Kan een MAC adres geblokt worden

En deze mensen gewoon vragen waarom ze zoveel data gebruiken is neem ik aan al geprobeerd, het kan mogelijk zijn dat ze voor hun functie veel data nodig hebben ?

(dit al geprobeert ? http://blogs.technet.com/...ress-based-filtering.aspx)

[ Voor 44% gewijzigd door sjaakwortel op 06-06-2012 02:39 ]

ptjuh schreef op woensdag 06 juni 2012 @ 02:34:
Hierbij gegeven dat ik geen toegang heb tot de firewall. of routers.

Dan houdt 't al heel snel op. DHCP, MAC adressen en al die ongein is allemaal irrelevant wanneer je niet bij de routers kunt. Een IP kun je, zoals je zelf zegt, 'vast' zetten, een MAC adres kun je spoofen. Zet je gateway op je router et voila; heel de W2k3 server zal niet eens van je bestaan weten. Met wat geluk heb je een erg intelligente switch die je evt. nog op MAC adres kunt laten "knijpen" maar, tbh, weet ik niet of zoiets bestaat; meestal is 't, volgens mij, alleen een "wel/geen toegang" en meer niet.

Maar je probleem ligt helemaal niet in techniek maar in de gebruikers die zich niet aan de regels houden. Spreek ze er op aan (of laat ze er op aan spreken) en zet er sancties tegenover wanneer ze die regels overtreden. Je bent nu begonnen aan een kat-en-muis spel waar je helemaal niet aan moet willen beginnen. Natuurlijk is 't leuk/goed als je 't (technisch) dichttimmert maar dit is in de basis een beleidskwestie en dan pas een technisch probleem.

En, wat sjaakwortel zegt: als die mensen die data allemaal moeten "verstoken" om hun werk goed uit te kunnen oefenen, dan moet je al helemaal in een andere richting gaan denken (evt. investeren in een snellere/betere verbinding en dat soort zaken).

[ Voor 37% gewijzigd door RobIII op 06-06-2012 02:43 ]

Ik ben het helemaal eens met RobIII, het probleem is in eerste instantie sociaal, daarna technisch.

Om toch even een gedachtespinsel op papier te zetten, je kunt een MAC adres niet blokkeren, maar je kunt de gebruiker achter het MAC adres wel frustreren. Dit kan heel simpel door (bijvoorbeeld) een virtual machine op te zetten waarbij je de netwerkkaart hetzelfde MAC adres geeft als de "overtreder". Het gevolg is dat voor de virtuele machine en de "overtreder" het netwerk behoorlijk onstabiel wordt. Met een aanzienlijke packet loss zal het hoogstwaarschijnlijk snel afgelopen zijn met het verbruiken van veel bandbreedte.

Uiteraard is bovenstaande absoluut niet netjes en is puur bedoeld als gedachtenexperiment om met de door jouw geschetste voorwaarden het gewenste (techische) resultaat te bereiken. Beter zou zijn om erachter te komen van wie het MAC adres is. Op sommige routers kun je het IP adres en (NetBios) naam zien van alle MAC adressen die verbonden zijn. Wellicht geeft dat nog aanknopingspunten?

DexterDee schreef op woensdag 06 juni 2012 @ 02:55:
je kunt een MAC adres niet blokkeren

Euh, echt wel. Je moet alleen wel even niet met huis-tuin-en-keukenapparatuur aan komen zetten want die heeft een dergelijke functie inderdaad niet.

Het enige probleem wat je hebt als je op MAC blokkeert, is dat het supersupermakkelijk is om je MAC aan te passen. Dus dan gok je erop dat je gebruikers niet savvy genoeg zijn om dat te doen.

De enige oplossing is een ieder in te laten loggen op het netwerk met een eigen gebruikersnaam en wachtwoord. En dan te zorgen dat dat maar 1x tegelijk kan en dat bij misbruik (cq grootverbruik) afsluiting volgt. Anders krijg je weer gedonder met mensen die hun wachtwoord uitdelen.

[ Voor 44% gewijzigd door CyBeR op 06-06-2012 03:33 ]

Hmm misschien een dom antwoord van mij, zou je ook andersom kunnen werken denk ik.

Je laat bepaalde MAC adressen toe tot het internet (wel naar intranet) via de router en persoon in functie: "gebruiker x" heeft internet nodig om zijn functie uit te oefenen.

Je zou, heb ik geen verstand van, ook kunnen kijken naar opties om je internet te gaan knijpen. grote bestanden dat gedownload moet worden, kunnen ze op verzoek indienen? (levering op maatwerk)

Bezig met screenshot als voorbeeld:

[ Voor 10% gewijzigd door XRayXI op 06-06-2012 05:18 ]

Volgens mij kun je gewoon een limiet zetten op het aantal mac adressen wat op een switchpoort mag zijn. En eventueel de mac adressen hard instellen op de switch. Gaan ze dan mac klonen dan zal de switch dat blokkeren want dat mac adres mag niet op die poort.

http://www.techrepublic.c...tch-port-security/6123047

Eventueel kun je ook nog aan de slag met mac adres filters op basis van radius (sta je in de database mag je ergens bij) Ik heb ooit eens mikrotik gebruikt voor een hotspot achtige oplossing (kan ook via ethernet) en op die manier kan je iedereen limieten geven (mikrotik kan mac en ip aan elkaar koppelen en als het niet matched blokkeren)

Eindelijk wachtwoord gereset om dit te plaatsen. Als voorbeeld, omdat het voor mij om WLan gaat in mijn router.

[ Voor 11% gewijzigd door XRayXI op 06-06-2012 05:29 ]

Ik zou, om te beginnen, ervoor gaan zorgen dat je gebruikers niet anoniem direct het internet op kunnen. Bijv. door het gebruik van een proxy of next-generation firewall, waarop je de toegang kunt reguleren en in de gaten kunt houden.

Conclusie;

Je tollereerde teveel. Open en vrijheid op het internet door gebruikers. Snelheid daalde en je irriteerde je. Het is misschien wel jammer voor de anderen dat niet de glazen ingegooid hebben, maar je moet nu wel controle hebben en houden.

CyBeR schreef op woensdag 06 juni 2012 @ 03:31:
[...]


Euh, echt wel. Je moet alleen wel even niet met huis-tuin-en-keukenapparatuur aan komen zetten want die heeft een dergelijke functie inderdaad niet.

Uiteraard kan het wel, maar ik hield rekening met het feit dat TS geen toegang heeft tot enige netwerkapparatuur. Ik kan op mijn simpele WRT54GL zelfs MAC adressen blokkeren

ptjuh schreef op woensdag 06 juni 2012 @ 04:19:
Op dit moment heb ik de tip gebruikt van Sjaakwortel.

die tip van sjaakwortel ivm mac filtering op je dhcp pool gaat niet echt werken als de medewerkers (zoals jij in de OP) al zet hadmatig ip's en gateways fixed instellen.