maddin Geschrieben 21. Februar 2004 Geschrieben 21. Februar 2004 Hallo, ich habe mit meinem Firmennetzwerk ein kleines Problem. Und zwar bringen einige Mitarbeiter ihre privaten Rechner mit hängen diese ins Netzwerk, stellen eine beliebige IP ein und verursachen dadurch Adresskonflikte. Meine Frage nun, wie kann ich das verhindern oder zumindest am genausten herausfinden, wo der Rechner steht? mfg maddin Zitieren
blackswordowner Geschrieben 21. Februar 2004 Geschrieben 21. Februar 2004 Hallo! Einige genauere Infos wären net schlecht. Arbeitet ihr mit LInux oder Windows?! Arbeitsgruppen oder Domänenmodell?! Wird DHCP verwendet oder statische Adressen?! Gruß BSO Zitieren
maddin Geschrieben 21. Februar 2004 Autor Geschrieben 21. Februar 2004 Es ist ein Windows Netzwerk mit einem Windows 2000 Server als Domänencontroller. Zitieren
hades Geschrieben 22. Februar 2004 Geschrieben 22. Februar 2004 @maddin: Unternehmensweite Sicherheitsrichtlinien (keine privaten Rechner, keine betriebsfremde Software, evtl. Protokollieren der Internetaktivitaeten, Datenschutzerklaerung etc.) auf Papier erstellen, vom Chef und (wo vorhanden) Betriebsrat absegnen und jedem Mitarbeiter zur Unterschrift vorlegen lassen. Ansonsten wirst Du nur schwer Herr der Lage. Technisch hast Du auf private Rechner kaum Einfluss. Du koenntest das IEEE802.1x-Protokoll als Netzwerkauthentifizierung nutzen, allerdings muessen hier saemtliche Netzwerkkomponenten (Clients, Switches/Router, RADIUS-Server) dieses auch unterstuetzen. IEEE802.1x kommt bei Windows allerdings erst mit XP und 2003 Server mit. Zitieren
robotto7831a Geschrieben 22. Februar 2004 Geschrieben 22. Februar 2004 Original geschrieben von hades @maddin: Unternehmensweite Sicherheitsrichtlinien (keine privaten Rechner, keine betriebsfremde Software, evtl. Protokollieren der Internetaktivitaeten, Datenschutzerklaerung etc.) auf Papier erstellen, vom Chef und (wo vorhanden) Betriebsrat absegnen und jedem Mitarbeiter zur Unterschrift vorlegen lassen. Das hilft manchmal aber auch nicht. Bei uns in der Firma können auch einige ein Lied davon singen. Frank Zitieren
FinalFantasy Geschrieben 22. Februar 2004 Geschrieben 22. Februar 2004 Wenn die sich einmal eingehängt haben, müssten die Server doch deren MAC-Adresse kriegen, oder? Oder werden die vielleicht sogar mitgeloggt? Dann kann man diese doch evtl sperren, oder? Weis zwar nichts genaueres, war jetzt nur mal so ne idee, aber vielleicht könnt ihr ja was damit anfangen Aber nebenbei, wieso stellen die ne feste IP ein, ihr habt doch bestimmt nen DHCP im Netzwerk, oder? Zitieren
dr.disk Geschrieben 22. Februar 2004 Geschrieben 22. Februar 2004 Original geschrieben von palvoelgyi Das hilft manchmal aber auch nicht. Bei uns in der Firma können auch einige ein Lied davon singen. Da die Unternehmensvereinbarung vom Mitarbeiter unterschrieben wurde sollte zuerst mit diesem das Problem besprochen werden. Falls das nichts bringt Abmahnen und falls immer noch keine Reaktion: raus werfen. So hart wie es klingt, falls sich jemand permanent nicht an die Regeln hält schadet er damit der Unternehmung und somit der Kooperation unter den Kollegen. Das geht wiederum an das Kapiel der Firma und auf Dauer kann es sogar den Arbeitsplatz kosten, was sicherlich keiner von uns will. Gerne machen würde ich sowas sicherlich auch nicht. Aber was will man machen, wenn man mit Gesprächen und Erläuterungen des Problems die Leute nicht zur Einsicht bringt? Zitieren
MichaelP Geschrieben 22. Februar 2004 Geschrieben 22. Februar 2004 Du kannst beispielsweise bei HP Switches die einzelnen Ports an Mac adressen binden. Das bedeutet, dass nur ein Rechner mit der vorher eingetragenen IP Connect zum Netzwerk bekommt. Vielleicht wäre das eine Lösung für Dich. Zitieren
maddin Geschrieben 22. Februar 2004 Autor Geschrieben 22. Februar 2004 Original geschrieben von FinalFantasy Wenn die sich einmal eingehängt haben, müssten die Server doch deren MAC-Adresse kriegen, oder? Oder werden die vielleicht sogar mitgeloggt? Dann kann man diese doch evtl sperren, oder? Weis zwar nichts genaueres, war jetzt nur mal so ne idee, aber vielleicht könnt ihr ja was damit anfangen Aber nebenbei, wieso stellen die ne feste IP ein, ihr habt doch bestimmt nen DHCP im Netzwerk, oder? 1) Auf den Server haben die privaten Rechner keinen Zugriff. Das lässt sich ja noch recht einfach ausschließen. Problem sind wie gesagt, die Adresskonflikte, wenn zwei Rechner mit der selben IP im Netzwerk hängen. 2) Ein DHCP ist noch nicht eingerichtet - leider. Ist aber im Aufbau. Muss mir bloß noch überlegen, wie die Umstellung ohne größere Probleme lösen lässt. Aber das ist ein anderes Thema. 3) Unternehmensweite Sicherheitsrichtlinien wie von palvoelgyi angesprochen gibt es wohl in meiner Firma. Problem ist, dass sich einige nicht daran halten. Das ist auch der Grund, warum ich wissen will, wo die entsprechenden Rechner stehen, oder wie ich den Missbrauch einfach komplett ausschließen kann. Und da ich nicht weiß, wo die Rechner stehen und wer ihn nutzt, kann ich den Verursacher auch nicht raus werfen lassen. @MichaelP: Das ist durchaus eine gute Lösung. Wenn auch mit viel Arbeit verbunden. Zitieren
robotto7831a Geschrieben 22. Februar 2004 Geschrieben 22. Februar 2004 Original geschrieben von maddin 2) Ein DHCP ist noch nicht eingerichtet - leider. Ist aber im Aufbau. Muss mir bloß noch überlegen, wie die Umstellung ohne größere Probleme lösen lässt. Aber das ist ein anderes Thema. Ich glaube das wird das Problem nicht lösen. Was hindert einen daran an seinem privaten Notebook einfach eine statische IP Adresse einzustellen. Wenn die zu einem DHCP IP Adressenpool gehört, knallt es doch wieder. Original geschrieben von maddin 3) Unternehmensweite Sicherheitsrichtlinien wie von palvoelgyi angesprochen gibt es wohl in meiner Firma. Problem ist, dass sich einige nicht daran halten. Das ist auch der Grund, warum ich wissen will, wo die entsprechenden Rechner stehen, oder wie ich den Missbrauch einfach komplett ausschließen kann. Und da ich nicht weiß, wo die Rechner stehen und wer ihn nutzt, kann ich den Verursacher auch nicht raus werfen lassen. Wenn man mehrere kleine Subnetze mit eigenen IP-Bereichen bildet, kann man den Bereich ein bisschen eingrenzen. Das ist aber auch nicht die optimale Lösung. Frank Zitieren
nic_power Geschrieben 22. Februar 2004 Geschrieben 22. Februar 2004 Hallo, Original geschrieben von maddin @MichaelP: Das ist durchaus eine gute Lösung. Wenn auch mit viel Arbeit verbunden. Das dürfte aber die einzige realisierbare Lösung sein. Wie groß der Aufwand ist hängt in erster Linie von der Größe eures Netzes ab. Sicherheits-Mechanismen die nur auf IP-Adressen basieren sind wesentlich aufwändiger, da sie sehr leicht umgangen werden können. Nic Zitieren
SimplyMad Geschrieben 23. Februar 2004 Geschrieben 23. Februar 2004 Eigentlich brauchst du nur die IP des Rechners, um in ungefähr heraus zu bekommen, wo er steht. Ich nehme doch mal an, dass ihr nicht nur ein großes Patchfeld oder einen einzigen Router/Switch habt. In der Regel ist es doch so, dass jede Etage, jedes Gebäude oder jede Abteilung doch zumindest mal einen hat, der wiederum eine IP hat. Sobald es kracht, sniffst du einfach die IP, routest sie, schaust über welches Switch das Theater läuft und zack: Dann hast du schon ne reelle Chance den Schuldigen zu finden. mfg, Der Mad Zitieren
LtNick2 Geschrieben 25. Februar 2004 Geschrieben 25. Februar 2004 Was für Switche setzt ihr ein? Oben wurden schon die HP erwähnt, CISCO kann das auch: MAC Adressen auf die Ports binden und auf jedem Port nur eine MAC zulassen. Error disable aktivieren und warten wo sich einer meldet das sein Netzwerk nicht tut. Oder haben die mehrere Switchports an die Arbeitsplätze gepatcht? Gruß Sven Zitieren
Sowisd Geschrieben 27. April 2004 Geschrieben 27. April 2004 Hi, mich würde mal interessieren, ob es in deinem Fall irgendwelche Neuiogkleiten gitb, und wie du da letztendlich vorgegangen bist. MfG Zitieren
maddin Geschrieben 28. April 2004 Autor Geschrieben 28. April 2004 Wir haben letzendlich die schon erwähnten Switche angeschafft, die MAC- Adressen auf einzelne Ports binden können. Gemeldet, dass sein Netzwerk nicht mehr funtkioniert hat sich niemand, aber dafür benutzt auch keiner mehr private Rechner im Netzwerk - wie auch. mfg maddin Zitieren
ingh Geschrieben 30. April 2004 Geschrieben 30. April 2004 Das ist schon richtig, allerdings müssten sie dazu auf den anderen Rechner (ihren Arbeitsrechner?) der mit dieser MACadresse an diesem Port hängt, solange verzichten. Zitieren
Kanngarnix Geschrieben 8. Mai 2004 Geschrieben 8. Mai 2004 mmhh ich habe da auch was gehört von einem Klassenkameraden bei meiner Umschulung. Er macht bei T-Systems sein Praktikum und die haben da einen Schutz, sobald man den Stecker aus der Dose zieht war es das mit der dose. KA wie die das machen, auf jeden Fall ist die Dose dann gesperrt und muss wieder freigeschaltet werden. Er hatte nämlich auch versucht sein Laptop bei dort ans netz zu hängen . Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.