen, dass er den Clients aus der Domäne einen bestimmten DHCP Adressbereich gibt? Den anderen (Laptops) soll er eine anderes Netz / Bereich geben. Aus Sicherheitsgründen. Hm. Vielleicht wenn der DHCP Server zwei NICs hat, die an unterschiedliche Switches angeschlossen sind. Ich möchte die Laptops gern aus meinem Netzbereich ganz raus haben. AFAIK geht das so nicht. Vielleicht mit 802.1x Authentifizierung, sofern die Switches das können. Damit habe ich mich allerdings noch nicht beschäftigt.
lefg 276 Geschrieben 7. Dezember 2005 Melden Geschrieben 7. Dezember 2005 Hallo Bronto, von mir ein Willkommen am Board. :) Wo schliessen diese Besucher ihre Rechner denn an? Sie werden doch wohl nicht einen angeschlossenen Rechner abklemmen und dessen Anschluss nutzen. Oder doch? Wer sind denn diese Besucher, Firmenangehörige oder Fremde? Gruß Edgar
carlito 10 Geschrieben 7. Dezember 2005 Melden Geschrieben 7. Dezember 2005 Richte einfach eine IP-Adressreservierung ein. Du brauchst dazu die MAC-Adresse der Netzwerkkarte des Laptops und schon kann es losgehen. Die MAC-Adressen von externen Besuchern als DHCP-Reservierung eintragen? Sorry, aber das klingt ziemlich unpraktisch.
substyle 20 Geschrieben 7. Dezember 2005 Melden Geschrieben 7. Dezember 2005 Das ist nichtnur unpraktisch sondern nützt auch wenig. Sicherheitstechnisch kann man eingeschleppte "Fremdhardware" nur mit IPSec und MAC Filter an den Swtches bekämpfen. subby
lefg 276 Geschrieben 7. Dezember 2005 Melden Geschrieben 7. Dezember 2005 Die MAC-Adressen von externen Besuchern als DHCP-Reservierung eintragen? Sorry, aber das klingt ziemlich unpraktisch.Das meine ich auch. Falls ein Fremder ohne Kenntnis der Administration ein Gerät an das physikalische Netz klemmt, was dann? Muss die (erste) Sperre nicht schon am Port des (konfigurierbaren) Switches ansetzen? Hausangehörige dürfen(können) nur ihnen zugewiesene Anschlüsse benutzen, Frende nur bestimmte andere. Das Nichteinhalten der Vorschriften muss Alarm auslösen.
Gulp 289 Geschrieben 7. Dezember 2005 Melden Geschrieben 7. Dezember 2005 Das meine ich auch. Falls ein Fremder ohne Kenntnis der Administration ein Gerät an das physikalische Netz klemmt, was dann? Muss die (erste) Sperre nicht schon am Port des (konfigurierbaren) Switches ansetzen? Hausangehörige dürfen(können) nur ihnen zugewiesene Anschlüsse benutzen, Frende nur bestimmte andere. Das Nichteinhalten der Vorschriften muss Alarm auslösen. Da stimme ich Edgar voll und ganz zu. Die portbasierte Filterung auf Switch Ebene ist für so etwas ideal. Da lassen sich ganze VLAN's für die Gäste abbilden. Grüsse Gulp
bronto665 10 Geschrieben 7. Dezember 2005 Autor Melden Geschrieben 7. Dezember 2005 Danke für die Antworten @all! Bisher haben wir es über V-LAN auf den Switches gelöst. Nur ist das für unsere Zwecke zu unflexibel. Die Netzwerkdosen im ganzen Haus sind gepatcht und an freie Dosen werden des öfteren Laptops angesteckt; private Geräte. Da wir nicht vorhersehen können, welche MAC der Laptop hat ( ;) ) können wir darüber auch nichts lösen. Eigentlich ne ganz einfache Geschichte: Es gibt ein großes, geswitchtes Netz an dem alle Domönencomputer hängen und einen DHCP server der diese mit Adressen bestückt. Jetzt muss eine Lösung gefunden werden für die externen odert privaten Laptops. Diese sollen einfach in ein eigenes Netz, egal wo sie sich anklemmen. IMO wäre eine Clientseiteige Lösung das bestmögliche: Der Client bekommt irgendein Attribut, das dem DHCP sagt: Gib ihm eine IP aus der Range für unser Netzwerk. Da der Laptop dieses Attribut nicht besitzt kommt er in die andere Range. Vll lieg ich mit der Idee auch total falsch :D Jedenfalls findet man das Szenario doch ständig vor. Ich wundere mich irgendiwe, das es dafür keine "einfache" Lösung gibt °^ Vielen Dank für die Antworten!!! Gruß Bronto
lefg 276 Geschrieben 7. Dezember 2005 Melden Geschrieben 7. Dezember 2005 .... IMO wäre eine Clientseiteige Lösung das bestmögliche: Der Client bekommt irgendein Attribut, das dem DHCP sagt: Gib ihm eine IP aus der Range für unser Netzwerk. Da der Laptop dieses Attribut nicht besitzt kommt er in die andere Range. Und wie soll das bitte geschehen? Ein Attribut eines Clients ist seine MAC.
nouseforaname 10 Geschrieben 7. Dezember 2005 Melden Geschrieben 7. Dezember 2005 vielleicht mit client zertifikaten über einen radius server, das wäre das attribut das du den clients mitgeben kannst aber ob es moeglich ist diese dann in ein anderes Netz zu schieben wenn es nicht vorhanden ist kann ich dir leider nicht sagen mfg kai
Gulp 289 Geschrieben 8. Dezember 2005 Melden Geschrieben 8. Dezember 2005 Danke für die Antworten @all! ... snip Da wir nicht vorhersehen können, welche MAC der Laptop hat ( ;) ) können wir darüber auch nichts lösen. .... snip Jedenfalls findet man das Szenario doch ständig vor. Ich wundere mich irgendiwe, das es dafür keine "einfache" Lösung gibt °^ Vielen Dank für die Antworten!!! Gruß Bronto Wieso solltest Du die MAC's der Laptops/privaten Geräte kennen müssen? Du kennst doch die MAC's der Firmengeräte, das sollte reichen. Alles was nicht zur Gruppe FIRMA gehört kommt in VLAN Gäste und bekommt ein anderes Subnetz, was ist daran kompliziert? Grüsse Gulp
lupo45 10 Geschrieben 8. Dezember 2005 Melden Geschrieben 8. Dezember 2005 Alles was nicht zur Gruppe FIRMA gehört kommt in VLAN Gäste und bekommt ein anderes Subnetz, was ist daran kompliziert? vermutlich die Masse der bereits vorhandenen Geräte, also MAC-Adressen erstmal zu katalogisieren, da man das natürlich am besten auf Managed-Switch-Ebene und nicht über die DHCP-Dienste-Konfig auf'm Server macht... :D
Gulp 289 Geschrieben 8. Dezember 2005 Melden Geschrieben 8. Dezember 2005 vermutlich die Masse der bereits vorhandenen Geräte, also MAC-Adressen erstmal zu katalogisieren, da man das natürlich am besten auf Managed-Switch-Ebene und nicht über die DHCP-Dienste-Konfig auf'm Server macht... :D Hehe, ein Schelm wer Böses denkt .... Wenn ich in einem vorigen Post von portbasierter Security spreche und er VLAN auf dem Switch hat, gehe ich automatisch von einem managebarem Switch aus ..... :D Über DHCP lässt sich sowas zwar ansatzweise Lösen, ... aber .... :shock: :suspect: Grüsse Gulp
carlito 10 Geschrieben 8. Dezember 2005 Melden Geschrieben 8. Dezember 2005 Sicherheitstechnisch kann man eingeschleppte "Fremdhardware" nur mit IPSec und MAC Filter an den Swtches bekämpfen. Wobei MAC-Adressen sich leicht fälschen lassen. Besser wäre 802.1x Authentifizierung mit Zertifikaten.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden