trollmannen Skrevet 13. juni 2007 Rapporter Del Skrevet 13. juni 2007 Problem: En liten bedrift vil ikke at ansatte skal ta med egne PC'er og bruke de på nettverket / internett-tilgangen på arbeidsplassen. Dvs man har behov for muligheten til å blokkere MAC adresser i et kablet nettverk. Hvilke muligheter er å foretrekke, innenfor rimelighetens grense? Lenke til kommentar
sumptrollet Skrevet 13. juni 2007 Rapporter Del Skrevet 13. juni 2007 1. Fortelle til de ansatte at de ikke skal koble opp eget utstyr. Dette forutsetter at svitsjene dine støtter det: 2. 802.1x-autentisering på stikkene 3. Sette hvilke mac-adresser som er gyldige pr. port Lenke til kommentar
tyldum Skrevet 13. juni 2007 Rapporter Del Skrevet 13. juni 2007 Har du nyere Cisco kan du ha sticky MAC på portene. Det betyr at switchen tillater en MAC per port, og lærer seg den første den ser. Du kan ha aging, slik at den glemmer en MAC etter en viss tid (skal du bytte PC kan du enden resette manuelt på porten eller are la pluggen være død i noen timer). Lenke til kommentar
trollmannen Skrevet 13. juni 2007 Forfatter Rapporter Del Skrevet 13. juni 2007 Takker for svar. Begrensninger her ligger i at den eksisterende switchen er ikke managed, og firewallen som står der nå er en basic linksys sak. Dvs dårligst mulig utgangspunkt for å gjennomføre dette. Har dere forslag til konkrete produkter som kan gi ønskelig funksjonalitet? Lenke til kommentar
lohelle Skrevet 13. juni 2007 Rapporter Del Skrevet 13. juni 2007 Takker for svar.Begrensninger her ligger i at den eksisterende switchen er ikke managed, og firewallen som står der nå er en basic linksys sak. Dvs dårligst mulig utgangspunkt for å gjennomføre dette. Har dere forslag til konkrete produkter som kan gi ønskelig funksjonalitet? 8851495[/snapback] Hva med å kjøpe en billig managed switch da? det åpner jo for flere muligheter senere (om flere skulle dukke opp). Ser stadig vekk brukte Cisco 2950 osv rundtom på bruktmarkeder. Bør være mulig å få tak i en slik for 2-3000 kr. Er dog usikker på om 2950 støtter dette (??), eller om du må opp et nivå.. Lenke til kommentar
Knopfix Skrevet 13. juni 2007 Rapporter Del Skrevet 13. juni 2007 Er dog usikker på om 2950 støtter dette (??), eller om du må opp et nivå.. 2950 støtter MAC filtrering.Du kan legge inn en mac address slik at den godtar den første den lærer på et gitt Interface,og du kan programmere den til å slå av det Interfacet ved en ugyldig mac addresse.Mener du også kan logge hendelsene. Ellers er det vel stort sett 10 Mb interface og noen høyere uplink interface. Den kan kjøpes billig på Ebay har jeg sett. Lenke til kommentar
Gjest member-1768784 Skrevet 13. juni 2007 Rapporter Del Skrevet 13. juni 2007 (endret) - Endret 10. april 2017 av member-1768784 Lenke til kommentar
CrZy_T Skrevet 13. juni 2007 Rapporter Del Skrevet 13. juni 2007 Du kan jo forsøke å filtrere ut MAC-adresser i DHCP-serveren. Det er ikke god sikring, men det holder noen unna. Lenke til kommentar
lohelle Skrevet 13. juni 2007 Rapporter Del Skrevet 13. juni 2007 (endret) Er dog usikker på om 2950 støtter dette (??), eller om du må opp et nivå.. 2950 støtter MAC filtrering.Du kan legge inn en mac address slik at den godtar den første den lærer på et gitt Interface,og du kan programmere den til å slå av det Interfacet ved en ugyldig mac addresse.Mener du også kan logge hendelsene. Ellers er det vel stort sett 10 Mb interface og noen høyere uplink interface. Den kan kjøpes billig på Ebay har jeg sett. 8852473[/snapback] 2950 har 100 Mbit samt eventuelt gigabit (2x) avhengig av utgave. Denne har logging også ja. Det er muligens litt høy terskel for konfigurering, men det er lett å få hjelp til dette. (gjort på en blunk) DHCP-trikset vil fungere for de som ikke har nok peiling til å sette fast IP selv.. Dette kan jo være nok.. (??). Endret 13. juni 2007 av lohelle Lenke til kommentar
Gjest member-1768784 Skrevet 13. juni 2007 Rapporter Del Skrevet 13. juni 2007 (endret) - Endret 10. april 2017 av member-1768784 Lenke til kommentar
VictorOsborn Skrevet 13. juni 2007 Rapporter Del Skrevet 13. juni 2007 Man ungår lett DHCP snooping med trusted ports på uplinkporter og trusted port til dhcp server. Hva med å bruke radius og 802.1x? Lenke til kommentar
roac Skrevet 14. juni 2007 Rapporter Del Skrevet 14. juni 2007 Jeg ville uansett ikke stolt på MAC filtering. MAC adresser er alt for enkle å spoofe. Det er også en smal sak å finne ut hvilke IP-serier som benyttes. Etter min oppfatning er det kun 802.1x (Radius) som faktisk er noen sikkerhet, resten er bare snakk om å gjøre det mindre åpenbart. Men, det funker jo som regel for "mor og far" i hvert fall. Lenke til kommentar
CrZy_T Skrevet 14. juni 2007 Rapporter Del Skrevet 14. juni 2007 Jeg ville uansett ikke stolt på MAC filtering. MAC adresser er alt for enkle å spoofe. Det er også en smal sak å finne ut hvilke IP-serier som benyttes. Etter min oppfatning er det kun 802.1x (Radius) som faktisk er noen sikkerhet, resten er bare snakk om å gjøre det mindre åpenbart. Men, det funker jo som regel for "mor og far" i hvert fall. 8857977[/snapback] Vil man ikke fort begynne å skyte småfugl med kanon? Den ultimate sikkerhet finnes ikke, man må bare finne den man føler gir nok sikkerhet for å dekke behovet til en den riktige mengde penger. MAC-filtring er i mine øyne hvertfall en god løsning (selv om disse kan spoofes) da man hvertfall blir kvitt ønskede virus-bomber (aka laptoper) i nettverket ditt. Lenke til kommentar
roac Skrevet 14. juni 2007 Rapporter Del Skrevet 14. juni 2007 Den ultimate sikkerhet finnes ikke, man må bare finne den man føler gir nok sikkerhet for å dekke behovet til en den riktige mengde penger. MAC-filtring er i mine øyne hvertfall en god løsning (selv om disse kan spoofes) da man hvertfall blir kvitt ønskede virus-bomber (aka laptoper) i nettverket ditt. 8860576[/snapback] Typisk argumentasjon som jeg IKKE forstår. Skal man bekjempe virus med MAC filtrering? De to eneste tingene som imho kan virke her er opplæring av ansatte og antivirus. Hvis man trenger MAC filtrering på grunn av virus, da sier det meg at man begynner i gal ende. Dersom båndbreddebruk hadde vært problemet, burde dette løses i brannmur/firewall, ikke med MAC filtrering. Jeg ser rett og slett ikke en god grunn til å skulle bruke MAC filtrering, for meg synes det kun som en lettvint løsning fordi man ikke vil/ønsker ta tak i de reelle problemstillingene. Men, det kan jo være noe jeg overser. Lenke til kommentar
CrZy_T Skrevet 14. juni 2007 Rapporter Del Skrevet 14. juni 2007 Den ultimate sikkerhet finnes ikke, man må bare finne den man føler gir nok sikkerhet for å dekke behovet til en den riktige mengde penger. MAC-filtring er i mine øyne hvertfall en god løsning (selv om disse kan spoofes) da man hvertfall blir kvitt ønskede virus-bomber (aka laptoper) i nettverket ditt. 8860576[/snapback] Typisk argumentasjon som jeg IKKE forstår. Skal man bekjempe virus med MAC filtrering? De to eneste tingene som imho kan virke her er opplæring av ansatte og antivirus. Hvis man trenger MAC filtrering på grunn av virus, da sier det meg at man begynner i gal ende. Dersom båndbreddebruk hadde vært problemet, burde dette løses i brannmur/firewall, ikke med MAC filtrering. Jeg ser rett og slett ikke en god grunn til å skulle bruke MAC filtrering, for meg synes det kun som en lettvint løsning fordi man ikke vil/ønsker ta tak i de reelle problemstillingene. Men, det kan jo være noe jeg overser. 8860755[/snapback] Jeg sier ikke at man skal benytte MAC-filtrering i stedet for anti-virus, men det gir en posivit effekt ved at man slipper at en maskin kan boote opp på nettverket ditt. MAC-filtrering er en billig og enkel måte og skape en liten terskel for å kunne snike seg inn på nettverket. Med tanke på at dette virker til å være en liten bedrift uten noen større it-avdeling eller investeringsbudsjett for dette så vil det jo fort være en fordel å benytte seg av en billig teknologi for å skape litt sikkerhet i stedet for å legge frem en veldig dyr løsning som blir forkastet innen tilbudet treffer bordet. Lenke til kommentar
ilpostino Skrevet 26. juni 2007 Rapporter Del Skrevet 26. juni 2007 i bedriften jeg jobber i bruker vi IpScan fra Viascope. Nettverket har cirka 150 brukere og dette programmet fungerer veldig greit. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå