Gå til innhold
Trenger du hjelp med internett og nettverk? Still spørsmål her ×

Hindre tilgang til kablet nett?


Anbefalte innlegg

Sitter på et forholdsvis uoversiktlig og stort nettverk med domenepålogging. Dette har mange koblingspunkter på litt avgjemte steder. Hvordan kan jeg forhindre at noen uvedkommende kobler seg til (med kabel) får dhcp-adresse og setter i gang med uhumskheter? På et trådløstnett er jo dette enkelt å forhindre, men hva med et kablet nett?

Lenke til kommentar
Videoannonse
Annonse

Anbefaler at du bruker reservasjoner i DHCP serveren.

 

Å bare plugge ut de punkta som ikkje er i bruk er ikkje sikkert.

Da er det ingenting som hindrer en å plugge ut en PC som er avslått og koble inn sin egen, eller å sette opp en Hub/mini-switch på et kontor.

 

Å låse enkeltporter på en Switch til MAC adresser er også veldig mye arbeid, og er ikkje praktisk dersom maskiner flyttes rundt.

Lenke til kommentar

Du setter fingeren på et veldig aktuellt problem som mange ikke er så klar over.

De fleste tror at hvis de unngår trådløst og kun bruker kabel, så er de "trygg". Idag er sperrene i trådløst så gode at kablet nettverk som brer seg litt utover er mye lettere å utnytte.

 

Å basere sikkerheten på at en PC ikke skal få IP-adresse av DHCP-serveren, er for dårlig.

Det er fort gjort å finne ut hvilket subnett bedriften bruker i det aktuelle punktet, og skrive inn adresse manuellt.

 

Det finnes sytemer for å sikre kablete nettverkspunkt, CISCO sine switcher støtter f.eks et system med sentral RADIUS-server, der man ikke får kommunisere ut av switchen hvis man ikke blir godkjent. Men slike systemer er dyre og kompliserte.

 

Skal du ha best mulig sikkerhet, enklest mulig idag, er faktisk trådløst best!

Lenke til kommentar
Det finnes sytemer for å sikre kablete nettverkspunkt, CISCO sine switcher støtter f.eks et system med sentral RADIUS-server, der man ikke får kommunisere ut av switchen hvis man ikke blir godkjent. Men slike systemer er dyre og kompliserte.

Mange switcher i dag støtter det som heter 802.1x, og er vel det ozone mener her.

Men det trenger ikke å bli så dyrt, både radius-serveren og 802.1x-klienten som man trenger finnes i gratis utgaver.

 

Det som skjer med switchene da (kort forklart) er at alle portene på den er i utgangspunktet stengt, og man må skrive inn et brukernavn og et passord for å at portene skal bli aktivisert.

Skriver man inn feil bruker/pass eller ikke har 802.1x-klienten installert, forblir porten stengt.

 

Gratis radius-server er f.eks FreeRadius (Linux) og gratis klient er f.eks SecureW2

Lenke til kommentar

enkleste er å taste inn mac adresser som er akseptert. alle andre blir avvist.

radius server kan brukest til å godkjenne brukere gjennom Active Directory blant annet, eller du kan bruke det til å lagre macer på systemet slik at det er kun dei som slepper til. nye pcer må godkjennest

 

 

bruker radius+captive portal og AD

Lenke til kommentar

Når han sier han sitter på en domene server sier det seg selv at det blir en del mac addresser å skrive inn.

 

Vi leker ikke domene server;)

 

Når man først setter opp domene server og treer er det som regel en grunn til det.

 

Når du først har en domene server så kan du jo nekte dhcp serveren å dele ut ip addresser i samme range som resten av nettverket før han er logget på. Om jeg ikke husker feil.

 

Og så ikke sette noe gateway for de addressene som ikke er pålogget. Da kommer man ikke så langt. Finnes noen slike alternativer, litt avhengig av hvilket os du kjører.

Endret av Doleo
Lenke til kommentar

Bli med i samtalen

Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.

Gjest
Skriv svar til emnet...

×   Du har limt inn tekst med formatering.   Lim inn uten formatering i stedet

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.

Laster...
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...