Fremde Rechner ausschließen

[maddin]

Hallo,

ich habe mit meinem Firmennetzwerk ein kleines Problem. Und zwar bringen einige Mitarbeiter ihre privaten Rechner mit hängen diese ins Netzwerk, stellen eine beliebige IP ein und verursachen dadurch Adresskonflikte. Meine Frage nun, wie kann ich das verhindern oder zumindest am genausten herausfinden, wo der Rechner steht?

mfg maddin

[blackswordowner]

Hallo!

Einige genauere Infos wären net schlecht.

Arbeitet ihr mit LInux oder Windows?!

Arbeitsgruppen oder Domänenmodell?!

Wird DHCP verwendet oder statische Adressen?!

Gruß

BSO

[maddin]

Es ist ein Windows Netzwerk mit einem Windows 2000 Server als Domänencontroller.

[hades]

@maddin:

Unternehmensweite Sicherheitsrichtlinien (keine privaten Rechner, keine betriebsfremde Software, evtl. Protokollieren der Internetaktivitaeten, Datenschutzerklaerung etc.) auf Papier erstellen, vom Chef und (wo vorhanden) Betriebsrat absegnen und jedem Mitarbeiter zur Unterschrift vorlegen lassen.

Ansonsten wirst Du nur schwer Herr der Lage.

Technisch hast Du auf private Rechner kaum Einfluss.

Du koenntest das IEEE802.1x-Protokoll als Netzwerkauthentifizierung nutzen, allerdings muessen hier saemtliche Netzwerkkomponenten (Clients, Switches/Router, RADIUS-Server) dieses auch unterstuetzen. IEEE802.1x kommt bei Windows allerdings erst mit XP und 2003 Server mit.

[robotto7831a]

Original geschrieben von hades

@maddin:

Unternehmensweite Sicherheitsrichtlinien (keine privaten Rechner, keine betriebsfremde Software, evtl. Protokollieren der Internetaktivitaeten, Datenschutzerklaerung etc.) auf Papier erstellen, vom Chef und (wo vorhanden) Betriebsrat absegnen und jedem Mitarbeiter zur Unterschrift vorlegen lassen.

Das hilft manchmal aber auch nicht. Bei uns in der Firma können auch einige ein Lied davon singen.

Frank

[FinalFantasy]

Wenn die sich einmal eingehängt haben, müssten die Server doch deren MAC-Adresse kriegen, oder? Oder werden die vielleicht sogar mitgeloggt?

Dann kann man diese doch evtl sperren, oder?

Weis zwar nichts genaueres, war jetzt nur mal so ne idee, aber vielleicht könnt ihr ja was damit anfangen

Aber nebenbei, wieso stellen die ne feste IP ein, ihr habt doch bestimmt nen DHCP im Netzwerk, oder?

[dr.disk]

Original geschrieben von palvoelgyi

Das hilft manchmal aber auch nicht. Bei uns in der Firma können auch einige ein Lied davon singen.

Da die Unternehmensvereinbarung vom Mitarbeiter unterschrieben wurde sollte zuerst mit diesem das Problem besprochen werden. Falls das nichts bringt Abmahnen und falls immer noch keine Reaktion: raus werfen.

So hart wie es klingt, falls sich jemand permanent nicht an die Regeln hält schadet er damit der Unternehmung und somit der Kooperation unter den Kollegen. Das geht wiederum an das Kapiel der Firma und auf Dauer kann es sogar den Arbeitsplatz kosten, was sicherlich keiner von uns will.

Gerne machen würde ich sowas sicherlich auch nicht. Aber was will man machen, wenn man mit Gesprächen und Erläuterungen des Problems die Leute nicht zur Einsicht bringt?

[MichaelP]

Du kannst beispielsweise bei HP Switches die einzelnen Ports an Mac adressen binden. Das bedeutet, dass nur ein Rechner mit der vorher eingetragenen IP Connect zum Netzwerk bekommt.

Vielleicht wäre das eine Lösung für Dich.

[maddin]

Original geschrieben von FinalFantasy

Wenn die sich einmal eingehängt haben, müssten die Server doch deren MAC-Adresse kriegen, oder? Oder werden die vielleicht sogar mitgeloggt?

Dann kann man diese doch evtl sperren, oder?

Weis zwar nichts genaueres, war jetzt nur mal so ne idee, aber vielleicht könnt ihr ja was damit anfangen

Aber nebenbei, wieso stellen die ne feste IP ein, ihr habt doch bestimmt nen DHCP im Netzwerk, oder?

1) Auf den Server haben die privaten Rechner keinen Zugriff. Das lässt sich ja noch recht einfach ausschließen. Problem sind wie gesagt, die Adresskonflikte, wenn zwei Rechner mit der selben IP im Netzwerk hängen.

2) Ein DHCP ist noch nicht eingerichtet - leider. Ist aber im Aufbau. Muss mir bloß noch überlegen, wie die Umstellung ohne größere Probleme lösen lässt. Aber das ist ein anderes Thema.

3) Unternehmensweite Sicherheitsrichtlinien wie von palvoelgyi angesprochen gibt es wohl in meiner Firma. Problem ist, dass sich einige nicht daran halten. Das ist auch der Grund, warum ich wissen will, wo die entsprechenden Rechner stehen, oder wie ich den Missbrauch einfach komplett ausschließen kann. Und da ich nicht weiß, wo die Rechner stehen und wer ihn nutzt, kann ich den Verursacher auch nicht raus werfen lassen.

@MichaelP: Das ist durchaus eine gute Lösung. Wenn auch mit viel Arbeit verbunden.

[robotto7831a]

Original geschrieben von maddin

2) Ein DHCP ist noch nicht eingerichtet - leider. Ist aber im Aufbau. Muss mir bloß noch überlegen, wie die Umstellung ohne größere Probleme lösen lässt. Aber das ist ein anderes Thema.

Ich glaube das wird das Problem nicht lösen. Was hindert einen daran an seinem privaten Notebook einfach eine statische IP Adresse einzustellen. Wenn die zu einem DHCP IP Adressenpool gehört, knallt es doch wieder.

Original geschrieben von maddin

3) Unternehmensweite Sicherheitsrichtlinien wie von palvoelgyi angesprochen gibt es wohl in meiner Firma. Problem ist, dass sich einige nicht daran halten. Das ist auch der Grund, warum ich wissen will, wo die entsprechenden Rechner stehen, oder wie ich den Missbrauch einfach komplett ausschließen kann. Und da ich nicht weiß, wo die Rechner stehen und wer ihn nutzt, kann ich den Verursacher auch nicht raus werfen lassen.

Wenn man mehrere kleine Subnetze mit eigenen IP-Bereichen bildet, kann man den Bereich ein bisschen eingrenzen.

Das ist aber auch nicht die optimale Lösung.

Frank

[nic_power]

Hallo,

Original geschrieben von maddin

@MichaelP: Das ist durchaus eine gute Lösung. Wenn auch mit viel Arbeit verbunden.

Das dürfte aber die einzige realisierbare Lösung sein. Wie groß der Aufwand ist hängt in erster Linie von der Größe eures Netzes ab. Sicherheits-Mechanismen die nur auf IP-Adressen basieren sind wesentlich aufwändiger, da sie sehr leicht umgangen werden können.

Nic

[SimplyMad]

Eigentlich brauchst du nur die IP des Rechners, um in ungefähr heraus zu bekommen, wo er steht. Ich nehme doch mal an, dass ihr nicht nur ein großes Patchfeld oder einen einzigen Router/Switch habt. In der Regel ist es doch so, dass jede Etage, jedes Gebäude oder jede Abteilung doch zumindest mal einen hat, der wiederum eine IP hat. Sobald es kracht, sniffst du einfach die IP, routest sie, schaust über welches Switch das Theater läuft und zack: Dann hast du schon ne reelle Chance den Schuldigen zu finden.

mfg,

Der Mad

[LtNick2]

Was für Switche setzt ihr ein? Oben wurden schon die HP erwähnt, CISCO kann das auch: MAC Adressen auf die Ports binden und auf jedem Port nur eine MAC zulassen. Error disable aktivieren und warten wo sich einer meldet das sein Netzwerk nicht tut. Oder haben die mehrere Switchports an die Arbeitsplätze gepatcht?

Gruß

Sven

[Sowisd]

Hi,

mich würde mal interessieren, ob es in deinem Fall irgendwelche Neuiogkleiten

gitb, und wie du da letztendlich vorgegangen bist.

MfG

[maddin]

Wir haben letzendlich die schon erwähnten Switche angeschafft, die MAC- Adressen auf einzelne Ports binden können. Gemeldet, dass sein Netzwerk nicht mehr funtkioniert hat sich niemand, aber dafür benutzt auch keiner mehr private Rechner im Netzwerk - wie auch.

mfg maddin

[Sowisd]

hmmm..danke

[ingh]

Das ist schon richtig, allerdings müssten sie dazu auf den anderen Rechner (ihren Arbeitsrechner?) der mit dieser MACadresse an diesem Port hängt, solange verzichten.

[Kanngarnix]

mmhh ich habe da auch was gehört von einem Klassenkameraden bei meiner Umschulung. Er macht bei T-Systems sein Praktikum und die haben da einen Schutz, sobald man den Stecker aus der Dose zieht war es das mit der dose.

KA wie die das machen, auf jeden Fall ist die Dose dann gesperrt und muss wieder freigeschaltet werden. Er hatte nämlich auch versucht sein Laptop bei dort ans netz zu hängen .