Harvey0815 Geschrieben 18. Dezember 2006 Geschrieben 18. Dezember 2006 Hallo ich bin neu hier und hoffe ihr könnt mir bei meinem problem weiterhelfen! ...... und zwar muss ich ein LAN von innen sicher machen. Es besteht ein 100MBit/s RJ45 Ethernet Netz im Haus über mehere Etagen. Einzelne Räume werden in einem Netzwerkschrank zusammengeschlossen. Mehrere Netzwerkschränke werden an Etagenschränken zusammengeschlossen und die Etagenschränke werden am Hauptnetzwerkschrank im Keller neben den Servern zusammengeschlossen, also nix besonderes, strukturierte Verkabelung. So..... die Ports die in den Zimmern nicht benutzt werden sollen aktiv bleiben, es soll sich aber kein Nutzer mit einem unbekannten Gerät in das LAN einklinken können. Dies könnte durch einen MAC Adressen Pool gemacht werden aber wer managed das dann. Ich hab gehört es gibt da eine Lösung von Cisco die von den Switchen die MAC- Adressen sammelt und wodrin man dann vertrauenswürdige Geräte Zugriff auf das LAN gewährt und alle anderen draussen lässt. Klingt ja soweit gar nicht schlecht aber der administrative aufwand ist denke ich enorm. Es gibt bestimmt noch viel einfacherere und bessere Lösungen. Ich habe bis jetzt keine gefunden und würd mich über eure Erfahrungen und Vorschläge freuen! Schönen Dank schon mal im Vorraus Harvey Zitieren
hades Geschrieben 19. Dezember 2006 Geschrieben 19. Dezember 2006 Eine Loesung ist die Port-Authentifizierung nach IEEE 802.1X. Dazu brauchst Du: - Alle Switches muessen IEEE 802.1X unterstuetzen - einen Radius-Server (bzw. auf Windows Servern den Internetauthentifizierungsdienst --- IAS) - Zertifikate fuer jedes erlaubte System Allerdings laeufts nicht mit allen Betriebssystemen. Bei Windows gehts nur mit Windows 2000 SP4, XP, Vista und Server 2003. DOS, Win9x und NT4 funktionieren nicht. Zitieren
Harvey0815 Geschrieben 20. Dezember 2006 Autor Geschrieben 20. Dezember 2006 Alles klar ich danke dir! Wodurch wird denn die Berechtigung vergeben? Anhand der MAC- Adressen? Weil du Betriebssysteme angegeben hast! Die Authentifizierung müsste ja vor dem Betriebssystemstart erfolgen! Zitieren
PieDie Geschrieben 20. Dezember 2006 Geschrieben 20. Dezember 2006 Eine andere Möglichkeit wäre es, die gepatchten Ports am Switch abzuschalten, die nicht genutzt werden (sollen). So wirds bei uns gemacht. Zitieren
allesweg Geschrieben 20. Dezember 2006 Geschrieben 20. Dezember 2006 PieDie was bringt das? Dann zieht man einfach einen anderen PC raus und fühlt sich wohl... Zitieren
.RJ. Geschrieben 8. Januar 2007 Geschrieben 8. Januar 2007 Am einfachsten wäre es, allen Ports die angeschlossene MAC Adresse zuzuordnen und sobald eine andere MAC dort angeschlossen wird, den Port vorübergehend zu sperren (muss dann vom admin wieder freigeschaltet werden). Bei uns wird das so geregelt, damit niemand einen anderen bzw fremden PC anschließen kann. Da ihr sicherlich auch feste IP's intern vergeben habt, würde auch in dem Zusammenhand eine manuelle Zuordnung Sinn machen, also dass die IP's den MAC Adressen zugeordnet werden. Zitieren
hades Geschrieben 8. Januar 2007 Geschrieben 8. Januar 2007 Wodurch wird denn die Berechtigung vergeben? Anhand der MAC- Adressen? Weil du Betriebssysteme angegeben hast! Die Authentifizierung müsste ja vor dem Betriebssystemstart erfolgen! Die Authentifizierung erfolgt bei IEEE802.1X bevorzugt mit Hilfe des Extensible Authentification Protocol (EAP), d.h. mit Zertifikaten. Du musst hier eine funktionierende Public Key Infrastructure (PKI) haben, d.h. mit allen Vor- und Nachteilen einer PKI. Es gibt Betriebssysteme, die IEEE802.1X nicht unterstuetzen (MS-Systeme siehe oben). Durch diesen Nachteil hat sich IEEE802.1X im LAN - noch - nicht durchsetzen koennen. @.RJ.: Genau aus diesem Overhead an Verwaltungsarbeiten (MAC-Adresslisten und Switchports pflegen) sowie der Tatsache, dass eine MAC-Adresse sehr einfach zu faelschen ist, wurde IEEE802.1X entwickelt. Zitieren
Mr Krabs Geschrieben 8. Januar 2007 Geschrieben 8. Januar 2007 hier ist ein guter Einstieg zu dem Thema : Windows Server How-To Guides: 802.1x Port Security mit IAS-Server und Windows CA - ServerHowTo.de Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.