Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hallo,

ich habe mit meinem Firmennetzwerk ein kleines Problem. Und zwar bringen einige Mitarbeiter ihre privaten Rechner mit hängen diese ins Netzwerk, stellen eine beliebige IP ein und verursachen dadurch Adresskonflikte. Meine Frage nun, wie kann ich das verhindern oder zumindest am genausten herausfinden, wo der Rechner steht?

mfg maddin

Geschrieben

@maddin:

Unternehmensweite Sicherheitsrichtlinien (keine privaten Rechner, keine betriebsfremde Software, evtl. Protokollieren der Internetaktivitaeten, Datenschutzerklaerung etc.) auf Papier erstellen, vom Chef und (wo vorhanden) Betriebsrat absegnen und jedem Mitarbeiter zur Unterschrift vorlegen lassen.

Ansonsten wirst Du nur schwer Herr der Lage.;)

Technisch hast Du auf private Rechner kaum Einfluss.

Du koenntest das IEEE802.1x-Protokoll als Netzwerkauthentifizierung nutzen, allerdings muessen hier saemtliche Netzwerkkomponenten (Clients, Switches/Router, RADIUS-Server) dieses auch unterstuetzen. IEEE802.1x kommt bei Windows allerdings erst mit XP und 2003 Server mit.;)

Geschrieben
Original geschrieben von hades

@maddin:

Unternehmensweite Sicherheitsrichtlinien (keine privaten Rechner, keine betriebsfremde Software, evtl. Protokollieren der Internetaktivitaeten, Datenschutzerklaerung etc.) auf Papier erstellen, vom Chef und (wo vorhanden) Betriebsrat absegnen und jedem Mitarbeiter zur Unterschrift vorlegen lassen.

Das hilft manchmal aber auch nicht. Bei uns in der Firma können auch einige ein Lied davon singen.

Frank

Geschrieben

Wenn die sich einmal eingehängt haben, müssten die Server doch deren MAC-Adresse kriegen, oder? Oder werden die vielleicht sogar mitgeloggt?

Dann kann man diese doch evtl sperren, oder?

Weis zwar nichts genaueres, war jetzt nur mal so ne idee, aber vielleicht könnt ihr ja was damit anfangen

Aber nebenbei, wieso stellen die ne feste IP ein, ihr habt doch bestimmt nen DHCP im Netzwerk, oder?

Geschrieben
Original geschrieben von palvoelgyi

Das hilft manchmal aber auch nicht. Bei uns in der Firma können auch einige ein Lied davon singen.

Da die Unternehmensvereinbarung vom Mitarbeiter unterschrieben wurde sollte zuerst mit diesem das Problem besprochen werden. Falls das nichts bringt Abmahnen und falls immer noch keine Reaktion: raus werfen.

So hart wie es klingt, falls sich jemand permanent nicht an die Regeln hält schadet er damit der Unternehmung und somit der Kooperation unter den Kollegen. Das geht wiederum an das Kapiel der Firma und auf Dauer kann es sogar den Arbeitsplatz kosten, was sicherlich keiner von uns will.

Gerne machen würde ich sowas sicherlich auch nicht. Aber was will man machen, wenn man mit Gesprächen und Erläuterungen des Problems die Leute nicht zur Einsicht bringt?

Geschrieben

Du kannst beispielsweise bei HP Switches die einzelnen Ports an Mac adressen binden. Das bedeutet, dass nur ein Rechner mit der vorher eingetragenen IP Connect zum Netzwerk bekommt.

Vielleicht wäre das eine Lösung für Dich.

Geschrieben
Original geschrieben von FinalFantasy

Wenn die sich einmal eingehängt haben, müssten die Server doch deren MAC-Adresse kriegen, oder? Oder werden die vielleicht sogar mitgeloggt?

Dann kann man diese doch evtl sperren, oder?

Weis zwar nichts genaueres, war jetzt nur mal so ne idee, aber vielleicht könnt ihr ja was damit anfangen

Aber nebenbei, wieso stellen die ne feste IP ein, ihr habt doch bestimmt nen DHCP im Netzwerk, oder?

1) Auf den Server haben die privaten Rechner keinen Zugriff. Das lässt sich ja noch recht einfach ausschließen. Problem sind wie gesagt, die Adresskonflikte, wenn zwei Rechner mit der selben IP im Netzwerk hängen.

2) Ein DHCP ist noch nicht eingerichtet - leider. Ist aber im Aufbau. Muss mir bloß noch überlegen, wie die Umstellung ohne größere Probleme lösen lässt. Aber das ist ein anderes Thema.

3) Unternehmensweite Sicherheitsrichtlinien wie von palvoelgyi angesprochen gibt es wohl in meiner Firma. Problem ist, dass sich einige nicht daran halten. Das ist auch der Grund, warum ich wissen will, wo die entsprechenden Rechner stehen, oder wie ich den Missbrauch einfach komplett ausschließen kann. Und da ich nicht weiß, wo die Rechner stehen und wer ihn nutzt, kann ich den Verursacher auch nicht raus werfen lassen.

@MichaelP: Das ist durchaus eine gute Lösung. Wenn auch mit viel Arbeit verbunden.

Geschrieben
Original geschrieben von maddin

2) Ein DHCP ist noch nicht eingerichtet - leider. Ist aber im Aufbau. Muss mir bloß noch überlegen, wie die Umstellung ohne größere Probleme lösen lässt. Aber das ist ein anderes Thema.

Ich glaube das wird das Problem nicht lösen. Was hindert einen daran an seinem privaten Notebook einfach eine statische IP Adresse einzustellen. Wenn die zu einem DHCP IP Adressenpool gehört, knallt es doch wieder.

Original geschrieben von maddin

3) Unternehmensweite Sicherheitsrichtlinien wie von palvoelgyi angesprochen gibt es wohl in meiner Firma. Problem ist, dass sich einige nicht daran halten. Das ist auch der Grund, warum ich wissen will, wo die entsprechenden Rechner stehen, oder wie ich den Missbrauch einfach komplett ausschließen kann. Und da ich nicht weiß, wo die Rechner stehen und wer ihn nutzt, kann ich den Verursacher auch nicht raus werfen lassen.

Wenn man mehrere kleine Subnetze mit eigenen IP-Bereichen bildet, kann man den Bereich ein bisschen eingrenzen.

Das ist aber auch nicht die optimale Lösung.

Frank

Geschrieben

Hallo,

Original geschrieben von maddin

@MichaelP: Das ist durchaus eine gute Lösung. Wenn auch mit viel Arbeit verbunden.

Das dürfte aber die einzige realisierbare Lösung sein. Wie groß der Aufwand ist hängt in erster Linie von der Größe eures Netzes ab. Sicherheits-Mechanismen die nur auf IP-Adressen basieren sind wesentlich aufwändiger, da sie sehr leicht umgangen werden können.

Nic

Geschrieben

Eigentlich brauchst du nur die IP des Rechners, um in ungefähr heraus zu bekommen, wo er steht. Ich nehme doch mal an, dass ihr nicht nur ein großes Patchfeld oder einen einzigen Router/Switch habt. In der Regel ist es doch so, dass jede Etage, jedes Gebäude oder jede Abteilung doch zumindest mal einen hat, der wiederum eine IP hat. Sobald es kracht, sniffst du einfach die IP, routest sie, schaust über welches Switch das Theater läuft und zack: Dann hast du schon ne reelle Chance den Schuldigen zu finden.

mfg,

Der Mad

Geschrieben

Was für Switche setzt ihr ein? Oben wurden schon die HP erwähnt, CISCO kann das auch: MAC Adressen auf die Ports binden und auf jedem Port nur eine MAC zulassen. Error disable aktivieren und warten wo sich einer meldet das sein Netzwerk nicht tut. Oder haben die mehrere Switchports an die Arbeitsplätze gepatcht?

Gruß

Sven

  • 2 Monate später...
Geschrieben

Wir haben letzendlich die schon erwähnten Switche angeschafft, die MAC- Adressen auf einzelne Ports binden können. Gemeldet, dass sein Netzwerk nicht mehr funtkioniert hat sich niemand, aber dafür benutzt auch keiner mehr private Rechner im Netzwerk - wie auch.

mfg maddin

Geschrieben

Das ist schon richtig, allerdings müssten sie dazu auf den anderen Rechner (ihren Arbeitsrechner?) der mit dieser MACadresse an diesem Port hängt, solange verzichten.

  • 2 Wochen später...
Geschrieben

mmhh ich habe da auch was gehört von einem Klassenkameraden bei meiner Umschulung. Er macht bei T-Systems sein Praktikum und die haben da einen Schutz, sobald man den Stecker aus der Dose zieht war es das mit der dose.

KA wie die das machen, auf jeden Fall ist die Dose dann gesperrt und muss wieder freigeschaltet werden. Er hatte nämlich auch versucht sein Laptop bei dort ans netz zu hängen :D .

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...