Datenklau verhindern?

[mzp 10]

Hallo.

 

Wir möchten unser schon etwas in die Tage gekommenes Netzwerk erneuern.

 

Nun hat mir mein Chef die Aufgabe gegeben, mich zu erkundigen, wie man die Zugriffssicherheit folgendermassen implementieren koennte:

 

- USB-, Firewiregeraete usw. duerfen nicht von nicht berechtigten Mitarbeitern angeschlossen und benutzt werden.

- Brenner duerfen nicht von nicht-berechtigten Mitarbeitern benutzt werden

- nicht berechtigten Mitarbeitern soll es verwehrt werden, eigene Laptops, NAS, usw. ans Netz zu bringen.

 

Alles um einen Möglichen Datenklau zu verhindern.

 

Punkt 1 und 2 waren relativ leicht zu loesen (1.: Devicelock, 2.: Nero Gruppenrechte), jedoch bin ich jetzt an Punkt 3, und mit meinem Latein am Ende....

 

Wie koennte man dies am besten / ueberhaupt verhindern?

 

Die Loesung, nur bestimmten MAC Adresse ein DHCP Lease zu erteilen faellt wohl flach, da Mitarbeiter wohl ihrem Mitgebrachten Geraet einfach eine IP zuteilen koennen, und dann zugriff haben.

 

Gibt es hierzu irgend eine moeglichkeit, dies ueber Gruppenrichtlinien o.ae. zu regeln?

So dass z.b. ein Rechner erst in der Domaene sein muss, um ueberhaupt zugriff zu erhalten?

 

Da wir auch einen neuen Switch anschaffen werden (haben da einen hp 2848 und einen hp 4140gl im Auge), stellt sich die Frage, ob diese evtl. eine aehnliche Funktion zur Verfuegung stellen? Hat hiermit jemand Erfahrung?

 

Fuer Zusaetzliche Denkanstoesse, wie man Datenklau noch verhindern koennte, waere ich natuerlich sehr erfreut.

 

 

Vielen Dank schonmal fuer die Hilfe

 

 

 

mfg: mzp

[Hirgelzwift 10]

ein layer 3 switch sollte dir den punkt 3 erledigen können. da kannst du ein paar "kleinigkeiten" konfigurieren..... ;)

[Minutourus 10]

Wenn sich der Mitarbeiter eine IP Adresse zuteilt kann es nicht funktionieren da ja die MAC Adresse nicht übereinstimmt.

 

Gut auch "normale" Leute könnten MAC Adressen fälschen und der organisatorische Aufwand ist da auch nicht gerade ohne.

 

Hmm gute Frage bin ja mal gespannt welche Vorschläge noch kommen.

 

Von meiner Seite habe ich nur gehört das es Lösungen für Switches und dergleichen gibt.

[Demon72 10]

Ich koennte mir eine Lösung mit Zertifikaten vorstellen, die man auf allen PC's als nicht exportierbar installiert. Bleibt noch wer/was das Zertifikat abfragt. Evtl. eine EFS Verschlüsselung der sensiblen Daten oder etwas in der Richtung.

[mzp 10]

ein layer 3 switch sollte dir den punkt 3 erledigen können. da kannst du ein paar "kleinigkeiten" konfigurieren..... ;)

 

 

Hallo.

 

Aha alles klar, denn die o.g. Switches sind allesamt L3 faehig, von daher sollte es dann hinhauen.

 

Kannst du dazu genauere Angaben machen (Wie wird das genau verhindert? - z.b. koennte ich mir das so vorstellen, dass nur eine gewisse MAC zusammen mit einer bestimmten IP ins Netz darf?)

 

 

mfg: mzp

[CoolAce 17]

Hy,

 

bei Cisco Switchen kann man Port Security anschalten, heist der lernt die jetzigen MAc Adressen und wenn eine andere kommt disabelt er den Port. so merkst du auch welche Leute so eine Aktion startten den Sie müssen den Port von dir freischalten lassen

 

Gruß

 

Cool Ace :cool:

[IThome 10]

Vielleicht wäre IPSec auch eine ALternative ...

[mzp 10]

Hy,

 

bei Cisco Switchen kann man Port Security anschalten, heist der lernt die jetzigen MAc Adressen und wenn eine andere kommt disabelt er den Port. so merkst du auch welche Leute so eine Aktion startten den Sie müssen den Port von dir freischalten lassen

 

Gruß

 

Cool Ace :cool:

 

 

Port Security war das Stichwort welches ich gesucht habe, Danke :>

 

Die von uns in Betracht genommenen Geraete liefern alle dieses Feature, somit muesste das dann eigentlich kein Problem mehr darstellen.

 

 

Vielen Dank nochmal

 

 

 

mfg: mzp

[CoolAce 17]

Kein Thema ;)

[Operator 10]

Mach dich zusätzlich nochmal über 802.1x schlau.

Dabei schaltet der Switch erst nach Authentifizierung deinen kompletten Netzwerkverkehr frei (vorher nur zum Auth-Server, z.b. RADIUS mit AD-Domäne).

 

Nur jeden Port wirst Du damit auch nicht absichern können, da z.B. nicht alle Printserver (die in den Druckern, nicht der Windows Server) 802.1x sprechen und ein User immer noch so einen Port benutzen könnte.

Aber dabei könntest Du dann auf port security zurückgreifen.

 

Ich glaub sicherer gehts dann auch nicht.

 

Gruß

Andre

[FLOST 10]

Wenn du nur die benötigten Leitungen Patchst, dann gibts nur eine limitierte Zahl an verfügbaren Dosen. So minimierst du auch das Risiko, dass sich jemand unemerkt anschließt. Zusätzlich noch Port-Security und du solltest erstmal deine Ruhe haben.

 

Auf Ressourcen aus dem AD hat niemand zugriff, der nicht ein Konto im AD hat (solange du das nicht umstellst).

[Operator 10]

Technisch fittere Leute hindert man damit aber auch nicht am Netzwerk teilzunehmen.

 

Wenn ich merke, daß ein Port nicht funktioniert sobald ich mein Notebook etc. einstöpsel, dann schau ich mir die MAC Adresse meines Rechners an und setze genau die auch auf dem Notebook.

 

Einen Großteil der Leute hält man damit vom Netzwerk fern, aber sicher ist es nicht. Nur damit Du informiert bist und Deinem Chef nicht was von Sicherheit erzählst, was vielleicht gar nicht so sicher ist.

 

Wie wärs denn noch mit passiven Monitoring Servern, die neue MAC Adressen bzw. wechselnde MAC Adressen melden?

Oder fest auf Netzwerkkarten gelötete Netzwerkanschlüsse ;-)

 

Und daß es keine 100%-ige Sicherheit gibt müssen wir ja sowieso nicht ausdiskutieren ;-)

 

Gruß

Andre