ungebetene Laptops im LAN

[sepp 10]

Hallo,

 

immer wieder haben wir Probleme mit privaten Laptops im Netzwerk . Sie bekommen über DHCP alle Netzwerkoptionen mit und mit Benutzernamen und PW können die Mitarbeiter dann anfangen "zu spielen".

 

Wie bekommt ihr das in den Griff???

 

Danke schonmal!

 

sepp

[grizzly999 11]

Ihr könntet´im DHCP-Server für alle zu vergebenden IP-Adressen Reservierungen hinzufügen, dann kann kein anderer Rechner mehr eine IP-Adresse erhalten.

 

grizzly999

[grutsch 10]

bei uns gibt es einen speziellen administrator, der Computer in die Domain aufnehmen kann.

der account wird nur dazu benutzt,

und ist eigentlich niemandem bekannt.

Auch in der EDV nicht, da man ihn nicht benötigt, da computer automatisiert angelegt werden.

 

Laptops einloggen .... isnich.

 

grutschmööhh

[Jim di Griz 13]

hoert sich nach vielen Rehnern an...wundert mich, das ihr da nicht eh die mac-adresse auf dhcp reserviert.....

einer mit nem sniffer aufm laptop liest euch in 8 stunden alle passworthashes aus wuerd ich mir da denken.

[BABA 11]

Hallo,

 

wir benutzen einen LAN Desktop Manager.

Der überwacht das LAN mit seinen Komponenten. Zusätzlich ist im DHCP die MAC an eine IP gebunden. Erst wenn die MAC mit der IP autorisiet wurde hat der PC oder Laptop den Zugang zum LAN. Sollte sich eine fremde MAC einschleichen läuft die MAC in den TRASH und verbleibt dort solange wie die EDV das will.

Nur zwei Leute kennen das entsprechende Passwort.

Es funktioniert prima. Hab ich selbst getestet.

 

Gruß

Baba

[neuner99 10]

Bei uns hängt fast jede Dose auf einem eigenen Switchport und diese sind dann auf eine MAC-Adresse beschränkt. Das verhindert auch, dass Rechner bei betriebsinternem Umzug "verloren" gehen. Will der User seinen PC im neuen Büro anstöpseln muss er die Dose erst wieder auf die MAC-Adresse freischalten lassen --> somit weiß man auch gleich wo der PC gelandet ist!!! It's not a bug, it's a feature!!! :D

[nerd 28]

Hi,

 

wir haben eine Ähnliche Lösung wie neuner. Zusätzlich werden bei uns die Dosen erst dann gepatcht wenn dort auch tatsächlich ein Rechner hin kommt...

 

Gruß

[neuner99 10]

Original geschrieben von Johannes Schmidt

Hi,

 

wir haben eine Ähnliche Lösung wie neuner. Zusätzlich werden bei uns die Dosen erst dann gepatcht wenn dort auch tatsächlich ein Rechner hin kommt...

 

Gruß

 

Und wir haben nochmal eine ähnliche Lösung wie ihr, wir "disablen" die nicht benutzten Dosen :D

[thorsatten 10]

Original geschrieben von grutsch

bei uns gibt es einen speziellen administrator, der Computer in die Domain aufnehmen kann.

der account wird nur dazu benutzt,

und ist eigentlich niemandem bekannt.

Auch in der EDV nicht, da man ihn nicht benötigt, da computer automatisiert angelegt werden.

 

Laptops einloggen .... isnich.

 

grutschmööhh

 

Tja, auch auf die Gefahr dich enttäuschen zu müssen. Selbst bei euch im Netz (ohne es genauer zu kenne in Bezug auf zusätzliche Absicherungen) kann man einfach so einen Laptop hängen.

 

Das Problem ist halt, das der DHCP-Server jedem Rechner antwortet, ob der nun in einer Domäne ist oder nicht :) Und wenn man die passenenden Freigabenamen kennt, kann man sich mit seinem bestehenden Accountdaten dort ohne Probs anmelden.

 

@sepp

Ich würde dir empfehlen passende Reservierungen über die MAC-Adresse zu machen (machen wir in unserem Netz auch so) und den DHCP-Bereich auf diese vergebenen Adressen zu beschränken.

Als zusätzliche Möglichkeit kannst du dann noch die Switchport auf die MAC-Adresse festlegen, wenn deine Switche das können. Ist ein gern genutztes Feature, um wilde Umzüge oder Rechnertauschaktionen zu verhindern :)

 

@Jim

Wofür ein Snifer, einfach so nette Tools wie *** oder ***, die ham die Standartpasswörter innerhalb von wenigen Minuten zur Hand.

 

***[Edit] Durch Moderartor Johannes Schmidt. Bitte keine Namen zu den Progs Posten das erleichtet die Suche auf Googel ungemein... Danke

[Jim di Griz 13]

schuldigung wollt nur was kluges sagen ;-)

[runner 10]

Hi,

 

also ungenutzte Ports am Switch disablen und die genutzten Ports auf MAC "dingfestmachen".

 

 

...............irgendwie kommt mir das bekannt vor.....................deswegen mein Rat umsetzen und du hast Ruhe.

Bloss manche Gesichter werden danach von so :) nach :( :mad: sich ändern.

Musst mal drauf achten. :cool: ;)

[sepp 10]

Prinzipiell hab ich nichts gegen Arbeit, aber in einem Netz mit knapp 400 Clients in dem dauernd umgezogen wird anzufangen MAC-Adressen zu reservieren (auf dem DHCP ok - aber an den Switches - da mach ich ja den ganz Tag nichts mehr anderes) - gibt's denn da nicht noch vielleicht ne andere Lösung????? :mad: :mad: :mad:

[runner 10]

Hi,

nun ja,

ich habe auch ein LAN mit 450 Clients (Mac + PC)

und mache diese MAC-Geschichte. Es ziehen ja auch nicht andauernd Leute,PC usw. um, bei mir zumindest nicht.

 

Wenn das natürlich bei dir der Fall (z.B. Büro's auf Zeit für Aussendienstler bzw. nur sehr kurz inHouse arbeitende Kollegen), geb ich dir Recht.

[neuner99 10]

*räusper* am Montag feiern wir die 8.000ste Netzwerkdose bei uns im Betrieb und dennoch ist es RELATIV einfach die MAC-Adressen zu fixieren.

Wir haben dazu selbst einige Programme entworfen die aufeinander aufbauen bzw sich ergänzen z.B. eine Datenbank mit Infos über jeden PC in der Firma (Hardware, Besitzer, Auslieferungsdatum und sinnigerweise auch gleich die MAC-Adresse) Diese Datenbank haben wir dann mit einem weitern Tool gekoppelt welches die entsprechenden Switchports konfiguriert. Das ganze haben wir dem Helpdesk übergeben :D

[blub 115]

Ich würde nicht unbedingt DHCP als Sicherheitssystem ansehen, um damit zu verhindern, dass unauthorisierte Clients im Netz umherbrowsen! Dafür gibts Domänen mit Computerkonten, Kerberosauthentifizierung, Sessiontickets, IPSEC etc.

cu

blub