Jump to content
Sign in to follow this  
Doz

Hindre tilgang til kablet nett?

Recommended Posts

Sitter på et forholdsvis uoversiktlig og stort nettverk med domenepålogging. Dette har mange koblingspunkter på litt avgjemte steder. Hvordan kan jeg forhindre at noen uvedkommende kobler seg til (med kabel) får dhcp-adresse og setter i gang med uhumskheter? På et trådløstnett er jo dette enkelt å forhindre, men hva med et kablet nett?

Share this post


Link to post

Har du kontroll på hvilke maskiner som skal på nett kan du sette opp begrensninger på hvilke MAC adresser som får adresse fra DHCP serveren. Evt hvis du har svitsjer som støtter dette kan du sette begrensninger på hvilke MAC adresser som kan koble seg på svitsjen....

Share this post


Link to post

Anbefaler at du bruker reservasjoner i DHCP serveren.

 

Å bare plugge ut de punkta som ikkje er i bruk er ikkje sikkert.

Da er det ingenting som hindrer en å plugge ut en PC som er avslått og koble inn sin egen, eller å sette opp en Hub/mini-switch på et kontor.

 

Å låse enkeltporter på en Switch til MAC adresser er også veldig mye arbeid, og er ikkje praktisk dersom maskiner flyttes rundt.

Share this post


Link to post

Du setter fingeren på et veldig aktuellt problem som mange ikke er så klar over.

De fleste tror at hvis de unngår trådløst og kun bruker kabel, så er de "trygg". Idag er sperrene i trådløst så gode at kablet nettverk som brer seg litt utover er mye lettere å utnytte.

 

Å basere sikkerheten på at en PC ikke skal få IP-adresse av DHCP-serveren, er for dårlig.

Det er fort gjort å finne ut hvilket subnett bedriften bruker i det aktuelle punktet, og skrive inn adresse manuellt.

 

Det finnes sytemer for å sikre kablete nettverkspunkt, CISCO sine switcher støtter f.eks et system med sentral RADIUS-server, der man ikke får kommunisere ut av switchen hvis man ikke blir godkjent. Men slike systemer er dyre og kompliserte.

 

Skal du ha best mulig sikkerhet, enklest mulig idag, er faktisk trådløst best!

Share this post


Link to post
Det finnes sytemer for å sikre kablete nettverkspunkt, CISCO sine switcher støtter f.eks et system med sentral RADIUS-server, der man ikke får kommunisere ut av switchen hvis man ikke blir godkjent. Men slike systemer er dyre og kompliserte.

Mange switcher i dag støtter det som heter 802.1x, og er vel det ozone mener her.

Men det trenger ikke å bli så dyrt, både radius-serveren og 802.1x-klienten som man trenger finnes i gratis utgaver.

 

Det som skjer med switchene da (kort forklart) er at alle portene på den er i utgangspunktet stengt, og man må skrive inn et brukernavn og et passord for å at portene skal bli aktivisert.

Skriver man inn feil bruker/pass eller ikke har 802.1x-klienten installert, forblir porten stengt.

 

Gratis radius-server er f.eks FreeRadius (Linux) og gratis klient er f.eks SecureW2

Share this post


Link to post

enkleste er å taste inn mac adresser som er akseptert. alle andre blir avvist.

radius server kan brukest til å godkjenne brukere gjennom Active Directory blant annet, eller du kan bruke det til å lagre macer på systemet slik at det er kun dei som slepper til. nye pcer må godkjennest

 

 

bruker radius+captive portal og AD

Share this post


Link to post

Når han sier han sitter på en domene server sier det seg selv at det blir en del mac addresser å skrive inn.

 

Vi leker ikke domene server;)

 

Når man først setter opp domene server og treer er det som regel en grunn til det.

 

Når du først har en domene server så kan du jo nekte dhcp serveren å dele ut ip addresser i samme range som resten av nettverket før han er logget på. Om jeg ikke husker feil.

 

Og så ikke sette noe gateway for de addressene som ikke er pålogget. Da kommer man ikke så langt. Finnes noen slike alternativer, litt avhengig av hvilket os du kjører.

Edited by Doleo

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...