Jump to content

Netzwerk vor Fremd- PC schützen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo!

 

Hab eine Frage zum Schutz eines LAN.

Es geht um das Problem ein Netzwerk vor Fremd mitgebrachten PC´s zu schützen, welche in Büros an LAN- Dosen angeschlossen werden.

 

Aber zuerstmal ein paar Grund- Infos:

 

Die Firma ist so gross, dass keine Kontrolle der Mitarbeiter erfolgen kann, um auszuschliessen, dass private Rechner mitgebracht werden.

Das LAN ist wie folgt konfiguriert:

DHCP auf win2003 server.

FirmenPC´s mit w2k.

Einzelne IP- Teilbereiche für einzelne Gebäude vergeben.

Netzwerkdosen sind über Gebäudeswitch gepatcht.

Nur Dosen mit angeschlossenen Firmen- PC sind gepatcht.

Am Switch steht der komplette IP- Teilbereich zur Verfügung.

 

Logischerweise kann DHCP so konfiguriert werden, dass nur IP´s in der Anzahl der angeschlossenen Firmen PC´s verteilt werden. Weiterhin könnte jede MAC Adresse mit einer Reservierung gesetzt werden.

Somit würde ein fremder PC schonmal keine IP vom DHCP bekommen, aber

falls jetzt der verwendete IP- Bereich bekannt ist, könnte ein Privat- PC mit fest eingetragener IP aus dem Bereich, an eine Patch- Dose angeschlossen werden und im Netz sein Unwesen treiben.

Selbst wenn die eingetragen IP bereits verwendet würde, erfolgt nur eine Warnung auf den dementsprechenden PC´s, aber der Fremd- Rechner ist trotzdem im Netz.

Sofern dann auch der Nutzer mit der selben IP die Warnung weg- klickt, weil er keine Ahnung hat was es bedeutet, bekommt der Admin keine Info.

 

Wie kann ich das LAN schützen um dieses Problem zu beseitigen?

 

Bin für jeden Tip dankbar!!!

 

greetz

 

XofArt

Link zu diesem Kommentar

Du könntest dieses Problem an den Switches direkt lösen.

 

Durch das Einrichten von VLANs kannst du direkt die MAC Adressen einbinden, die auch tatsächlich zur Firma gehören. Somit käme dann niemand mehr über den Switch hinaus.

 

Zugegeben... die Aufgabe wäre mit großem Aufwand verbunden und jeder halbwegs versierte kann seine MAC manipulieren, aber wäre doch zumindest ein Ansatz. :wink2:

Link zu diesem Kommentar

IPSec ist die eine Möglichkeit, allerdings setzt die enorm Wissen und eine enorme Planung voraus, sonst geht sehr wahrscheinlich einiges im Netzwerk in die Hose.

 

Eine andere Möglichkeit, die auch einiges Fachwissen und Planung erfordert, u.U. auch zusätzlichen Geldeinsatz, ist eine 802.1x Authentifizierung.

 

Andere wirkungsvolle Möglichkeiten sehe ich nicht.

 

grizzly999

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...