Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Onbekende clients van netwerk weren

Pagina: 1
Acties:
  • 109 views sinds 30-01-2008
  • Reageer

vrijdag 16 december 2005 12:06

Acties:

Verwijderd

Topicstarter
Het geval is vrij simpel.
We hebben hier een Windows netwerk dat met DHCP werkt, en nu wil ik onbekende clients geen toegang geven.
Dus als een medewerker bijvoorbeeld zijn laptop mee neemt en deze inplugt, dan moet hij/zij GEEN toegang krijgen tot het netwerk.
Iemand die weet of dit een standaard instelling is in Windows, of dat hier 3rd party software voor bestaat die dit goed kan afhandelen?

Geen DHCP server gebruiken werkt natuurlijk al IETS.. Maar elke gebruiker met basale kennis van netwerken i.c.m. Windows weet wel hoe hij zijn/haar IP kan opvragen, en dan het IP van de laptop in dezelfde range te zetten. Dat is dus geen optie.

Misschien is het te doen om een MAC filter in te bouwen ergens? MAC adressen zijn ook wel te clonen, maar dit gaat de meeste gebruikers boven de pet.
Voor mij als beheerder zal dat wel veel werk kosten, maar dit is in eerste instantie niet een zwaar wegend probleem.
(Bij WiFi is MAC adres filtering vrij eenvoudig in te schakelen, nu nog voor bedrade netwerken..)

Creative ideeën zijn ook welkom, zolang dit niet betekend dat het complete netwerk verbouwd moet worden. ;)

vrijdag 16 december 2005 12:09

Acties:
  • Nvidiot
  • Registratie: Mei 2003
  • Laatst online: 03-06 16:38

Nvidiot

notepad!

Managed switches gebruiken waar je voor elke poort een MAC adres kan instellen. Dit kan je dan eventueel nog uitbreiden door ergens een IDS (Snort ofzo) aan te hangen die je een warning laat geven als er toch pakketjes met een onbekend mac adres voorbij komen.

What a caterpillar calls the end, the rest of the world calls a butterfly. (Lao-Tze)

vrijdag 16 december 2005 12:10

Acties:

Verwijderd

Als het DHCP is van Windows zelf kun je zien welke pc's er een ip hebben gekregen, en deze altijd aan hun toekennen d.m.v. computernaam en mac. correct me if i'm wrong natuurlijk.

vrijdag 16 december 2005 12:18

Acties:

Verwijderd

Topicstarter
Het idee van "statische ip's" lijkt me wel wat.
Is het dan een idee om de scope van de DHCP server zo in te stellen dat deze compleet buiten de range van het bedrijf ligt? Dus stel DAT iemand inplugt, dat die gene dan een IP krijg waarmee niets is te beginnen?
En dan de statische ip's wel goed in te stellen. (Optie Reservations in DHCP bedoel je denk ik?)

Maar als ik ook virri e.d. tegen wil houden, dan zal ik het bij de kabel zelf moeten aanpakken. En dan komen de routers/switches om de hoek kijken.
Die zouden dan ALLE toegang moeten verbieden, tenzijn het MAC adres bijvoorbeeld goed is ingesteld.

Alle 2 erg interessante opmerkingen! Bedankt alvast hiervoor!
Nog iemand meer goede ideeën?

vrijdag 16 december 2005 12:21

Acties:
  • rvnieuwh
  • Registratie: Juli 2004
  • Laatst online: 08-10-2022

rvnieuwh

Het is wat omslachtig maar wat je eventueel zou kunnen doen is een DHCP-pool maken ter grote van het totaal aantal clients en dan d.m.v. Client Reservations (maakt gebruik van de MAC-adressen)de client een vast IP-adres toekennen. Toegegeven, hiermee help je het hele DHCP-concept mee om zeep maar het is een oplossing. Mist er niet te veel clients zijn is dit te doen.

vrijdag 16 december 2005 12:21

Acties:
  • PcDealer
  • Registratie: Maart 2000
  • Laatst online: 00:53

PcDealer

HP ftw \o/

Verwijderd schreef op vrijdag 16 december 2005 @ 12:18:
Het idee van "statische ip's" lijkt me wel wat.
Is het dan een idee om de scope van de DHCP server zo in te stellen dat deze compleet buiten de range van het bedrijf ligt? Dus stel DAT iemand inplugt, dat die gene dan een IP krijg waarmee niets is te beginnen?
[...]
Ja, je kiest dan een van de drie privé ranges die dus afwijkt van de andere al in gebruik zijnde (privé) ranges.
rvnieuwh schreef op vrijdag 16 december 2005 @ 12:21:
[...]Toegegeven, hiermee help je het hele DHCP-concept mee om zeep [...]
Hoezo? DHCP deelt IP's uit, dat is de taak. Of het nou vaste of steeds andere IP's zijn maakt niet uit.

[ Voor 25% gewijzigd door PcDealer op 16-12-2005 12:22 ]

LinkedIn WoT Cash Converter

vrijdag 16 december 2005 12:26

Acties:

Verwijderd

Topicstarter
Nvidiot,

Weet jij of of de HP ProCurve Switch 2650 MAC adressen aan een poort kan koppelen?
Met de web-interface kan je niet echt veel. Ik kan wel poorten uit en aan zetten, maar zodra een gebruiker zijn eigen netwerk stekker uit de pc haalt en in zijn/haar laptop prikt is de beveiliging om zeep.
Misschien kan je via Telnet nog meer instellen op die Switch, maar daar ben ik niet echt in thuis.

vrijdag 16 december 2005 12:28

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 21-11 19:09

TrailBlazer

Karnemelk FTW

switch met 802.1x kopen. Hiermee kan je authenticatie doen op laag2 Volgens mij ondersteunt windows Xp dit standaard.
http://www.microsoft.com/...21x_client_configure.mspx
alle andere dingen met dhcp pools en dergelijke is schijnveiligheid imho. Het hard configureren van een mac adres is in ieder geval een redelijk goedkope oplossing om te implementeren. Beheer wordt wel een stuk lastiger. Ook is een mac adres te veranderen natuurlijk

[ Voor 64% gewijzigd door TrailBlazer op 16-12-2005 12:31 ]

vrijdag 16 december 2005 12:29

Acties:
  • rvnieuwh
  • Registratie: Juli 2004
  • Laatst online: 08-10-2022

rvnieuwh

PcDealer schreef op vrijdag 16 december 2005 @ 12:21:
[...]

Ja, je kiest dan een van de drie privé ranges die dus afwijkt van de andere al in gebruik zijnde (privé) ranges.
[...]

Hoezo? DHCP deelt IP's uit, dat is de taak. Of het nou vaste of steeds andere IP's zijn maakt niet uit.
DHCP is bedacht om de Administrator taken, het toekennen van IP-adressen aan clients, uit handen te nemen. Nu ga je weer zelf (veel) handmatig werk uitvoeren. Denk ook aan het kapot gaan van een NIC bijvoorbeeld. Moet je toch weer handmatig de DHCP database gaan aanpassen/bijhouden.

vrijdag 16 december 2005 13:01

Acties:
  • Erwinkemink
  • Registratie: Maart 2005
  • Laatst online: 28-11 22:09

Erwinkemink

Enige oplossing is volgens mij de oplossing die door Nvidiot wordt aangedragen.

DHCP Scope beperken door maar een x aantal ips uit tegeven valt redelijk makkelijk te omzeilen je medewerker kijkt welke ip range je gebruikt en vult op zijn laptopje de waardes in en klaar.

http://specs.tweak.to/12729

vrijdag 16 december 2005 13:03

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 21-11 19:09

TrailBlazer

Karnemelk FTW

Erwinkemink schreef op vrijdag 16 december 2005 @ 13:01:
Enige oplossing is volgens mij de oplossing die door Nvidiot wordt aangedragen.

DHCP Scope beperken door maar een x aantal ips uit tegeven valt redelijk makkelijk te omzeilen je medewerker kijkt welke ip range je gebruikt en vult op zijn laptopje de waardes in en klaar.
zie mij opmerking over het veranderen van een mac adres. Overigens kan een cisco ook gewoon de poort meteen dichtgooien als er een onbekend mac binnenkomt

vrijdag 16 december 2005 14:23

Acties:

Verwijderd

Topicstarter
Probleempje:

Ik ben een beetje aan het testen gegaan met het Reservation idee in de DHCP server.
Een aantal Reservations aan gemaakt, en dit lijkt best leuk te gaan werken.
Als ik dan ook nog in de scope aangeeef dat de pc's die WEL via de normale weg een DHCP adres aanvragen aangeef dat deze een 172.16.0.x adres krijgen met subnetmasker 255.255.255.252 dan kunnen die ALLEEN maar lokaal netwerk verkeer aan. (GEEN netwerk verkeer dus)

Maar...
We hebben hier 2 DHCP servers staan, die alle 2 een deel van het DHCP verkeer afvangen. Zelfde scope, met een exclusion range zodat ze niet 2 keer hetzelfde IP kunnen uitdelen.
Maar als een client nu een adres opvraagt, dan heeft die server er maling aan dat zijn "partner" een Reservation hiervoor heeft, en krijgt hij alsnog een "normaal" DHCP adres.

Is er een manier om de DHCP server met elkaar rekening te laten houden? Dus als DHCP server A ziet dat server B een Reservation heeft staan, dan hij geen DHCP adres uitdeelt?

vrijdag 16 december 2005 14:39

Acties:
  • PcDealer
  • Registratie: Maart 2000
  • Laatst online: 00:53

PcDealer

HP ftw \o/

Verwijderd schreef op vrijdag 16 december 2005 @ 14:23:
Probleempje:

Ik ben een beetje aan het testen gegaan met het Reservation idee in de DHCP server.
Een aantal Reservations aan gemaakt, en dit lijkt best leuk te gaan werken.
Als ik dan ook nog in de scope aangeeef dat de pc's die WEL via de normale weg een DHCP adres aanvragen aangeef dat deze een 172.16.0.x adres krijgen met subnetmasker 255.255.255.252 dan kunnen die ALLEEN maar lokaal netwerk verkeer aan. (GEEN netwerk verkeer dus)

Maar...
We hebben hier 2 DHCP servers staan, die alle 2 een deel van het DHCP verkeer afvangen. Zelfde scope, met een exclusion range zodat ze niet 2 keer hetzelfde IP kunnen uitdelen.
Maar als een client nu een adres opvraagt, dan heeft die server er maling aan dat zijn "partner" een Reservation hiervoor heeft, en krijgt hij alsnog een "normaal" DHCP adres.

Is er een manier om de DHCP server met elkaar rekening te laten houden? Dus als DHCP server A ziet dat server B een Reservation heeft staan, dan hij geen DHCP adres uitdeelt?
Waarom twee maal dhcp servers?

LinkedIn WoT Cash Converter

vrijdag 16 december 2005 14:47

Acties:
  • The Lord
  • Registratie: November 1999
  • Laatst online: 11:38

The Lord

Ik zou zelf veel liever voor een combinatie van de 802.1x en IPSec gaan. Dit levert veel minder handwerk op dan veel van de eerder genoemde oplossingen.

geeft geen inhoudelijke reacties meer

vrijdag 16 december 2005 14:47

Acties:

Verwijderd

PcDealer schreef op vrijdag 16 december 2005 @ 14:39:
[...]

Waarom twee maal dhcp servers?
Jah wie deelt er nu wat uit dan ook al overlappen de ranges elkaar niet, allebei de servers worden door de client gequeried, lijkt me niet zo jofel? Of is de een een master en de ander een slave servert?

vrijdag 16 december 2005 15:04

Acties:

Verwijderd

Topicstarter
Jah, de een is een DC en de ander een Member Server.
In geval van uitval kan het netwerk nog redelijk funtioneren op deze manier.
Ik ben er ook niet dol op. Misschien gooi ik gewoon een van die servers op in-active.
ALS er dan iets gebeurt, dan kan ik vrij eenvoudig die DHCP server weer up brengen.

Als ik die 802.1 toe ga passen.. Houden virri zich dan daar ook aan?
Kunnen die dan ook geen mogelijke exploits benutten op de servers?
En HOE test ik zoiets? (Ik ga geen server nuken) O-)

zondag 18 december 2005 05:14

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Verwijderd schreef op vrijdag 16 december 2005 @ 12:26:
Nvidiot,

Weet jij of of de HP ProCurve Switch 2650 MAC adressen aan een poort kan koppelen?
Met de web-interface kan je niet echt veel. Ik kan wel poorten uit en aan zetten, maar zodra een gebruiker zijn eigen netwerk stekker uit de pc haalt en in zijn/haar laptop prikt is de beveiliging om zeep.
Misschien kan je via Telnet nog meer instellen op die Switch, maar daar ben ik niet echt in thuis.
Ja. Port security heet dat. Staat in de webinterface onder de Security tab.

All my posts are provided as-is. They come with NO WARRANTY at all.

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq