Kan een MAC adres geblokt worden

Pagina: 1
Acties:

  • ptjuh
  • Registratie: November 2005
  • Laatst online: 20-02 12:10

ptjuh

New day, same old shit

Topicstarter
Hoi,

Ik heb een klein netwerk waarbij ongeveer 50 users zitten. Nu is dit een iets andere opzet dan op een normaal kantoor. Dit is omdat wij een internet verbinding hebben via een satteliet.

Ik ben wat groot gebruikers tegen gekomen die bijna heel de broadband leeg trekken en om maat regelen te nemen wil ik graag deze gebruikers blokken op hun MAC adres.

Ik heb een DC staan op een windows 2003 machine. Alle ipadressen worden via DHCP uitgegeven.
Dus wanneer ik deze block op ipadres, zal degene gewoon een ander adres gaan proberen te zoeken.
Sommigen proberen een static ipadres op hun laptops.

Het netwerk is eigenlijk zo ingericht dat je kan overal je laptop inpluggen en dan heb je een internet verbinding. Dus ook prive laptops mogen dit gebruiken. Om toch tegen te gaan dat we groot gebruikers een kans geven wil ik kijken of het mogelijk is om deze op hun MAC adres te gaan blokkeren vanaf mijn Windows 2003 server.

Hierbij gegeven dat ik geen toegang heb tot de firewall. of routers.

Its all in the little things that people do..


  • sjaakwortel
  • Registratie: April 2009
  • Laatst online: 14:41
En deze mensen gewoon vragen waarom ze zoveel data gebruiken is neem ik aan al geprobeerd, het kan mogelijk zijn dat ze voor hun functie veel data nodig hebben ?

(dit al geprobeert ? http://blogs.technet.com/...ress-based-filtering.aspx)

[ Voor 44% gewijzigd door sjaakwortel op 06-06-2012 02:39 ]


  • RobIII
  • Registratie: December 2001
  • Niet online

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

(overleden)
ptjuh schreef op woensdag 06 juni 2012 @ 02:34:
Hierbij gegeven dat ik geen toegang heb tot de firewall. of routers.
Dan houdt 't al heel snel op. DHCP, MAC adressen en al die ongein is allemaal irrelevant wanneer je niet bij de routers kunt. Een IP kun je, zoals je zelf zegt, 'vast' zetten, een MAC adres kun je spoofen. Zet je gateway op je router et voila; heel de W2k3 server zal niet eens van je bestaan weten. Met wat geluk heb je een erg intelligente switch die je evt. nog op MAC adres kunt laten "knijpen" maar, tbh, weet ik niet of zoiets bestaat; meestal is 't, volgens mij, alleen een "wel/geen toegang" en meer niet.

Maar je probleem ligt helemaal niet in techniek maar in de gebruikers die zich niet aan de regels houden. Spreek ze er op aan (of laat ze er op aan spreken) en zet er sancties tegenover wanneer ze die regels overtreden. Je bent nu begonnen aan een kat-en-muis spel waar je helemaal niet aan moet willen beginnen. Natuurlijk is 't leuk/goed als je 't (technisch) dichttimmert maar dit is in de basis een beleidskwestie en dan pas een technisch probleem.

En, wat sjaakwortel zegt: als die mensen die data allemaal moeten "verstoken" om hun werk goed uit te kunnen oefenen, dan moet je al helemaal in een andere richting gaan denken (evt. investeren in een snellere/betere verbinding en dat soort zaken).

[ Voor 37% gewijzigd door RobIII op 06-06-2012 02:43 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij


  • ptjuh
  • Registratie: November 2005
  • Laatst online: 20-02 12:10

ptjuh

New day, same old shit

Topicstarter
@ Sjaakwortel, We hebben inderdaad al rondgevraagd waarom iemand zoveel data nodig zou hebben. Nu is het ook zo dat "niemand" natuurlijk weet van wie de laptop is. En als ik ga zoeken verdwijnt ie vaak. Denk daarom ook aan een Prive laptop. Het enige wat qua grote bestanden rond gaat over de werkvloer zijn documenten. En 8 tot 10 GB aan documenten in 4 dagen is wel overdreven denk ik.
ga je link even doorlezen

@ROBlll, ja er zijn sancties genoemt. Maar dan nog lijkt het soms niet op te houden. Misschien heeft iemand het wel niet door wat er allemaal gebeurt op zijn/haar laptop.
Dus dan toch maar voor de techniek gaan en proberen een Work Around te vinden.

Its all in the little things that people do..


  • DexterDee
  • Registratie: November 2004
  • Laatst online: 16-02 21:20

DexterDee

I doubt, therefore I might be

Ik ben het helemaal eens met RobIII, het probleem is in eerste instantie sociaal, daarna technisch.

Om toch even een gedachtespinsel op papier te zetten, je kunt een MAC adres niet blokkeren, maar je kunt de gebruiker achter het MAC adres wel frustreren. Dit kan heel simpel door (bijvoorbeeld) een virtual machine op te zetten waarbij je de netwerkkaart hetzelfde MAC adres geeft als de "overtreder". Het gevolg is dat voor de virtuele machine en de "overtreder" het netwerk behoorlijk onstabiel wordt. Met een aanzienlijke packet loss zal het hoogstwaarschijnlijk snel afgelopen zijn met het verbruiken van veel bandbreedte.

Uiteraard is bovenstaande absoluut niet netjes en is puur bedoeld als gedachtenexperiment om met de door jouw geschetste voorwaarden het gewenste (techische) resultaat te bereiken. Beter zou zijn om erachter te komen van wie het MAC adres is. Op sommige routers kun je het IP adres en (NetBios) naam zien van alle MAC adressen die verbonden zijn. Wellicht geeft dat nog aanknopingspunten?

Klik hier om mij een DM te sturen • 3245 WP op ZW


  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

DexterDee schreef op woensdag 06 juni 2012 @ 02:55:
je kunt een MAC adres niet blokkeren
Euh, echt wel. Je moet alleen wel even niet met huis-tuin-en-keukenapparatuur aan komen zetten want die heeft een dergelijke functie inderdaad niet.

Het enige probleem wat je hebt als je op MAC blokkeert, is dat het supersupermakkelijk is om je MAC aan te passen. Dus dan gok je erop dat je gebruikers niet savvy genoeg zijn om dat te doen.

De enige oplossing is een ieder in te laten loggen op het netwerk met een eigen gebruikersnaam en wachtwoord. En dan te zorgen dat dat maar 1x tegelijk kan en dat bij misbruik (cq grootverbruik) afsluiting volgt. Anders krijg je weer gedonder met mensen die hun wachtwoord uitdelen.

[ Voor 44% gewijzigd door CyBeR op 06-06-2012 03:33 ]

All my posts are provided as-is. They come with NO WARRANTY at all.


  • ptjuh
  • Registratie: November 2005
  • Laatst online: 20-02 12:10

ptjuh

New day, same old shit

Topicstarter
Op dit moment heb ik de tip gebruikt van Sjaakwortel.
En inderdaad ga ik er van uit dat de gebruikers niet zo slim zijn.

Om toch te proberen het iets meer onder controlle te krijgen.
Gaan ik een lijst maken van de gebruikers! En toch even alles netjes per IP/MAC gegevens neerzetten.

Dit eigenlijk meer ter waarschuwing!! en er bij vertellend dat er sancties aan verbonden zijn bij onrechtmatig groot verbruik!! Ik heb via onze satteliet mensen een lijst met verbruik gekregen en deze gaan we rond sturen.

Gebruik voor werk is zeker geen probleem. Wat internetten ook niet. Streaming kan op dit moment al niet!! maar downloads prive wordt al minder!! Dit is ook al vanaf het begin af aan mede gedeeld.

Maar je hebt natuurlijk ook gebruikers die soms dingen open hebben staan waar ze geen weet van hebben.
Dus daar gaan we ook op controlleren.

Thx voor jullie input!!

Its all in the little things that people do..


  • XRayXI
  • Registratie: Maart 2007
  • Laatst online: 30-09-2025
Hmm misschien een dom antwoord van mij, zou je ook andersom kunnen werken denk ik.

Je laat bepaalde MAC adressen toe tot het internet (wel naar intranet) via de router en persoon in functie: "gebruiker x" heeft internet nodig om zijn functie uit te oefenen.

Je zou, heb ik geen verstand van, ook kunnen kijken naar opties om je internet te gaan knijpen. grote bestanden dat gedownload moet worden, kunnen ze op verzoek indienen? (levering op maatwerk)

Bezig met screenshot als voorbeeld:

[ Voor 10% gewijzigd door XRayXI op 06-06-2012 05:18 ]

Wees beleefd en lief voor je PC, soms eet het niets en mag je uitzoeken, wat niet smaakt


  • raymonvdm
  • Registratie: December 2001
  • Laatst online: 30-06-2025
Volgens mij kun je gewoon een limiet zetten op het aantal mac adressen wat op een switchpoort mag zijn. En eventueel de mac adressen hard instellen op de switch. Gaan ze dan mac klonen dan zal de switch dat blokkeren want dat mac adres mag niet op die poort.

http://www.techrepublic.c...tch-port-security/6123047

Eventueel kun je ook nog aan de slag met mac adres filters op basis van radius (sta je in de database mag je ergens bij) Ik heb ooit eens mikrotik gebruikt voor een hotspot achtige oplossing (kan ook via ethernet) en op die manier kan je iedereen limieten geven (mikrotik kan mac en ip aan elkaar koppelen en als het niet matched blokkeren)

  • XRayXI
  • Registratie: Maart 2007
  • Laatst online: 30-09-2025
Eindelijk wachtwoord gereset om dit te plaatsen. Als voorbeeld, omdat het voor mij om WLan gaat in mijn router.

Afbeeldingslocatie: http://i1253.photobucket.com/albums/hh581/Midnight4you/th_MACaccess.jpg

[ Voor 11% gewijzigd door XRayXI op 06-06-2012 05:29 ]

Wees beleefd en lief voor je PC, soms eet het niets en mag je uitzoeken, wat niet smaakt


Verwijderd

Ik zou, om te beginnen, ervoor gaan zorgen dat je gebruikers niet anoniem direct het internet op kunnen. Bijv. door het gebruik van een proxy of next-generation firewall, waarop je de toegang kunt reguleren en in de gaten kunt houden.

  • XRayXI
  • Registratie: Maart 2007
  • Laatst online: 30-09-2025
Conclusie;

Je tollereerde teveel. Open en vrijheid op het internet door gebruikers. Snelheid daalde en je irriteerde je. Het is misschien wel jammer voor de anderen dat niet de glazen ingegooid hebben, maar je moet nu wel controle hebben en houden.
:D

Wees beleefd en lief voor je PC, soms eet het niets en mag je uitzoeken, wat niet smaakt


  • DexterDee
  • Registratie: November 2004
  • Laatst online: 16-02 21:20

DexterDee

I doubt, therefore I might be

CyBeR schreef op woensdag 06 juni 2012 @ 03:31:
[...]


Euh, echt wel. Je moet alleen wel even niet met huis-tuin-en-keukenapparatuur aan komen zetten want die heeft een dergelijke functie inderdaad niet.
Uiteraard kan het wel, maar ik hield rekening met het feit dat TS geen toegang heeft tot enige netwerkapparatuur. Ik kan op mijn simpele WRT54GL zelfs MAC adressen blokkeren :)

Klik hier om mij een DM te sturen • 3245 WP op ZW


  • Proxx
  • Registratie: Juni 2008
  • Laatst online: 29-05-2024
ptjuh schreef op woensdag 06 juni 2012 @ 04:19:
Op dit moment heb ik de tip gebruikt van Sjaakwortel.
die tip van sjaakwortel ivm mac filtering op je dhcp pool gaat niet echt werken als de medewerkers (zoals jij in de OP) al zet hadmatig ip's en gateways fixed instellen.

Proxx wijzigde deze reactie 31-07-2015 13:37 (1337%)


  • ptjuh
  • Registratie: November 2005
  • Laatst online: 20-02 12:10

ptjuh

New day, same old shit

Topicstarter
Ja, het ging ook allemaal op "good trust" het internet gebruik.

iedereen heeft een waarschuwing gehad en iedereen was ervan op de hoogte.
Het is inderdaad lastig als je niks kan doen op een router/switch.

Maar de MAC blokt werkt tot nu toe wel. Gebruiker is welgeteld 5 min met de laptop op het netwerk geweest. En er zijn geen MAC adres veranderingen geweest (geen nieuwe gezien).

Dus hoop maar op het beste!! Volgende keer moet er toch maar beter na gedacht worden over zo'n netwerk. Het lastige van mijn werk is dan ook heb em niet zelf gebouwd. Ben em alleen voor 3 maanden aan het beheren.

Its all in the little things that people do..

Pagina: 1