Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hallo ich bin neu hier und hoffe ihr könnt mir bei meinem problem weiterhelfen!

...... und zwar muss ich ein LAN von innen sicher machen. Es besteht ein 100MBit/s RJ45 Ethernet Netz im Haus über mehere Etagen. Einzelne Räume werden in einem Netzwerkschrank zusammengeschlossen. Mehrere Netzwerkschränke werden an Etagenschränken zusammengeschlossen und die Etagenschränke werden am Hauptnetzwerkschrank im Keller neben den Servern zusammengeschlossen, also nix besonderes, strukturierte Verkabelung. So..... die Ports die in den Zimmern nicht benutzt werden sollen aktiv bleiben, es soll sich aber kein Nutzer mit einem unbekannten Gerät in das LAN einklinken können. Dies könnte durch einen MAC Adressen Pool gemacht werden aber wer managed das dann. Ich hab gehört es gibt da eine Lösung von Cisco die von den Switchen die MAC- Adressen sammelt und wodrin man dann vertrauenswürdige Geräte Zugriff auf das LAN gewährt und alle anderen draussen lässt. Klingt ja soweit gar nicht schlecht aber der administrative aufwand ist denke ich enorm.

Es gibt bestimmt noch viel einfacherere und bessere Lösungen. Ich habe bis jetzt keine gefunden und würd mich über eure Erfahrungen und Vorschläge freuen!

Schönen Dank schon mal im Vorraus

Harvey

Geschrieben

Eine Loesung ist die Port-Authentifizierung nach IEEE 802.1X.

Dazu brauchst Du:

- Alle Switches muessen IEEE 802.1X unterstuetzen

- einen Radius-Server (bzw. auf Windows Servern den Internetauthentifizierungsdienst --- IAS)

- Zertifikate fuer jedes erlaubte System

Allerdings laeufts nicht mit allen Betriebssystemen. Bei Windows gehts nur mit Windows 2000 SP4, XP, Vista und Server 2003. DOS, Win9x und NT4 funktionieren nicht.

Geschrieben

Alles klar ich danke dir!

Wodurch wird denn die Berechtigung vergeben? Anhand der MAC- Adressen? Weil du Betriebssysteme angegeben hast! Die Authentifizierung müsste ja vor dem Betriebssystemstart erfolgen!

  • 3 Wochen später...
Geschrieben

Am einfachsten wäre es, allen Ports die angeschlossene MAC Adresse zuzuordnen und sobald eine andere MAC dort angeschlossen wird, den Port vorübergehend zu sperren (muss dann vom admin wieder freigeschaltet werden).

Bei uns wird das so geregelt, damit niemand einen anderen bzw fremden PC anschließen kann.

Da ihr sicherlich auch feste IP's intern vergeben habt, würde auch in dem Zusammenhand eine manuelle Zuordnung Sinn machen, also dass die IP's den MAC Adressen zugeordnet werden.

Geschrieben

Wodurch wird denn die Berechtigung vergeben? Anhand der MAC- Adressen? Weil du Betriebssysteme angegeben hast! Die Authentifizierung müsste ja vor dem Betriebssystemstart erfolgen!

Die Authentifizierung erfolgt bei IEEE802.1X bevorzugt mit Hilfe des Extensible Authentification Protocol (EAP), d.h. mit Zertifikaten. Du musst hier eine funktionierende Public Key Infrastructure (PKI) haben, d.h. mit allen Vor- und Nachteilen einer PKI.

Es gibt Betriebssysteme, die IEEE802.1X nicht unterstuetzen (MS-Systeme siehe oben). Durch diesen Nachteil hat sich IEEE802.1X im LAN - noch - nicht durchsetzen koennen.

@.RJ.:

Genau aus diesem Overhead an Verwaltungsarbeiten (MAC-Adresslisten und Switchports pflegen) sowie der Tatsache, dass eine MAC-Adresse sehr einfach zu faelschen ist, wurde IEEE802.1X entwickelt.;)

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...