Doz Skrevet 23. august 2005 Rapporter Del Skrevet 23. august 2005 Sitter på et forholdsvis uoversiktlig og stort nettverk med domenepålogging. Dette har mange koblingspunkter på litt avgjemte steder. Hvordan kan jeg forhindre at noen uvedkommende kobler seg til (med kabel) får dhcp-adresse og setter i gang med uhumskheter? På et trådløstnett er jo dette enkelt å forhindre, men hva med et kablet nett? Siter Lenke til kommentar
Babelfisken Skrevet 23. august 2005 Rapporter Del Skrevet 23. august 2005 standardløsningen er vel å ha ha alle ubrukte tilkoblingspunkter frakoblet i nærmeste switch/hub. Siter Lenke til kommentar
The_Real_Ares Skrevet 24. august 2005 Rapporter Del Skrevet 24. august 2005 Har du kontroll på hvilke maskiner som skal på nett kan du sette opp begrensninger på hvilke MAC adresser som får adresse fra DHCP serveren. Evt hvis du har svitsjer som støtter dette kan du sette begrensninger på hvilke MAC adresser som kan koble seg på svitsjen.... Siter Lenke til kommentar
Gadgetman Skrevet 24. august 2005 Rapporter Del Skrevet 24. august 2005 Anbefaler at du bruker reservasjoner i DHCP serveren. Å bare plugge ut de punkta som ikkje er i bruk er ikkje sikkert. Da er det ingenting som hindrer en å plugge ut en PC som er avslått og koble inn sin egen, eller å sette opp en Hub/mini-switch på et kontor. Å låse enkeltporter på en Switch til MAC adresser er også veldig mye arbeid, og er ikkje praktisk dersom maskiner flyttes rundt. Siter Lenke til kommentar
Doz Skrevet 24. august 2005 Forfatter Rapporter Del Skrevet 24. august 2005 Takker for meget gode og informative svar. Skal sjekke mulighetene i dhcp-serveren og switchen. Siter Lenke til kommentar
ozone Skrevet 24. august 2005 Rapporter Del Skrevet 24. august 2005 Du setter fingeren på et veldig aktuellt problem som mange ikke er så klar over. De fleste tror at hvis de unngår trådløst og kun bruker kabel, så er de "trygg". Idag er sperrene i trådløst så gode at kablet nettverk som brer seg litt utover er mye lettere å utnytte. Å basere sikkerheten på at en PC ikke skal få IP-adresse av DHCP-serveren, er for dårlig. Det er fort gjort å finne ut hvilket subnett bedriften bruker i det aktuelle punktet, og skrive inn adresse manuellt. Det finnes sytemer for å sikre kablete nettverkspunkt, CISCO sine switcher støtter f.eks et system med sentral RADIUS-server, der man ikke får kommunisere ut av switchen hvis man ikke blir godkjent. Men slike systemer er dyre og kompliserte. Skal du ha best mulig sikkerhet, enklest mulig idag, er faktisk trådløst best! Siter Lenke til kommentar
Dal Skrevet 24. august 2005 Rapporter Del Skrevet 24. august 2005 Det finnes sytemer for å sikre kablete nettverkspunkt, CISCO sine switcher støtter f.eks et system med sentral RADIUS-server, der man ikke får kommunisere ut av switchen hvis man ikke blir godkjent. Men slike systemer er dyre og kompliserte. Mange switcher i dag støtter det som heter 802.1x, og er vel det ozone mener her. Men det trenger ikke å bli så dyrt, både radius-serveren og 802.1x-klienten som man trenger finnes i gratis utgaver. Det som skjer med switchene da (kort forklart) er at alle portene på den er i utgangspunktet stengt, og man må skrive inn et brukernavn og et passord for å at portene skal bli aktivisert. Skriver man inn feil bruker/pass eller ikke har 802.1x-klienten installert, forblir porten stengt. Gratis radius-server er f.eks FreeRadius (Linux) og gratis klient er f.eks SecureW2 Siter Lenke til kommentar
Solefald Skrevet 24. august 2005 Rapporter Del Skrevet 24. august 2005 enkleste er å taste inn mac adresser som er akseptert. alle andre blir avvist. radius server kan brukest til å godkjenne brukere gjennom Active Directory blant annet, eller du kan bruke det til å lagre macer på systemet slik at det er kun dei som slepper til. nye pcer må godkjennest bruker radius+captive portal og AD Siter Lenke til kommentar
danilovic Skrevet 24. august 2005 Rapporter Del Skrevet 24. august 2005 Det er vel vanlig folkeskikk å låse switcher og liknende inn i skap? Siter Lenke til kommentar
Doleo Skrevet 24. august 2005 Rapporter Del Skrevet 24. august 2005 (endret) Når han sier han sitter på en domene server sier det seg selv at det blir en del mac addresser å skrive inn. Vi leker ikke domene server;) Når man først setter opp domene server og treer er det som regel en grunn til det. Når du først har en domene server så kan du jo nekte dhcp serveren å dele ut ip addresser i samme range som resten av nettverket før han er logget på. Om jeg ikke husker feil. Og så ikke sette noe gateway for de addressene som ikke er pålogget. Da kommer man ikke så langt. Finnes noen slike alternativer, litt avhengig av hvilket os du kjører. Endret 24. august 2005 av Doleo Siter Lenke til kommentar
Anbefalte innlegg
Bli med i samtalen
Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.