Daniel -MSFT- 129 Geschrieben 26. August 2014 Melden Teilen Geschrieben 26. August 2014 Daniel und Sunny, das klingt nach einem Ansatz. Das schaue ich mir genauer an. Sollte ich allerdings bestimmte Switches oder Switchfunktionen benötigen sehe ich schwarz, ich arbeite hier mit HP v1910 Switches :-( Die v1910er unterstützen IEEE 802.1X & RADIUS Network Logins: http://h17007.www1.hp.com/us/en/networking/products/switches/HP_1910_Switch_Series/index.aspx#tab=TAB2 Mit einer gescheiten NAP- und Portbased Security-Konfiguration kannst Du Dir den Mumpitz mit den Reservierungen und MAC-Filtern sparen. Das ist nur eine Arbeitsbeschaffungsmaßnahme ;-) Zitieren Link zu diesem Kommentar
NorbertFe 2.100 Geschrieben 26. August 2014 Melden Teilen Geschrieben 26. August 2014 Danke für die Bestätigung Zitieren Link zu diesem Kommentar
crazymetzel 11 Geschrieben 28. August 2014 Autor Melden Teilen Geschrieben 28. August 2014 aber nochmal, mit Radius und Auth stelle ich sicher dass nur bekannte Macs ins Netzwerk gelangen. Meine Fragestellung vom Start ist damit aber nicht gelöst, dass jemand per Hand seinem Laptop ne IP gibt die mein hauptserver hat und diesen damit abschießt oder? Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 28. August 2014 Melden Teilen Geschrieben 28. August 2014 Per RADIUS kannst Du die MAC-Adresse als Identifikator nehmen. Allerdings bietet es sich hier vielmehr an, etwas weniger leicht fälschbares zu nehmen. Windows PCs, die der Domäne zugehörig sind, haben ja ein Computerkonto. Mit dem können sie sich ausweisen. Benutzer genauso. Oder Du verteilst Zertifikate an Benutzer und Computer. Dann geht das auch damit. Wenn jemand sich die gleiche IP wie der Server gibt, dann meldet Windows einen IP-Adresskonflikt und verhindert, dass der Client damit den Server "abschießt". Da musst Du schon Betriebssysteme wie z.B. Linux nehmen, die das ignorieren. Über die portbasierende Authentifizierung würden derartige Clients vom Netzwerk ausschliessbar sein. Du kannst aber auch einen ARP-Scanner wie arpwatch oder XArp zum Monitoring mitlaufen lassen, der Dich informiert, wenn eine neuen MAC-Adresse im Netz auftaucht oder wenn eine bekannte MAC-IP-Kombination sich ändert. Zitieren Link zu diesem Kommentar
crazymetzel 11 Geschrieben 28. August 2014 Autor Melden Teilen Geschrieben 28. August 2014 Ah ok. Danke für die Ausführung. Das muss ich mir durch den Kopf gehen lassen. In den meisten Fällen betrifft das Problem tatsächlich ein paar Windows Laptops, aber genau diese Schaukelschorsche haben auch ab und an mal ein Steuerungsterminal welches Sie ans Netzwerk hängen um mit dem Laptop darauf zuzugreifen, die sind durchaus ab und an auf Linux Basis. Also eine wirkliche Kopplung: Diese Mac DARF nur mit dieser IP gibt es dann nicht so ohne weiteres... Schade. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 28. August 2014 Melden Teilen Geschrieben 28. August 2014 (bearbeitet) Na das Terminal kommt dann doch gar nicht in das Netzwerk rein oder Du packst es in ein eigens VLAN. Es erfüllt doch die portbasierende Authentifizierung nicht. Der Linux-Laptop dann auch nicht, wenn Du z.B. EAP-TTLS oder Protected EAP: http://www.heise.de/netze/artikel/WLAN-und-LAN-sichern-mit-IEEE-802-1X-und-Radius-979513.html und http://technet.microsoft.com/de-de/library/hh831831.aspx und http://technet.microsoft.com/de-de/library/hh994700.aspx Damit kannst Du auch den Zugriff auf drahtlose Netze super absichern. Die Konfiguration kann per Gruppenrichtlinien verteilt werden. bearbeitet 28. August 2014 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.