Problem Switch

[peter10_14]

Hallo Leute... folgendes Problem

Wir sind ein kleines Unternehmen und mit anderen Firmen in einem Büro eingemietet. Das bedeutet leider aber auch, dass wir uns einen Schrank teilen, in dem alle Kabel aus den Büros zusammenlaufen. Wir haben daher alle unsere Switch ein einem gemeinsamen Schrank.

Nun hat durch diese konstelation leider aber auch jeder die Möglichkeit, sich bei meinem Switch anzuhängen.

Gibt es nicht eine Möglichkeit, nicht genutzte offene Ports am Switch zu verschließen???

lg und danke an alle die helfen können!!!

 

[nate`]

Hallo Leute... folgendes Problem

Wir sind ein kleines Unternehmen und mit anderen Firmen in einem Büro eingemiete

Nicht eher "Problem Beitrag" ?

 

[konfetti]

um was für ein switch handelt es sich denn?
gibt es häufiger wechselnde Hardware oder habt ihr alle stationäre PC's
dann könnte man zusätzlich ja noch die Mac-authentification einschalten, so das nur eine bestimmte Mac pro port akzeptiert wird. - geht natürlich nicht bei jedem billig switch

 

[peter10_14]

switch is schon über 5 jahre alt, dh ich muss nachsehen!

2. frage... es gibt nur stationäre pcs... mac-authentification könnte also klappen!

 

[nate`]

Bei managebaren Switches gibt es sogar die Möglichkeit, einzelne Ports abzuschalten. Ich würde jedoch auch die MAC-Authentification wählen, falls ihr selber mal umstecken wollt/müsst. Das dies jedoch nicht wirklich sicher ist, sollte klar sein. Wie wird denn das Internet verteilt? Hat jeder seinen eigenen Router oder wird da wieder was zusammen genutzt?

 

[konfetti]

nen 5 Jahre alter switch... - d.h. wenn der mal ausfällt ?
hat der noch Garantie? - ansonsten könnte man ja einen neuen kaufen, mit Garantie, Support und vorallem auch den benötigten Features.

Übrigens würde ich trotzdem sämtliche unbenutzten Ports abschalten, und die Mac-authentifizierung sollte pro port sein, nur eine und dann kann auch nach umstecken nix mehr gemacht werden, ausser natürlich mann kennt die mac - sonst ist da erstmal tot, bis der admin den port wieder freigibt.

 

[fdsonne]

Ich kenne damals von Arbeit eine Lösung namens Macmon...
Das ist ein Stück Software, mit dehnen man komfortabel solche Sachen machen kann.

Ob sich das allerdings in recht kleinen Unternehmen lohnt, müsstest du selbst raus bekommen, anhand des Preises für die Software.


Achso, ich verschieb den Thread mal ins Netzwerkforum...
Hier sollte es ausschließlich um Server- und Workstation Hardware bzw. Homeserver gehen...
Keine Software bzw. Netzwerkfragen

 

[little_skunk]

Oha jetzt haben wir das am Hals

Die guten Switche konnten das was du brauchst auch schon vor 5 Jahren. Wenn er gut funktioniert, würde ich ihn nicht austauschen. Never change a running system.

Dir bleiben diverse Möglichkeiten, die hier ja zum Teil schon erwähnt wurden. Ports abschalten ist wohl die einfachste. Jeder andere im Raum kann aber einfach an den Schrank gehen und sein Kabel mit dem Kabel eines belegten Ports austauschen und so trotzdem weitermachen.

Zusätzlich kannst du noch die PC anhand der MAC Adresse identifizieren aber auch die Mac Adresse lässt sich fälschen. Für einen "Angreifer" ist es aber erstmal schwierig an die Mac Adresse zu kommen. Unmöglich ist es aber nicht. Eventuell sind bei euch die PC auch mit Aufklebern versehen oder die Mac Adresse steht sogar auf der Netzwerkkarte. Dann könnte man sich das gleich sparen.

Es gibt auch die Möglichkeit über Zertifikate oder Passwörter zu arbeiten. Im Folgenden gehe ich mal nur auf die Zertifikate ein. Beim Passwort läufts auf das gleiche hinaus. Auf jedem PC muss ein Zertifikat installiert werden. Ein Angreifer wäre dann gezwungen sich an dem PC anzumelden um das Zertifikat zu kopieren. Den PC sollte man nafür natürlich entsprechend absichern. Ohne Zertifikat gibt es auch kein Zugang. Der Switch muss das aber unterstützen sonst wird daraus nichts. Wie aber schon gesagt kann das dein 5 Jahre alter Switch eventuell auch schon.

Im Prinzip kommt es darauf an wie wichtig die Daten sind. Je Sicherer es sein soll um so mehr Aufwand muss man auch betreiben.

 

[underclocker2k4]

Eruiere doch erstmal, was für ein Switch du hast.

Ich vermute aber mal, auf Grund der Größe der Firma, dass hier managing ein Fremdwort ist.

 

[traxxus]

Wenn's der alte Switch nicht kann, nimm einen HP ProCurve 28xx. Die sind voll kontrollierbar per Webinterface und Console (RS232). Zudem lebenslange Garantie. Haben halt 24 oder gar 48 Ports....

 

[cpushreder]

managebare switches können das. wenn du keinen hast der managebar ist nimm sehr ungewöhnliche ip-ranges (klasse a oder b) und/oder n komisches subnetz (255.255.7.0).

 

[jni]

Wenn's wirklich sicher sein soll, würde nur ein eigener Schrank oder volle Verschlüsselung aller Datenpakete helfen.

Wenn's nur gegen "zufälliges" Einstecken von fremden Netzwerkanschlüssen helfen soll, ist die MAC-Authentication ausreichend. Das kann jeder managebare Switch - auch die für 200 Euro.

@cpushreder: komische ip-Ranges oder Subnetze helfen nichts, wenn man ein DHCP-Server laufen hat. Und mit nem Netzwerksniffer bekommt man die IP-Range auch ohne DHCP in ein paar Sekunden raus.

 

[networker]

und/oder n komisches subnetz (255.255.7.0).

Damit könnte man einem Angreifer (und sich selber) schon Probleme machen. Non continuous sub masks werden von vielen Geräten nicht mehr unterstützt...

Ansonsten würde ich auch zu .1x tendieren. Auf jeden Fall sollten keine offenen Shares im Netz sein.

Mirko