xofart 10 Geschrieben 24. Mai 2007 Melden Teilen Geschrieben 24. Mai 2007 Hallo! Hab eine Frage zum Schutz eines LAN. Es geht um das Problem ein Netzwerk vor Fremd mitgebrachten PC´s zu schützen, welche in Büros an LAN- Dosen angeschlossen werden. Aber zuerstmal ein paar Grund- Infos: Die Firma ist so gross, dass keine Kontrolle der Mitarbeiter erfolgen kann, um auszuschliessen, dass private Rechner mitgebracht werden. Das LAN ist wie folgt konfiguriert: DHCP auf win2003 server. FirmenPC´s mit w2k. Einzelne IP- Teilbereiche für einzelne Gebäude vergeben. Netzwerkdosen sind über Gebäudeswitch gepatcht. Nur Dosen mit angeschlossenen Firmen- PC sind gepatcht. Am Switch steht der komplette IP- Teilbereich zur Verfügung. Logischerweise kann DHCP so konfiguriert werden, dass nur IP´s in der Anzahl der angeschlossenen Firmen PC´s verteilt werden. Weiterhin könnte jede MAC Adresse mit einer Reservierung gesetzt werden. Somit würde ein fremder PC schonmal keine IP vom DHCP bekommen, aber falls jetzt der verwendete IP- Bereich bekannt ist, könnte ein Privat- PC mit fest eingetragener IP aus dem Bereich, an eine Patch- Dose angeschlossen werden und im Netz sein Unwesen treiben. Selbst wenn die eingetragen IP bereits verwendet würde, erfolgt nur eine Warnung auf den dementsprechenden PC´s, aber der Fremd- Rechner ist trotzdem im Netz. Sofern dann auch der Nutzer mit der selben IP die Warnung weg- klickt, weil er keine Ahnung hat was es bedeutet, bekommt der Admin keine Info. Wie kann ich das LAN schützen um dieses Problem zu beseitigen? Bin für jeden Tip dankbar!!! greetz XofArt Zitieren Link zu diesem Kommentar
jose 10 Geschrieben 24. Mai 2007 Melden Teilen Geschrieben 24. Mai 2007 Du könntest dieses Problem an den Switches direkt lösen. Durch das Einrichten von VLANs kannst du direkt die MAC Adressen einbinden, die auch tatsächlich zur Firma gehören. Somit käme dann niemand mehr über den Switch hinaus. Zugegeben... die Aufgabe wäre mit großem Aufwand verbunden und jeder halbwegs versierte kann seine MAC manipulieren, aber wäre doch zumindest ein Ansatz. :wink2: Zitieren Link zu diesem Kommentar
XP-Fan 216 Geschrieben 24. Mai 2007 Melden Teilen Geschrieben 24. Mai 2007 Hallo, einen anderen Lösungsansatz findest du hier: Server- und Domänenisolierung mithilfe von IPSec und Gruppenrichtlinien Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 24. Mai 2007 Melden Teilen Geschrieben 24. Mai 2007 IPSec ist die eine Möglichkeit, allerdings setzt die enorm Wissen und eine enorme Planung voraus, sonst geht sehr wahrscheinlich einiges im Netzwerk in die Hose. Eine andere Möglichkeit, die auch einiges Fachwissen und Planung erfordert, u.U. auch zusätzlichen Geldeinsatz, ist eine 802.1x Authentifizierung. Andere wirkungsvolle Möglichkeiten sehe ich nicht. grizzly999 Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 24. Mai 2007 Melden Teilen Geschrieben 24. Mai 2007 mit server2008 kommt nap Network Access Protection NAP setzt IPSEC voraus und wird ein grösseres Projekt sein. cu blub Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.