stopsy 10 Geschrieben 28. November 2013 Melden Teilen Geschrieben 28. November 2013 Hallo, einfach mal eine Frage in den Raum gestellt. Ich möchte ACLs anhand MAC-Adressen an einigen Switchen eintragen. Klar, ich gebe einfach die Quell-MAC-Adresse am jeweiligen Port ein. Somit kann nur noch diese Netzwerkkarte mit diesem Port am Switch kommunizieren. Wie verhält es sich bei Unterverteilungen. Wenn ich an einem Switch an einem Port einen weiteren Switch (8 Ports) hänge. Welche MAC-Adresse muss ich an diesem Port des ersten Switches eintragen. Alle 8 möglichen MAC-Adressen der Netzwerkkarten die an der Unterverteilung angeschlossenen sind? Vielen Dank für eure Antwort. Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 1. Dezember 2013 Melden Teilen Geschrieben 1. Dezember 2013 Schau dir doch einfach mal den Mac-Address Table eines Uplinkports an... Du wirst feststellen, dass du dort alle Mac-Adressen siehst, die über diesen Uplink erreichbar sind. Meine persönliche Haltung: Port Security (und nichts anderes ist ein Mac-Address Filter) hat nichts auf Uplinkports zu suchen. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 6. Dezember 2013 Melden Teilen Geschrieben 6. Dezember 2013 Hi Stopsy, was machst Du denn, wenn man an einen Switch-Port einen Hub ranhängt und daran mehrere Clients, die die gleiche MAC-Adresse konfiguriert haben? Die kann man nämlich am Client einstellen. Ich bin kein großer Freund von MAC-Adressfiltern. Das ist eher eine Arbeitsbeschaffungsmaßnahme. Schau Dir doch mal Network Access Protection (NAP) an. Das kannst Du mittels RADIUS mit Deinen Switchen verbinden und dann filterst Du auf Computerebene. Das geht auch ganz prima für VPN oder WLAns: http://technet.microsoft.com/de-de/library/cc730902(v=ws.10).aspx Have fun!Daniel Zitieren Link zu diesem Kommentar
rep 10 Geschrieben 9. Dezember 2013 Melden Teilen Geschrieben 9. Dezember 2013 Es ist keine Sicherheit, aber eine zusätzliche Hürde. Wenn man den Switch so einstellt das der Port Abgeschaltet wird, dann bekommt man es auf jeden Fall mit und es ist kein "Ausprobieren am Client" machbar. NAP ist glaub ich nicht mit jedem Gerät machbar und schon sehr Aufwändig in der Einführung und im KnowHow das man haben muss. Jeder muss für sich entscheiden was er mit dem Mittel erreichen will. An einem Uplink müssen alle MAC-Adressen eingetragen werden die erlaubt sind. Wenn der Switch managed ist, dann auch die vom Switch selbst... Ein Problem kann hier jedoch sein (gerade in einem Projekt gehabt)... wenn vom Filter aus, ein Uplink in einen Teil eines Gebäudes geht, hier aber über ein zweites VLAN jedoch ein "öffentlicher" WLAN-Hotspot mit eigenem Netz und Internetleitung genutzt werden soll, steht man dumm da. Denn der Filter geht bei einigen Switchen nur auf Portebene, und damit für alle VLANs. Das sollte aber in der Regel nicht passieren da die Unterverteiler vermieden werden sollten. Ansonsten muss der Switch am anderen Ende ebenfalls MAC-Filterung können. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 9. Dezember 2013 Melden Teilen Geschrieben 9. Dezember 2013 Auf manchen Geräten stehen die MAC-Adressen auf dem Gerät und können dort abgeschrieben werden... MAC-Filter halte ich für überflüssig bzw. sind max. eine ergänzende Funktion zu einem Radius-Server und Zertifikaten. Selbst bessere Netzwerkdrucker können das. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 9. Dezember 2013 Melden Teilen Geschrieben 9. Dezember 2013 Einen Hub kannst Du einfach so dazwischen hängen. Der ist passiv und den siehst Du nicht am Switchport. Dann am Hub einfach passiv den Netzwerkverkehr mitniffen und Du weißt, welche MAC-Adresse erlaubt sind. Dann setzt Du Dir eine davon (z.B. von einem Windows-Client mit aktivierter Windows-Firewall) und los gehts. Die Antworten an die MAC-Adresse bekommst Du über den Hub geliefert und die Firewall des Clients, dessen MAC-Adresse Du nutzt, verwirft die Antworten, weil er die Anfrage nicht selbst gestellt hat. Mir sind MAC-Filter zu aufwändig in der Administration und zu fehleranfällig. Rechnertausch, Netzwerkkartentausch, mal ein anderer Rechner an die Dose gepatcht, Privatrechner, die mitgebracht wurden und schon geht die Arbeit nicht mehr. Die Zeitausfälle sowie den Aufwand in Produktivität umgerechnet würde ich nach anderen Lösungen schauen. Für Clients NAP einführen. Das geht mit Windows, Mac OS und Linux. Für andere Hardware (Drucker, Scanner, etc.) separate VLANs, bei denen Du die Ansteuerung z.B. nur vom Druckserver erlaubst. Macht weniger Stress und ist langfristig einfacher zu pflegen. Have fun!Daniel Zitieren Link zu diesem Kommentar
rep 10 Geschrieben 10. Dezember 2013 Melden Teilen Geschrieben 10. Dezember 2013 Privat mitgebrachte Notebooks sollten so oder so nicht angeschlossen werden dürfen. Ansonsten ist der Aufwand der Pflege schon groß, aber wie gesagt... kommt drauf an was man erreichen will. Eine Firma mit ein/zwei Großraumbüros ohne ITler vor Ort, da kann es schon sinn machen. Ein extra VLAN und ein Port für andere Geräte. Das es keine Sicherheit an sich ist habe wir nun denke ich hinreichend beschrieben. Zitieren Link zu diesem Kommentar
stopsy 10 Geschrieben 3. Februar 2014 Autor Melden Teilen Geschrieben 3. Februar 2014 Hallo Ihr, erstmal vielen Dank für die vielen Antworten. Das ganze wird jetzt aktuell bei mir. NAP mit DHCP-Enforcement habe ich seit Jahren (2009) im Einsatz. Auch in allen kleineren Außenstellen. Das hatte die ganze Zeit sehr gut funktioniert. Seit Herbst 2013 hatte ich allerdings große Problem in folgender Konstellation: - Panda Security for Desktops (Business Suite) und Windows 8 Pro Clients. Windows 8 hat mir den Panda nicht vernünftig erkannt - und mir wurde ständig das Netzwerk getrennt. Nach sehr langen und intensiven Kontakt mit Panda konnte das Problem nicht gelöst werden. Aus diesem Grund bin ich zu F-Secure gewechselt. Die haben auch einen NAP-Agent in ihrer Suite integriert - und hat auch sofort mit WIN8 funktioniert. Allerdings habe ich jetzt die Info bekommen, dass der NAP - Agent aus der Suite wieder entfernt werde soll. Somit habe ich dasselbe Problem künftig wieder. Kaspersky hatte ich übrigens auch probiert. Nach zwei Kontakten mit dem Support hatte ich Nase voll. Die haben das Wort NAP noch nicht mal gehört! Traurig aber wahr.Fazit: NAP ist toll - aber die Unterstützung durch die Securitysuiten ist nicht gut. Geht was nicht - schiebt jeder alles auf den anderen. Ganz große Probleme hatte ich auch mit WLAN. Mal gings - mal nicht. Jetzt soll die Lösung erstmal so aussehen. - Aktivieren einer Netzwerkquarantäne (F-Secure) bei veralteten Virenschutzmodulen und Signaturen - Port Security anhand MAC-Adressen Was denkt Ihr?? Vielen Dank für eure Antworten Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 3. Februar 2014 Melden Teilen Geschrieben 3. Februar 2014 In Symantec Endpoint Protection ist eine NAP-Funktion eingebaut. Schau Dir mal das Manual an. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 3. Februar 2014 Melden Teilen Geschrieben 3. Februar 2014 Hallo, die MAC Adresse als Authentifizierungsmerkmal ist nur ein Plazebo und aufwändig in der Pflege sowie leicht zu umgehen. Wenn Du das Thema schon auf Layer 2 angehen möchtest, würde ich 802.1x mit Authetifizierung des Computerkontos (Computerkennwort oder Zertifikat) verwenden. 802.1x lässt sich auch mit NAP kombinieren; z.Bsp. kann der NPS nicht konforme Clients in ein Remediation VLAN schieben. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.