Jump to content
Sign in to follow this  
bjoernfun

Wie kann ich den Netzwerkzugriff beschränken?

Recommended Posts

Guten Morgen Allerseits,

 

ich hoffe, ihr könnt mir ein paar Ideenansätze für folgendes Problem geben.

 

Wir haben hier ein Class C Netz, davon wird Bereich X den Usern per DHCP zur Verfügung gestellt. Als DHCP / DNS Server läuft ein W2K Domänencontroller!

 

Je nachdem wieviele Netzwerkdosen gepatcht sind, könnte man sich relativ schnell und einfach in das vorhandene LAN hängen, auch wenn man erstmal keinen Zugriff auf die Server hat, im LAN wäre man erstmal drin.

 

Ich könnte jetzt auf sämtlichen Switchen den Zugriff aufs LAN per MAC Adressen pflegen, welches meiner Meinung nach völlig aussen vor ist, weil der administrative Aufwand viel zu hoch wäre.

 

Es müsste doch eigentlich Software geben, die mir da weiter hilft, obwohl eigentlich müßte doch der Zugriff bereits auf Protokollebene geregelt werden?

 

Vielen Dank schon mal im voraus für eure Ideen :)

 

Gruß

Björn

Share this post


Link to post
Share on other sites

Das ganze nennt man Port Security und wird als 802.1x bezeichent. Server 2003 kann das out of the Box ! Du brauchst nur ein paar Zertifikate ausrollen und einen Radius Server implementieren, Das war es dann schon !

Share this post


Link to post
Share on other sites

"Ich könnte jetzt auf sämtlichen Switchen den Zugriff aufs LAN per MAC Adressen pflegen, welches meiner Meinung nach völlig aussen vor ist, weil der administrative Aufwand viel zu hoch wäre"

 

Die meisten Switche haben doch diesen "Lernmodus" (oder wie das heisst :D ). So könnte mann bei einem klaren IST - Zustand deisen Modus aktivieren und hätte alle erlaubten MAC´s.

 

wie oft kommen den neue Mitarbeiter/Aussenmitarbeiter, etc. ins Haus?

Share this post


Link to post
Share on other sites

@solinske

 

Dann müssten aber meine Netzwerkkomponenten ebenfalls den Standard 802.1x unterstützen?

 

Du meinst es doch so, bei nem W2K3 Server könnten sich die User direkt per EAP beim W2K3 Server über den IAS Dienst authorizieren und alle Diese der Domäne benutzen?

 

@Hansi

 

Dafür werden zu oft die Clients ausgetauscht bzw. neue hinzugefüght! Eventuell für eine Notlösung denkbar.

 

Wobei ich dann eher 1. Variante vorziehen würde, da so oder so bald die Migration von unser W2K Domäne auf W2K3 erfolgen wird.

 

Gruß

Björn

Share this post


Link to post
Share on other sites

Das sollte dir weiter helfen in der Problematik.

 

http://www.tecchannel.de/netzwerk/grundlagen/402460/index10.html

http://www.heise.de/security/artikel/print/55269

 

 

Desweiteren könnte man auf DHCP-Ebene die IPs reservieren.

Dann bekommt jeder Client immer die selbe IP allerdings per DHCP,

Aber eben nur wenn die MAC-Adresse gepflegt ist bekommt der Client eine IP.

Ist zwar einmal Aufwendig aber dann leicht zu pflegen.

 

Neuer Client >> Neue MAC >> Neuer Eintrag

Share this post


Link to post
Share on other sites

Richtig!...und drauf achten, dass der DHCP-Bereich keine freien IP´s zur Verfügung hat!

Aber einem bewussten "Einbruch" steht natürlich auch dann nix im Wege, daher wie schon erwähnt: --> Port Security!

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...