asmoneus 10 Geschrieben 3. Juli 2007 Melden Teilen Geschrieben 3. Juli 2007 Hallo, in der Firma in gibt es ein Arbeitsnetzwerk und ein Testnetzwerk. Im Arbeitznetzwerk gibt es nur XP Home-Clients und einen Windows 2003 Domänencontroller mit DNS und DHCP. Im Testnetzwerk werden Kundenrechner getestet. Die Netze sind komplett physisch getrennt. Leider passiert es immer wieder mal, das Kundenrechner ins Arbeitsnetzwerk gesteckt werden. Die Gründe dafür sind unerfindlich. Jetzt möchte ich wissen ob ich bestimmen kann, welche Rechner der DHCP aufnimmt. Die Eigenschaften einer LAN-Verbindung in Windows haben unteranderem die Registerkarte Authentifizierung. Kann ich über dieses Mittel nur auf den erwünschten ein Zertifikat verteilen und nur dann ein DHCP-Lease zuordnen? Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 3. Juli 2007 Melden Teilen Geschrieben 3. Juli 2007 Hallo Grundsätzlich wird ein DHCP Request immer beantwortet. Leider schreibst Du nicht ob im Testnetzwerk auch ein DHCP eingerichtet ist oder ob mit statischen Adressen gearbeitet wird. Falls letzteres der Fall ist können auch keine IP Adressen vergeben werden. Es sei denn ein IP Helper existiert in der LAN Konfiguration. Du bist nicht gefeit dagegen, dass IP-Adressen - Talibanismus betrieben wird d.h. jemand kennt das subnet und pingt und schnappt sich ne freie Adresse ... (sorry den Ausdruck wir nannten das so). Eventuell besteht die Möglichkeit auf den Switch mit Intruderlists zu arbeiten, was jedoch sehr aufwendig ist. Dies würde bewirken, dass auf dem Port 08-15 nur die MAC 08-15 durchgelassen wird. Gruss, Matthias Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 3. Juli 2007 Melden Teilen Geschrieben 3. Juli 2007 Du bist nicht gefeit dagegen, dass IP-Adressen - Talibanismus betrieben wird d.h. jemand kennt das subnet und pingt und schnappt sich ne freie Adresse ... (sorry den Ausdruck wir nannten das so). Ja, das kann er, aber bei entsprechendem Schutz entweder gar nichts groß sehen, oder nicht erfolgreich kommunzieren. Zwei Möglichkeiten (außer MAC-Listen auf den SwitchPorts pflegen :rolleyes: oder alles DHCP Adressen nur über Reservierungen vergeben :eek: ): 1.) Einsatz von IPSec, allerdings wird man nicht alle Computer ohne riesen Aufwand und schon gar nicht unter Verlust von MS-Support damit schützen können. 2.) 802.1x Authentifizierung. Auf den ersten Blick das Mittel der Wahl zum Schutz vor unerwünschtem Netzwerkzugriff, kann aber auch mit KnowHow und mutwillig umgangen werden, und braucht zudem eine gute Planung, evtl. neue Komponenten und den Aufbau einer PKI-Struktur Beide Themen sind nicht ohne und gut zu durchdenken und durchzurechnen, und ohne richtiges Know How nicht "stande pede" zu machen grizzly999 Zitieren Link zu diesem Kommentar
asmoneus 10 Geschrieben 4. Juli 2007 Autor Melden Teilen Geschrieben 4. Juli 2007 Im Testnetzwerk ist auch ein DHCP. Es geht nur darum, das jeder Mitarbeiter zwei LAN-Kabel an seinem Platz liegen hat. Ein graues für das Arbeitsnetzwerk. Ein blaues für das Testnetzwerk. Im Arbeitsnetzwerk bucht er. Im Testnetzwerk lädt er auf einem Kundenrechner Updates und Treiber herunter. Es kommt aber vor, das er den Kundenrechner nicht mit dem blauen Kabel verbindet, sonder mit dem grauen. Das sehe ich als potenzielle Sicherheitslücke, zwecks Viren und Überfüllung des DHCP-Bereiches im Arbeitsnetzwerk. Und genau das will ich umgehen. Ist es möglich auf den Arbeitsnetzwerk-Clients ein Zertifikat für die Authentifizierung zu laden? Und nur die Rechner mit dem Zertifikat in das Arbeitsnetzwerk zuzulassen? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 4. Juli 2007 Melden Teilen Geschrieben 4. Juli 2007 Ja, hatte ich oben geschrieben, unter 802.1x grizzly999 Zitieren Link zu diesem Kommentar
asmoneus 10 Geschrieben 4. Juli 2007 Autor Melden Teilen Geschrieben 4. Juli 2007 Ja, hatte ich oben geschrieben, unter 802.1x grizzly999 Ja, genau das hatte ich mir auch vorgestellen. Ich habe bloß noch keine Ahnung wie das funktioniert. Mit WLAN ist es ja klar. Aber wie funktioniert es über das Kabel-Netzwerk? Hast du da vielleicht nen Tip? Zitieren Link zu diesem Kommentar
nouseforaname 10 Geschrieben 4. Juli 2007 Melden Teilen Geschrieben 4. Juli 2007 Hi, du brauchst die entsprechende Netzwerkhardware die 802.1x unterstützt, und musst eine komplette PKI Aufbauen, aber du schreibst was von XP Home als Client Betriebssystem, das erschwert den Einsatz einer PKI enorm / macht es unmöglich! MfG Kai Zitieren Link zu diesem Kommentar
gelöscht 0 Geschrieben 4. Juli 2007 Melden Teilen Geschrieben 4. Juli 2007 Ja, genau das hatte ich mir auch vorgestellen. Ich habe bloß noch keine Ahnung wie das funktioniert. Mit WLAN ist es ja klar. Aber wie funktioniert es über das Kabel-Netzwerk? Hast du da vielleicht nen Tip? Nuja, mit oder ohne Kabel ist erst mal Wurscht. So funktioniert das, in aller kürze: -Installation des IAS auf einem Windows Server (bis 50 Netzwerkkomponenten genügt die Standard Edition) -Installation einer CA (AD integriert) und Enrollment von Maschinen-Zertifikate (für Auto Enrollment braucht es wieder die Enterprise Edt.) -Alle APs und Switche werden als RADIUS Clients konfiguriert) -Aktivierung von dot1x auf allen relevanten APs und Switch(ports) -> dann können sich die Clients mit Ihrem Zertifikat gegen RADIUS authentifizieren und der Switch macht den jeweiligen Port auf -> der Client bekommt eine IP vom DHCP ASR Zitieren Link zu diesem Kommentar
himbidas 10 Geschrieben 4. Juli 2007 Melden Teilen Geschrieben 4. Juli 2007 Radius, Enterprice & Co. sind doch ziemlich "aufwendig" / "teuer". Wenn es darum geht, "nur" das Arbeitsnetz zu schützen, muss man da mit Kanonen auf Spatzen schießen? Wieviel Clients hat denn das Arbeitsnetz? Wenn die Anzahl nicht allzu groß ist, oder man den Aufwand nicht scheut, könnte man doch jedem Client im Arbeitsnetz eine DHCP-Reservierung per MAC verpassen. Weiterhin wird kein DHCP-Adressbereich zum Leasen definiert. Dann dürfte doch ein "fremder" Client vom DHCP keine IP zugewiesen bekommen, oder? (Macht die DHCP-Verwendung zwar ziemlich sinnlos, außer dass man die IP's von zentraler Stelle aus administriert, ohne jeden Client vor Ort oder Remote anfassen zu müssen.) Weiterhin habe ich in der Hilfe zum DHCP-Server mal ein bissel gelesen (ähnliches Problem bei mir) und etwas vom definieren eigener Geräteklassen per netsh gelesen. Wenn sich die Arbeitsclients irgendwie hardwaremäßig gegen die Kunden-Test-Clients abheben würden, könnte man da nicht irgendsoeine Klasse definieren und der per DHCP die notwendigen Parameter verpassen? Habe das mit der netsh-Klassendefinition aber noch nicht so richtig durchgearbeitet und begriffen. Nur mal so als Denkanstoß ;) himbidas Zitieren Link zu diesem Kommentar
gelöscht 0 Geschrieben 5. Juli 2007 Melden Teilen Geschrieben 5. Juli 2007 Verstehe ich nicht: Ein RADIUS kostet erst mal gar nichts, ein Enterprise Server ist absolut nicht notwendig, ist zwar nett aber keine Prämisse. dot1x können die meisten halbwegs professionellen Netzwerkkomponenten - es ist also nur ein wenig Arbeit gefragt und wenn man man weis wie ist das auch in kuzer Zeit implementiert (abhängig natürlich von der Größe des Netzes). Weiterer Benefit: Auch das WLAN lässt über die selbe Infrastruktur perfekt schützen. DHCP Reservierungen bringen keine Sicherheit oder Zugangskontrolle zum Netz. Dessen muss man sich klar sein. ASR Zitieren Link zu diesem Kommentar
mik73 10 Geschrieben 25. Juli 2007 Melden Teilen Geschrieben 25. Juli 2007 Hallo, da ich mich auch gerade mit 802.1x und IAS beschäftige suche ich nach guten Büchern zu diesem Thema. Bitte um schnelle Antwort. Danke und mfg mik73 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.