bjoernfun 10 Geschrieben 15. März 2006 Melden Teilen Geschrieben 15. März 2006 Guten Morgen Allerseits, ich hoffe, ihr könnt mir ein paar Ideenansätze für folgendes Problem geben. Wir haben hier ein Class C Netz, davon wird Bereich X den Usern per DHCP zur Verfügung gestellt. Als DHCP / DNS Server läuft ein W2K Domänencontroller! Je nachdem wieviele Netzwerkdosen gepatcht sind, könnte man sich relativ schnell und einfach in das vorhandene LAN hängen, auch wenn man erstmal keinen Zugriff auf die Server hat, im LAN wäre man erstmal drin. Ich könnte jetzt auf sämtlichen Switchen den Zugriff aufs LAN per MAC Adressen pflegen, welches meiner Meinung nach völlig aussen vor ist, weil der administrative Aufwand viel zu hoch wäre. Es müsste doch eigentlich Software geben, die mir da weiter hilft, obwohl eigentlich müßte doch der Zugriff bereits auf Protokollebene geregelt werden? Vielen Dank schon mal im voraus für eure Ideen :) Gruß Björn Zitieren Link zu diesem Kommentar
solinske 10 Geschrieben 15. März 2006 Melden Teilen Geschrieben 15. März 2006 Das ganze nennt man Port Security und wird als 802.1x bezeichent. Server 2003 kann das out of the Box ! Du brauchst nur ein paar Zertifikate ausrollen und einen Radius Server implementieren, Das war es dann schon ! Zitieren Link zu diesem Kommentar
Hansi 10 Geschrieben 15. März 2006 Melden Teilen Geschrieben 15. März 2006 "Ich könnte jetzt auf sämtlichen Switchen den Zugriff aufs LAN per MAC Adressen pflegen, welches meiner Meinung nach völlig aussen vor ist, weil der administrative Aufwand viel zu hoch wäre" Die meisten Switche haben doch diesen "Lernmodus" (oder wie das heisst :D ). So könnte mann bei einem klaren IST - Zustand deisen Modus aktivieren und hätte alle erlaubten MAC´s. wie oft kommen den neue Mitarbeiter/Aussenmitarbeiter, etc. ins Haus? Zitieren Link zu diesem Kommentar
kaotai 10 Geschrieben 15. März 2006 Melden Teilen Geschrieben 15. März 2006 Googel mal nach ARPWATCH, da gibts viele Lösungen und Ansätze Linux/Windows zentral/dezentral ... Zitieren Link zu diesem Kommentar
bjoernfun 10 Geschrieben 15. März 2006 Autor Melden Teilen Geschrieben 15. März 2006 @solinske Dann müssten aber meine Netzwerkkomponenten ebenfalls den Standard 802.1x unterstützen? Du meinst es doch so, bei nem W2K3 Server könnten sich die User direkt per EAP beim W2K3 Server über den IAS Dienst authorizieren und alle Diese der Domäne benutzen? @Hansi Dafür werden zu oft die Clients ausgetauscht bzw. neue hinzugefüght! Eventuell für eine Notlösung denkbar. Wobei ich dann eher 1. Variante vorziehen würde, da so oder so bald die Migration von unser W2K Domäne auf W2K3 erfolgen wird. Gruß Björn Zitieren Link zu diesem Kommentar
Hansi 10 Geschrieben 15. März 2006 Melden Teilen Geschrieben 15. März 2006 @kaotai sry, aber für windows syteme find ich nichts.... hast du nen link? Zitieren Link zu diesem Kommentar
kaotai 10 Geschrieben 15. März 2006 Melden Teilen Geschrieben 15. März 2006 Das sollte dir weiter helfen in der Problematik. http://www.tecchannel.de/netzwerk/grundlagen/402460/index10.html http://www.heise.de/security/artikel/print/55269 Desweiteren könnte man auf DHCP-Ebene die IPs reservieren. Dann bekommt jeder Client immer die selbe IP allerdings per DHCP, Aber eben nur wenn die MAC-Adresse gepflegt ist bekommt der Client eine IP. Ist zwar einmal Aufwendig aber dann leicht zu pflegen. Neuer Client >> Neue MAC >> Neuer Eintrag Zitieren Link zu diesem Kommentar
overlord 10 Geschrieben 15. März 2006 Melden Teilen Geschrieben 15. März 2006 Richtig!...und drauf achten, dass der DHCP-Bereich keine freien IP´s zur Verfügung hat! Aber einem bewussten "Einbruch" steht natürlich auch dann nix im Wege, daher wie schon erwähnt: --> Port Security! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.