sicherheit im lan

[Hansi 10]

mahlzeit,

 

mal ne Frage,

 

ich such eine Möglichkeit mit dem den Zugriff im LAN zumindest über MAC Adressen überwachen kann.

 

Es sind nur statische ip´s im Einsatz und dhcp kommt nicht in Frage.(is so :( )

Netz besteht aus meheren WTS und 2 DC mit ca 100 Clients.

 

Gibts es ne möglichkeit über 2003 Server oder ne andere Software/Hardware dden Zugriff aufs LAN zukontrolieren.

 

Praktisch ne Liste wo ich alle mac Adressen einrichten und so sicher stellen kann das erst mal auf normalem WEG kein Fremder sein lappie auspacken kann und sich in unseren LAN anstöpselt.

 

Da wir öffters Aussenmitarbeiter und Vertriebler von Fremdfirmen haben. Die nun mal in der Lage sind sich ne IP von einem anderen PC auslesen können< (profile sind noch als locale Admins eingerichtet..daher funtz halt ipconfig etc. :( ).

[overlord 10]

hi,

 

-wieso kein DHCP mit festen MAC-Reservierungen?

-ansonsten fällt mir so spontan noch VLAN ein

 

du kannst ja keinen dran hindern sich ne interne IP zu verpassen, bleibt also nur der Switch.

[ANCIENT 10]

Eventuell koenttest du port based vlans auf dem switch machen mit authentifizierungsserver.

Da kannst dann im prinzip alles was nicht authentifiziert ist aussperren aus deinem lan.

Das equipment um sowas zu machen ist halt nicht gerade billig.

 

MFG Ancient.

[Marcel05 10]

Ich würde auch sagen, das die einfachste Methode über den Switch ist.

Zum Beisiel beim Cisco Switch kann man Port Security nutzen, das läuft über MAC-Addressen.

[Hansi 10]

gibts nichts softwaretechnisches??? irgendso ein LANSecurity tool?

 

@ marcel05 bzg. Port Security ,wie muss ich mir das vorstellen? ich hinterleg im switch alle mac´s und die sind dann switchport bezogen oder beziehen die sich dann auf den ganzen switch?

 

also: ist es dann so das ich ohne konfig. Aufwand man einfach ein kabel tauschen kann z.b kabel von switchport 8 auf port23, und gut ist ,oder muss ich dann dem switch das dann miteilen/konfig..?

 

 

vlan kommt nett in frage.....

[ANCIENT 10]

Im prinzip ist es so das jeder port auf dem switch theoretisch ein anderes vlan ist kommt eben drauf an wer dran haengt.

Port security heisst das jeder user der ins lan will sich erstmal authentifizieren muss du hast also zumindest 2 vlans.

ein guest vlan das nur zugriff auf den authentifizierungsserver oder so hat. und ernst wenn er authentifiziert ist wird der port wo er dran haengt in das "interne" vlan geschalten das ist so ziemlich die einzige moeglichkeit fremd rechner die sich ans lan effektiv auszusperren.

 

Aber wie gesgat brauchst du teure managebare switche die port based vlans unterstuetzen und einen server der eben die user db enthaelt kannst natuerlich auch authentifizierung via MAC machen allerdings laufst du da in gefahr das jemand sich einfach die MAC eines anderen rechners krallt.

 

MFG Ancient.

[Marcel05 10]

Funktionweise: Er vergleicht die MAC-Adresse des Host die ins Netz will ,mit

der die im Switch eingestellt is. Sind die gleich ist der Port offen wenn nich

mach er den Port dicht. Du kannst für jeden Port einen extra MAC-Adressen einrichten,

man kann sogar den Port mit mehreren MAC-Adressen belegen.So funkt. zumindenst

mit dem Switch 2950

[ANCIENT 10]

die sache ist halt das es ein leichtes ist so ne mac adresse zu spoofen.

MFG Ancient