aLgE Geschrieben 19. März 2005 Geschrieben 19. März 2005 hi leutz... habt ihr eine Idee, wir man das netz sicher machen kann :-) also, ich habe mir das so vorgestellt.. die clients werden über einen Switch angeschlossen. Es soll eine liste mit MAC-Adressen angelegt werden, nur die clients die in der Liste stehen, sollen die Möglichkeit haben, auf das Netz zuzugreifen. Der Port soll sich deakti oder dergleichen damit unbefugte clients, nicht die Möglichkeit haben auf das Netz zuzugreifen? habt ihr eine Idee, wie man das realisieren kann? ich denke mal mit einem manag. Switch aber die werden bestimmt nicht unter 500 Euro zu haben sein, oder? kennt ihr eine Preiswerte Möglichkeit? egal wie? mfg alge Zitieren
gambit1978 Geschrieben 19. März 2005 Geschrieben 19. März 2005 das die von dir angesprochene lösung sooo teuer sein muss will ich mal bezweifeln, das ist abhängig davon von welchem hersteller das teil kommt und was er sonst noch so alles können soll. was deine "securitygelüste" betrifft hüpft mir da spontan eine serverbasierte lösung ins hirn. dafür reicht eine uralte feile absolut aus: du ballerst dir ein nettes os auf das teil, richtest für alle geräte ne domäne ein und regelst alles von nun an zentral über den server -> damit ist alles ohne akt so realisierbar wie du dir das wahrscheinlich vorgestellt hast... nachteil dieser lösung ist freilich, dass du irgend ne olle möhre als weiteren rechner bräuchtest und dich mit der softwarebasierten umsetzung befassen müsstest. dafür gäbe es hier im forum aber sicher genug "freiwillige helfer" ansonsten ist "für zwischendurch" ein managed switch (abgesehen vom preis vielleicht) auch durchaus ne lösung. du solltest hierbei aber darauf achten, da deine user selber nicht so tier in der materie stecken, bzw. ihr wissen bewusst und mit gewalt klein halten. warum? ganz klar, diese managed systeme lassen sich (das entsprechende wissen vorrausgesetzt) ohne akt austricksen. mir fallen da so nette begriffe wie scanning und spoofing ein... gut zugegeben, das ginge mit ner serverbasierten lösung sicherlich auch, nur hast du hier den vorteil einer erweiterten authentifizierung auf der anwendungsebene. (user, passwörter, zertifikate usw.) hab ich jetzt eventuell mit kannonen auf spatzen geschossen? :bimei Zitieren
aLgE Geschrieben 19. März 2005 Autor Geschrieben 19. März 2005 im netz ist ein samba der als pdc läuft... die pcs die in der domäne sind, sind von dem pc, der nicht in der domäne ist trotzdem verfügbar.. wie meinst du das genau? Zitieren
gambit1978 Geschrieben 20. März 2005 Geschrieben 20. März 2005 nun, eine domäne ist eine art sicherheitsblase. alle rechner die in das system wollen, müssen sich am domänenserver anmelden. kennt der server den betreffenden rechner nicht, oder hat dieser rechner keine berechtigungen für die domäne so wird ihm ein einloggen in der domäne untersagt. klingt zugegebenermassen erstmal nicht sooo hochtrabend ABER, spinn die möglichkeiten die sich aus einer solchen architektur ergeben einfach mal weiter: ALLE dienste die im netzwerk unterwegs sein sollen, laufen über die domänenauthentifizierung. kommt der fragliche rechner nicht in die domäne, kommt er auch nicht an den gewünschten dienst.. (nix mit surfen, nix mit zugriffen auf netzwerkordner usw.) was du mit "trotzdem verfügbar" meinst kann ich an dieser stelle nur mutmassen. wenn du anpingen meinst -> logisch das geht, aber es nützt dem rechner nix. alles andere lässt sich unter ner domäne "dichtmachen". hierbei sollte auch angemerkt werden, dass eine domänenarchitektur DAS mittel zum zweck in firmennetzwerken ist. da geht eigentlich nix ohne, nirgendwo! am rande: hierraus lassen sich auch die unterschiede einer home- oder professional version (winXp zb.) besser ableiten. die home-version kann KEINE domänen verwalten oder gar damit umgehen (einfach weil man in nem privathaushalt eine solche sicherheitsarchitektur kaum braucht). die professional-version KANN aber als domänenclient fungieren und bietet begrenzt sogar domänenserver funnktionalitäten. In deinem Fall würde ich einen rechner unter linux mit nem samba laufen lassen. auf diesem ist der samba als dc (domain controller) eingerichtet und verwaltet die clients. wichtig hierbei wäre es wie schon gesagt, dass die windows clients aber zumindest als professional-version vorliegen! Zitieren
aLgE Geschrieben 20. März 2005 Autor Geschrieben 20. März 2005 das hört sich gut an!! ich habe des weiteren noch vlan am switch eingerichtet und für die jeweiligen Abteilungen netze... z.B. abteilung einkauf hat port 1-5 mit einem eigenen netz und am Switch sind port 1-5 vlan 1, dazu kommt noch ein samba mit pdc.. ich denke mal, das müsste doch zum absichern reichen oder? :bimei Zitieren
gambit1978 Geschrieben 21. März 2005 Geschrieben 21. März 2005 ich denke mal, das müsste doch zum absichern reichen oder? :bimei das ist auf jeden fall schon mal ne recht gute und solide grundlage :bimei Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.