mheine 10 Geschrieben 15. April 2010 Melden Teilen Geschrieben 15. April 2010 Hallo, in meinem Netzwerk habe ich folgenden Adressbereich eingesetzt: 192.168.200.* Davon sind die Server im Bereich 200.1 - 200.30 und die Clients im Bereich 200.50 - 200.150 Jetzt meine Frage. Wenn jemand z.B. einem beliebigem Gerät einfach eine IP-Adresse manuell aus dem Serverbereich gibt und dieses Gerät dann in das Netzwerk hängt, dann knallt es auf dem Server, da es diese IP-Adresse zweimal gibt. Wie kann ich das verhindern? Wie kann ich verhindern dass ein Anwender quasi durch Vergabe einer doppelten IP-Adresse einen Server abschließen kann? Danke vorab Micha Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 15. April 2010 Melden Teilen Geschrieben 15. April 2010 Hallo, was soll denn da knallen, wie soll denn dieser Abschuss geschehen? Der Rechner des Anwenders erkennt, die IP ist bereits anderweilig vergeben und disabled sein Interface. Zitieren Link zu diesem Kommentar
mheine 10 Geschrieben 15. April 2010 Autor Melden Teilen Geschrieben 15. April 2010 Es ist so dass eine externe Steuerung die gleiche IP-Adresse wie ein Server bekommen hat und danach war der Server nicht mehr zu erreichen. Bist Du sicher dass der 2. dann immer auf disable geht? Bei mir war das nicht so!! Warum gibt es dann auch z.B. im Ereignisprotokoll Hinweise dass ein IP-Adressenkonflikt aufgetreten ist, das dürfte ja dann gar nicht der Fall sein. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 15. April 2010 Melden Teilen Geschrieben 15. April 2010 (bearbeitet) Ohne Port Security nach 802.1x oder ähnlich kannst Du das gar nicht verhindern. Wird das Beschriebene (einfach irgendeine IP-Adresse einstellen) z.B. mit einem Windows Client XP gemacht, sendet der Client zuerst einen sogenannten Gratuitous Arp, um festzustellen, ob die IP-Adresse schon vergeben ist. Man nennt ihn den Offending Node. Derjenige, der die IP-Adresse schon gebunden hat (der Defending Node), die der neue Client versucht zu benutzen, antwortet auf diese ARP-Anfrage. Diese Antwort veranlasst den Offending Node, die gewollte IP-Adresse nicht zu binden. Der Offending Node schickt dann noch einen Gratuitous ARP mit einer gespooften MAC-Adresse (nämlich der des Defending Nodes), um den ARP-Cache der übrigen Clients zu korrigieren. Normalerweise hat der später zukommende Client dann also keine IP-Adresse mehr. Wenn diese IP-Adresskonflikterkennung nicht gemacht wird (weil Dein Apparat das nicht unterstützt z.B.) liegt das Problem bei den anderen Knoten, die möglicherweise einen falschen ARP-Cache Eintrag haben (richtige IP-Adresse, falsche MAC-Adresse). Die beiden Knoten mit der gleichen IP-Adresse merken nicht, dass ein anderes Gerät mit der gleichen IP-Adresse existiert. Die Clients broadcasten einen ARP für die doppelte IP-Adresse und die Antwort, die zuerst ankommt, gewinnt. Du musst also verhindern, dass sich jemand einfach physikalisch an einen Switchport stöpseln kann ... bearbeitet 15. April 2010 von IThome Zitieren Link zu diesem Kommentar
mheine 10 Geschrieben 15. April 2010 Autor Melden Teilen Geschrieben 15. April 2010 Hallo ITHome, danke für diese ausführliche Antwort. Kann ich einen gemanagten Switch so einstellen dass er z.B. nur vorher festgelegte Mac-Adressen oder ähnliches ins Netzwerk läßt? Du hast geschrieben: Du musst also verhindern, dass sich jemand einfach physikalisch an einen Switchport stöpseln kann ... Wie soll ich das genau anstellen? Danke und viele Grüße Zitieren Link zu diesem Kommentar
XP-Fan 217 Geschrieben 15. April 2010 Melden Teilen Geschrieben 15. April 2010 Hallo, Du musst also verhindern, dass sich jemand einfach physikalisch an einen Switchport stöpseln kann ... Wie soll ich das genau anstellen? wieso kann irgendjemand sein Gerät in eine Dose in eurem Netzwerk einstecken ohne das er vorher die Erlaubnis bekommen hat oder das jemand ihn daran hindert ? -> Du kannst in einem gemanagten Switch MAC Filter eintragen sodaß nur noch freigegebene Adressen überhaupt einen Connect erhalten, schau dazu mal in die Doku. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 15. April 2010 Melden Teilen Geschrieben 15. April 2010 ..... Kann ich einen gemanagten Switch so einstellen dass er z.B. nur vorher festgelegte Mac-Adressen oder ähnliches ins Netzwerk läßt?.... So der Switch die Option dafür bietet, sonst geeignete Geräte anschaffen! RTFM! Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 15. April 2010 Melden Teilen Geschrieben 15. April 2010 Kann ich einen gemanagten Switch so einstellen dass er z.B. nur vorher festgelegte Mac-Adressen oder ähnliches ins Netzwerk läßt? Du hast geschrieben: Du musst also verhindern, dass sich jemand einfach physikalisch an einen Switchport stöpseln kann ... Wie soll ich das genau anstellen? Stichworte: Port Security, NAC/NAP, IEEE 802.1x. Nimm das mal als Einstieg: Port Security - Wikipedia Zitieren Link zu diesem Kommentar
mheine 10 Geschrieben 16. April 2010 Autor Melden Teilen Geschrieben 16. April 2010 Hallo XP-Fan, wie soll ich das denn verhindern. Wir sind ein Produktionsbetrieb und unsere Techniker arbeiten mit externen Hardwarekomponenten, wie Displays, Steuerungssysteme usw. Diese müssen IP-Adressen erhalten und müssen dann mit Notebooks verbunden werden. Wenn sich nun jemand nicht an den vorgeschriebenen IP-Adressbereich hält und eine IP-Adresse aus unserem LAN verwendet, dann haben wir ein Problem. Wie soll ich das verhindern?? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 16. April 2010 Melden Teilen Geschrieben 16. April 2010 Hallo, produziert ihr Maschinen oder benutzt ihr Maschinen zu Produktion? Das Problem ist also eine falsche Adresse an der Steuerung einer Maschine, identisch mit der Adresse eines Windowsservers. Ist es vorstellbar und möglich, eine physikalische Trennung vozunehmen, oder müssen die Maschinen unbedingt einen Zugriff auf den Server haben? Könnte man dem Server ein weiteres Interface verpassen für das Maschinennetz? Ist es möglich, den Technikern ein Manual zu schreiben, an die Netzwerkdosen Schilder mit den zu verwendenden Adressen zu bringen. Ich meine, letztendlich liegt die Sorgfaltspflicht und die Verantwortung bei den (leitenden) Technikern. Wer nicht in der Lage ist, eine Netzwerkkonfiguration sorgfältig nach Vorgabe zu machen, der darf weder an eine CNC noch an eine SPS z.B. eines Bearbeitungszentrums oder eines Getränkemischers. Manche Dinge sind nicht oder nicht einfach gegen menschliches Versagen abzusichern. Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 16. April 2010 Melden Teilen Geschrieben 16. April 2010 Wir sind ein Produktionsbetrieb und unsere Techniker arbeiten mit externen Hardwarekomponenten, wie Displays, Steuerungssysteme usw. Diese müssen IP-Adressen erhalten und müssen dann mit Notebooks verbunden werden. Separates VLAN für die Vernetzung von Produktionssystemen und Techniker Notebooks? Zitieren Link zu diesem Kommentar
XP-Fan 217 Geschrieben 16. April 2010 Melden Teilen Geschrieben 16. April 2010 Hi, Hallo XP-Fan,wie soll ich das denn verhindern. Wir sind ein Produktionsbetrieb und unsere Techniker arbeiten mit externen Hardwarekomponenten, wie Displays, Steuerungssysteme usw. wenn die Notwendigkeit besteht das die Techniker ein Netzwerk nutzen müssen dann stecke Sie in ein eigenes Netz, am einfachsten trennst du diese durch einen Router. Somit können Sie eigene Adressen nutzen (vielleicht auch Zuweisung per DHCP einplanen) und stören nicht euren produktiven Zweig. Dann wäre auch das Thema hier erledigt. Wenn sich nun jemand nicht an den vorgeschriebenen IP-Adressbereich hält und eine IP-Adresse aus unserem LAN verwendet, dann haben wir ein Problem. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.