Netzwerksicherheit

[New-D]

Hi Leute,
hab da einpaar Fragen.

Wie würdet ihr das machen, wenn ihr ein Netzwerk habt sagen wir mal 30 Rechner. Alle hängen an der Pachtdose, die zum Switch führen und von dort aus zum Kommunikations Server(KomSer). Dieser hat den Port 80 offen, sodass alle die im Netzwerk ins Internet kommen.

So meine Frage ist nun, wenn jetzt jemand sein Notebook mitbringt und sich an die "Dose" reinhängt ist er ja im Netzwerk und im Internet. Der DHCP übernimmt ja die Weitergabe der IPs an den Switch.
Wie kann ich verhindern das dies nicht geschieht, dass keiner mit "fremden" Rechner sich ins Netz reinhängt und eventuell Viren Trojaner etc. verbreitet?

Würde es gehen, dass alle Rechner ihre IPs haben und nur diese Zugang besitzen? Vielleicht mit bestimmter Software "Firewall etc., oder mit besseren Switchs wie-Portsecurity"?


Danke erstmal allen für die Unterstützung


THX
New-D

 

[desmond.]

Ist denn eine Firewall nach dem Server geschalten die die Aufgabe übernehmen könnte?

 

[ToiToi]

ja du könntest ja allgemein dhcp ausschalten und allen PCs feste IP-Adressen vergeben. Dann käme niemand mit dem Notebook rein, ohne eine passende IP einzustellen.

Und klar gegen Trojaner etc. ne Firewall installieren.

 

[Sug82]

Ich habe meinen DHCP-Server so konfiguriert, dass nur bekannte MAC-Adressen eine "statische IP" zugeteilt bekommen. Er verteilt also falls ein Laptop oder neuer Rechner angeschlossen ist, ohne meine Zustimmung keine IP-Adresse.

Anmerkung: Mein DHCP-Server ist ein Linux Rechner, kein Router.

 

[BootCamper]

Schöne variante @ Sug82 wird nur dann kritisch fall mal einer an eine Mac Adresse eines PC kommt und diese Cloned. Geht ja sogar in Windows ohne zusatzprogramme die eigene Mac zu ändern. Portsscanner liefert dann die passenden Macs aus dem Netz.
Ne weiter variante wäre, falls Proxy vorhanden, nur bestimmte benutzer einer Domäne ins Netz lassen, so könnten Geräte die nicht in der Domäne hängen und auch nicht per Mac freigegeben wurden keinen zutritt zum Netz.
mfg

 

[New-D]

Jep der Server ist mit Firewall ausgestattet.

Hab mich nochmal mit einem Kollegen unterhalten, der meinte es wird sehr aufwendig jeden Rechner zu verwalten. Denn die Mac&IP Filterung wird bei sovielen Rechnern nichts bringen(es sind weit aus mehr Rechner als 30 viel mehr, wollt nur ein kleines Beispiel geben).

Dann zu allen unterschiedlichen Standorten zu fahren und dort Vorort die Mac&IP einzutragen, wäre organisatorisch nicht machbar!


Also bleibt eigentlich nichts anderes als auf der softwareebene abzusichern wie z.B. Firewall,AntiVir,Benutzerrechte etc.

Ich möchte nicht das komplette Netz Dicht machen, da es ja sein kann das ein Ersatzrechner mal zur Tat kommt und ich den dann nicht anstöpseln kann. Sollte schon noch eine relativ machbare Sache sein!



Was für Ideen habt ihr noch so :-) ?


THX
H2O2

 

[TiTan078]

andere Lösungen gibt es imho nicht.

Einen Tot musst du sterben:

1) Entweder zu pflegst eine MAC-Adressenliste mit der Zuordnung der IP (aber wer hindert den Laptop-User an einer manuellen IP Vergabe)

2) Oder. Du beschränkst den Zugriff auf sensible Daten anhand von Benutzerrechten / Policys (was sowieso gemacht sein sollte !)

3) Oder. Die Zugangskontrolle beginnt an der Pforte ! - Kein Fremdnotebooks auf dem Firmengelände (so wie es bereits mit Photohandys in mehreren Betrieben wg. Industriespionage gehandhabt wird).


Bedenke - Es gibt immer einen Weg in dein Netz.
Die Frage ist nur "Bist du besser als der Angreifer" ? Und kannst du ihm dem Zugang erschweren - zeitlich verzögern - oder gar verhindern, da Du alle Sicherheitsupdates aller Systeme, Server, aktiven Netzwerkkomponenten etc. regelmässig ausführst.

Zu guter letzt stellt sich die Frage wie sensibel die Daten sind - und welcher Aufwand an Sicherheitsmaßnahmen sind noch für diese gerechtfertigt.

Gruss
TiTan078

 

[Sug82]

@ bootcamper es gibt sicherlich eine Lücke die man immer wieder benutzen kann und diese habe ich auch schon längst gewusst, denn habe auch paar mal gemacht, zwar nicht mit Windows, da mit Linux nur eine Zeile geändert werden soll.
Aber wenn die Leute einfach nicht wissen, kann man ja noch so machen und wehe einer macht, kriegt er einen Brief und gut ist.

 

[Simon]

Och die Sachen kann man schon recht nett absichern. i802.11X in Verbindung mit einem RADIUS-Server ist sicherlich ne sehr wirkungsvolle Waffe im Kampf gegen ungewollte Eindringlinge, aber auch nicht unproblematisch in der Erst-Konfiguration.

Fürs erste sollte es genügen, auf den Switchen nur die MAC-Adressen zuzulassen, die von Unternehmens-Hardware stammen. Das lässt sich zwar für Kenner relativ simple knacken, für Normalo-User stellt dies aber einen guten Schutz dar. Nicht genutzte Switchports sollten grundsätzliche immer disabled sein.

Die eigentliche Sicherheit beginnt jedoch in den Köpfen der Mitarbeiter. Strenge Richtlinien und gute Controllings helfen oftmals mehr als pure technische Maßnahmen. Jeder Mitarbeiter ist dazu schriftlich (Unternehmensvereinbarung) angehalten, Verstöße gegen die Richtlinien, asap anonym zu melden. Dieser Prozess sollte regelmäßig und unangekündigt kontrolliert werden.

Jeder PC muss einen aktuellen Virenscanner installiert haben, der regelmäßig aus dem Internet oder von einem zentralen Server im Netzwerk updated. Sollten auf einem oder mehreren PCs Viren entdeckt werden, sollte das System automatisch E-Mails an den Administrator schicken.

mfg Simon

 

[New-D]

nun gut, das heißt ich muss mich mit den gegebenen mittel zufrieden geben!
also mich auf der sofwareebene bewegen und versuchen durch wahnsames kontrollieren der benutzerrechte darauf achten!




@off topic


wollt jetzt keine neues thread aufmachen!

hab einen alten rechner hier, wollte jetzt nt und ws2003 auf eine platte installieren(c:nt---d:winser2003).
wie stelle ich das am besten an? hab jetzt nt mit 4gb installiert! mache sagen nene nur ein gb benutzen. das habe ich aber nicht so verstanden. könnte mich einer mal etwas aufkären.


thx
new-d

 

[New-D]

Hi Leute,

wollte nochmal nach langer Zeit zusammenfassen, dass was hier an Support geleistet wurde.


Also für den Überblick meiner Problematik nochmal kurzgegfasst:

Ein riesen Netzwerk mit ca. 160 Netzwerken und vielen vielen Rechnern
Alle sind so aufgebaut: Rechner hängen an nem Switch der führt zum Server (KomServer-mit Proxy).

Wie kann ich einen kontrollierten Zugang zulassen, wenn jemand seinen Lapi mitbringt und sich ans "Hausnetz" anstöpselt?
( hier werde ich versuchen Lösungversuche aus zu filtern, die von der Machbarkeit und von der finanziellen Lage her realisierbar sind. )


Diese wären Folge:


1.)Oder. Du beschränkst den Zugriff auf sensible Daten anhand von Benutzerrechten / Policys (was sowieso gemacht sein sollte !)

2.)Oder. Die Zugangskontrolle beginnt an der Pforte ! - Kein Fremdnotebooks auf dem Firmengelände (so wie es bereits mit Photohandys in mehreren Betrieben wg. Industriespionage gehandhabt wird).

3.)Die Frage ist nur "Bist du besser als der Angreifer" ? Und kannst du ihm dem Zugang erschweren - zeitlich verzögern - oder gar verhindern, da Du alle Sicherheitsupdates aller Systeme, Server, aktiven Netzwerkkomponenten etc. regelmässig ausführst.

4.)Zu guter letzt stellt sich die Frage wie sensibel die Daten sind - und welcher Aufwand an Sicherheitsmaßnahmen sind noch für diese gerechtfertigt.


5.)Die eigentliche Sicherheit beginnt jedoch in den Köpfen der Mitarbeiter. Strenge Richtlinien und gute Controllings helfen oftmals mehr als pure technische Maßnahmen. Jeder Mitarbeiter ist dazu schriftlich (Unternehmensvereinbarung) angehalten, Verstöße gegen die Richtlinien, asap anonym zu melden. Dieser Prozess sollte regelmäßig und unangekündigt kontrolliert werden.

Jeder PC muss einen aktuellen Virenscanner installiert haben, der regelmäßig aus dem Internet oder von einem zentralen Server im Netzwerk updated. Sollten auf einem oder mehreren PCs Viren entdeckt werden, sollte das System automatisch E-Mails an den Administrator schicken.

êventuell 6.)Och die Sachen kann man schon recht nett absichern. i802.11X in Verbindung mit einem RADIUS-Server ist sicherlich ne sehr wirkungsvolle Waffe im Kampf gegen ungewollte Eindringlinge, aber auch nicht unproblematisch in der Erst-Konfiguration.


Also wie gesagt der Zugang sollte schon gewährleistet sein, aber wenn der externe mitgebrachte Lapi "verseucht" ist, darf oder sollte er sein "Dreck" nicht im Netz verbreiten können.
-Wie kann ich das verhindern?
-Was kann ich mit gegebenen Mitteln erreichen?
-Was würde schlimmsten Falls passieren?

Diese Fragen kommen auf wenn man sich die Lage so im Kopf durchgehen lässt.



Danke @ alle dich mich Supporten !


New-D

 

[netzwerker]

802.1x mit MS NAP oder Cisco NAC bringt schon einiges an Sicherheit. Clients ohne entsprechendes Zertifikat lassen sich so in ein Guest-VLAN schieben. Dort kann der Client dann z.B. Updates und Virensiganturen laden.

Mirko

 

[Sug82]

schau mal wie netzwerker schrieb und freeradius, habe bei mir auch grad erweitert mit freeradius. Jedenfalls ne sehr interessante Sache.