pfeffis 11 Geschrieben 27. Juli 2007 Melden Teilen Geschrieben 27. Juli 2007 Servus! Es gibt 3 Switche (HP Pro Curve 2650er). Diese sind ohne MAC Tabellen konfiguriert :eek: . Dieses stelle ich nun gerade ab :D . Eine dumme Frage hätte ich da aber vorher noch: Die Switche sind untereinander logischerweise verbunden über Active Connector. Wenn ich nun an dem Active Connector Port eine statische Mac hinzufüge, also an Switch1 auf Active Connector Port 22 die MAC von Switch 2 an Port 50 und umgekehrt, können sich dann nur noch Switch 1 und 2 untereinander "unterhalten" oder können meine PC´s die an den LAN Port´s bei Switch 1 und 2 hängen sich auch noch "unterhalten"!? Grüße Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 27. Juli 2007 Melden Teilen Geschrieben 27. Juli 2007 Meiner Meinung nach macht ein MAC Filter nur Sinn für die Ports wo Clients draufhängen, ob des auch für Switche untereinander gilt weiß ich nicht macht aber auch keinen Sinn Zitieren Link zu diesem Kommentar
dippas 10 Geschrieben 29. Juli 2007 Melden Teilen Geschrieben 29. Juli 2007 Um noch eins drauf zu setzen: MAC-Filter machen meines Erachtens überhaupt keinen Sinn. Zum einen ist man mehr mit der Pflege beschäftigt als mit der normalen Arbeit und zum zweiten kann man bei nahezu jeder NIC die MAC frei konfigurieren. Ein Sicherheitsgewinn ist es daher wohl kaum, wenn ich dem Switch erzähle, ich habe die MAC meines Kollegen und ich damit den MAC-Filter aushebel. grüße dippas Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 29. Juli 2007 Melden Teilen Geschrieben 29. Juli 2007 Um welche Art von Sicherheit gegen wem und was soll es denn gehen bei der Aktion? Falls es nur verhindern soll, das ein FWW-User sein privates NB anschliesst an einen Port, da kann es reichen. Zitieren Link zu diesem Kommentar
pfeffis 11 Geschrieben 14. August 2007 Autor Melden Teilen Geschrieben 14. August 2007 es geht darum, dass nicht jeder rechner an einer x beliebigen patch dose angeschlossen werden kann, sonder nur der mit der entsprechenden MAC. Im DHCP Server sind auch entsprechende Einstellungen konfiguriert. Wie habt ihr denn bei euch sowas geregelt - wenn sowas keinen sinn macht !? Grüße Zitieren Link zu diesem Kommentar
Sailer 11 Geschrieben 14. August 2007 Melden Teilen Geschrieben 14. August 2007 Deine Anforderung ist ganz klar ein Fall für 802.1x -> das können auch HP Switches ab der 25xx Serie (der 2650er sowieso) Kann mich dippas nur voll und ganz anschließen, was du vor hast ist nicht wirklich managebar und die Sicherheit bei MAC-Adressen anzusetzen ist IMHO vergeudete Zeit. Natürlich kann man es so machen aber dann sollte das schon eine sehr kleine Installation sein (max. 20-30 Geräte) und die Sicherheit als nice-to-have angesehen werden. :rolleyes: Aber um noch mal deine ursprüngliche Frage zu beantworten: Ein MAC-Filter filtert (wie der Name schon sagt :D ) anhand der (Source-)MAC-Adressen und lässt somit auch nur die durch die angegeben wurden. In deinem Beispiel würde überhaupt nichts mehr funktionieren weil du erstens keine Client-Adressen angibst und zweitens müsstest du die Base-MAC der beiden Switches angeben. Management-Traffic wird nur mit dieser Adresse verschickt und ist nicht davon abhängig welche MAC-Adresse der Outgoing-Switchport hat. Zitieren Link zu diesem Kommentar
pfeffis 11 Geschrieben 19. August 2007 Autor Melden Teilen Geschrieben 19. August 2007 hallo! also unter 802.1x verstehe ich Radius Authentifizierung mit der Option EAP. Das wäre die Lösung? Zitieren Link zu diesem Kommentar
Sailer 11 Geschrieben 20. August 2007 Melden Teilen Geschrieben 20. August 2007 Ja, mit 802.1x kannst du im Grunde VLAN-Zuordnung machen. Authentifizierte Geräte und/oder Benutzer kommen ins "normale" LAN, Gäste ins GuestLAN... Je nach Belieben :D Zitieren Link zu diesem Kommentar
pfeffis 11 Geschrieben 20. August 2007 Autor Melden Teilen Geschrieben 20. August 2007 Nun ja, VLAN hat doch nun aber nicht unbedingt was mit Sicherheit zu tun (jede Station kann jede andere direkt ansprechen würde dadurch vermieden werden doch aber sonst nichts, oder?) Wir haben hier eine W2k Domäne im Einsatz mit ca. 70 Usern. Es kommt hierbei auch vor, dass ein User auf Resourcen von einem anderen User zugreifen muss. Verstehe nicht so ganz was mir VLAN bringt bzw was so schlimm an der MAC Filterung ist.??? @dippas: "Ein Sicherheitsgewinn ist es daher wohl kaum, wenn ich dem Switch erzähle, ich habe die MAC meines Kollegen und ich damit den MAC-Filter aushebel." Das nutzt doch gar nichts, da der Rechner nicht am selben Port hängt. Es würde klappen, wenn man einen beliebigen Rechner an den Port von PCx hängt und zuvor von PCx die MAC herausfindet und diese dann auf dem beliebigen Rechner einträgt. Nur wie kann man sich denn dagegen wehren??????????? Grüße Zitieren Link zu diesem Kommentar
Sailer 11 Geschrieben 20. August 2007 Melden Teilen Geschrieben 20. August 2007 Hab geschreiben "je nach Belieben" d.h. du kannst unbekannte Geräte auch einfach aussperren -> oft werden unbekannte Geräte halt in ein VLAN verschoeben in dem sie "nur" Internetzugang haben. Sehr praktisch wenn Gäste/Consultants/externe Mitarbeiter nicht auf eure Infrastruktur zugreifen sollen aber trotzdem ins Internet müssen Vielleicht hast du vorher auch was falsch verstanden, natürlich wird nicht jeder User in ein eigenes VLAN verschoeben. Jede Gruppe wird ins gleiche VLAN verschoben und hat somit eben Zugriff auf alles oder nur bestimmte Bereiche. Der Vorteil von 802.1x gegenüber deiner Lösung mit MAC-Filtern: 1) einmal zentral konfiguriert (RADIUS-Server) gilt dann für alle Switches 2) wesentlich sicherer weil man mit Zertifikaten arbeiten kann 3) Sicherheitsstufe kann pro User (nicht nur pro Gerät) vergeben werden Zitieren Link zu diesem Kommentar
pfeffis 11 Geschrieben 20. August 2007 Autor Melden Teilen Geschrieben 20. August 2007 Ok, ich glaub jetzt hab ich s! ;) Vielen Dank für die Hilfe Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.