hallöchen, ich möchte in einem switched-Network das verwenden von unbekannten MAC-Adressen (mitgebrachte Laptops) verbieten. Hat von euch jemand eine Idee wo ich ansetzen kann? DHCP läuft mit IP-Vergabe anhand der MAC, aber es kann ja manuell eine IP "geklaut" werden :( tschau fisch
*** Andre Fischer (linux@edv-leisnig.de) schrieb in suse-linux heute:
hallöchen, ich möchte in einem switched-Network das verwenden von unbekannten MAC-Adressen (mitgebrachte Laptops) verbieten. Hat von euch jemand eine Idee wo ich ansetzen kann? DHCP läuft mit IP-Vergabe anhand der MAC, aber es kann ja manuell eine IP "geklaut" werden :(
Da es sich um eine Linux-Liste handelt, kannst Du nur meinen, _den Zugriff auf einen Linux-Server entsprechend zu regeln_ (in diesem Fall ist es vollkommen unerheblich, ob dasNetzwerk geswitcht ist oder auch Hubs vorhanden sind). Hier kannst Du ab 2.4.*-Kerneln ebenfalls iptables verwenden, dass auch nach MAC-Adressen filtern kann. MfG Henning Hucke -- "Kooperation und Ruecksichtnahme ist Schwaeche", sagte der Topmanager, "Macher" und Erfolgsmensch, als er die letzten frei lebenden Paradies- voegel im Zuge der Rodungsarbeiten fuer seine neue Billiglohnfabrik in der dritten Welt toeten lies. (c) H.Hucke
Am Sonntag, 29. Dezember 2002 22:08 schrieb Henning Hucke:
*** Andre Fischer (linux@edv-leisnig.de) schrieb in suse-linux heute:
hallöchen, ich möchte in einem switched-Network das verwenden von unbekannten MAC-Adressen (mitgebrachte Laptops) verbieten. Hat von euch jemand eine Idee wo ich ansetzen kann? DHCP läuft mit IP-Vergabe anhand der MAC, aber es kann ja manuell eine IP "geklaut" werden :(
Da es sich um eine Linux-Liste handelt, kannst Du nur meinen, _den Zugriff auf einen Linux-Server entsprechend zu regeln_ (in diesem Fall
_nein_, kann und muss ich nicht! ich kann auch meinen, in einem heterogenen Netzwerk die Sicherheit zu erhöhen und dazu Linux einsetzen zu wollen -> und das meine ich ich möchte verhindern, daß ein mitgebrachter (fremder Rechner) Zugriff auf das Intranet bekommt, oder wenigstens der Admin eine Meldung bekommt.
ist es vollkommen unerheblich, ob dasNetzwerk geswitcht ist oder auch Hubs vorhanden sind). Hier kannst Du ab 2.4.*-Kerneln ebenfalls iptables verwenden, dass auch nach MAC-Adressen filtern kann.
beim Zugriff auf Linux-Server stellt das ja auch kein Problem dar - da nutze ich arpwatch + ein paar Scripte
MfG Henning Hucke
tschau fisch
*** Andre Fischer (linux@edv-leisnig.de) schrieb in suse-linux am Dec 29, 2002: ((Bitte beschränke Deine Zeilenlänge auf ungefähr 72 Zeichen!))
[...]
Da es sich um eine Linux-Liste handelt, kannst Du nur meinen, _den Zugriff auf einen Linux-Server entsprechend zu regeln_ (in diesem Fall
_nein_, kann und muss ich nicht!
Aha... Wie willst Du - Linux-basiert - etwas filtern, wenn die Linux- Kiste den Traffic, der _nicht_ für sie bestimmt ist, erst garnicht sieht!? Entweder Du _routest_ durch die Linux-Kiste oder dein Switch kennt access lists mit MAC-Adressen.
ich kann auch meinen, in einem heterogenen Netzwerk die Sicherheit zu erhöhen und dazu Linux einsetzen zu wollen -> und das meine ich
Wie würdest Du das anstellen wollen!?
ich möchte verhindern, daß ein mitgebrachter (fremder Rechner) Zugriff auf das Intranet bekommt, oder wenigstens der Admin eine Meldung bekommt.
Verhindern kannst Du das schlecht. Eine Meldung bekommst Du nur, wenn Deine Linux-Kiste eine Ihr nicht bekannte MAC-Adresse sieht. Und das ist bei einem geswitchten Netzwerk in aller Regel nur bei Broadcasts und beim direkten Ansprechen des entsprechenden Rechners der Fall. Entsprechend stehen die Chancen bei einem Windumm-Rechner besser, wenn er denn unberechtigt in Deinem Netz arbeitet. Und selbst wenn Du eine "fremde" MAC-Adresse siehst, wie willst Du _verhindern_, dass der Rechner in Deinem Netz funktioniert? Bezüglich des _sehens_: Der einzige zweckentfremdende Workaround ist, die Linux-Kiste an einen Monitor-Port zu hängen. Aber das will man nur zeitweise für das Debugging und nicht für solche krummen Stolperschritte tun!
ist es vollkommen unerheblich, ob dasNetzwerk geswitcht ist oder auch Hubs vorhanden sind). Hier kannst Du ab 2.4.*-Kerneln ebenfalls iptables verwenden, dass auch nach MAC-Adressen filtern kann.
beim Zugriff auf Linux-Server stellt das ja auch kein Problem dar - da nutze ich arpwatch + ein paar Scripte
Hmmm? Das leist sich ein bischen so, als würdest Du etwas auf komplizierte Weise tun, obwohl es einfach funktioniert... Deine Scripte fügen einem iptables-Paketfilter dynamisch Regeln hinzu?
[...]
MfG Henning Hucke -- Keine Ahnung, was "KISS" oder "RTFM" heisst? Installiere das SuSE-Packet "bsdgames" und verwende den Befehl "wtf" (see "man wtf"). special suse-linux fortune
moin, Andre Fischer wrote : ( Am Sonntag, 29. Dezember 2002 23:23 schrieb Andre Fischer: )
Am Sonntag, 29. Dezember 2002 22:08 schrieb Henning Hucke:
*** Andre Fischer (linux@edv-leisnig.de) schrieb in suse-linux heute:
hallöchen, ich möchte in einem switched-Network das verwenden von unbekannten MAC-Adressen (mitgebrachte Laptops) verbieten. Hat von euch jemand eine Idee wo ich ansetzen kann? DHCP läuft mit IP-Vergabe anhand der MAC, aber es kann ja manuell eine IP "geklaut" werden :(
Da es sich um eine Linux-Liste handelt, kannst Du nur meinen, _den Zugriff auf einen Linux-Server entsprechend zu regeln_ (in diesem Fall
_nein_, kann und muss ich nicht!
ich kann auch meinen, in einem heterogenen Netzwerk die Sicherheit zu erhöhen und dazu Linux einsetzen zu wollen -> und das meine ich
ich möchte verhindern, daß ein mitgebrachter (fremder Rechner) Zugriff auf das Intranet bekommt, oder wenigstens der Admin eine Meldung bekommt.
ist es vollkommen unerheblich, ob dasNetzwerk geswitcht ist oder auch Hubs vorhanden sind). Hier kannst Du ab 2.4.*-Kerneln ebenfalls iptables verwenden, dass auch nach MAC-Adressen filtern kann.
beim Zugriff auf Linux-Server stellt das ja auch kein Problem dar - da nutze ich arpwatch + ein paar Scripte
Soviel ich Dich vestanden habe, soll der DHCP - Server, welches ein LINUX - Rechner ist, unbekannten Clients keine IP - Adresse vergeben ? Das bedingt, dass Du entweder die mac- Adresse ALLER im Netz befindlichen zu erlaubenden (also als erlaubt bekannten ) Rechner kennst und/oder die Mac - Adresse aller der Rechner, die keine IP- Adresse bekommen sollen. (!) Sieh Dir mal DHCP.conf an, dort kann man "known-clients" and "unknown-clients" definieren; außerdem gibt es da die "deny" and "allow" -Funktionalität.. Am besten einen Pool der erlaubten Rechner definieren, begrenzten IP - Bereich definieren und alle Anderen verbieten (deny). Das müßte eigentlich funktionieren; ( entsprechend squid.conf oder apache.conf - Syntax. ) Damit wird allerdings nur verhindert, dass einem Rechner mit unbekannter mac -addresse eine IP Adresse von dem DHCP -Server zugeodrnet wird. mfG Helmut
MfG Henning Hucke
tschau fisch
*** Helmut Hoernle (hhoernle@t-online.de) schrieb in suse-linux heute:
moin,
Andre Fischer wrote : ( Am Sonntag, 29. Dezember 2002 23:23 schrieb Andre Fischer: )
Am Sonntag, 29. Dezember 2002 22:08 schrieb Henning Hucke: [...]
Bitte beim nächstenmal genauer lesen! Wie Andre schrieb, reicht es ihm ja - zu recht - gerade nicht, unbe- rechtigten Maschinen keine IP per DHCP zuzuteilen, weil sie sich ja selber eine IP, die offensichtlich nicht verwendet wird, "klauen" können. Was Andre möchte, ist, dass Rechner, die sich unberechtig in seinem *geswitchten* Netzwerk befinden, erst garnicht arbeiten können... MG Henning Hucke -- "Ich weiß nicht mit welchen Waffen sich die Menschen im 3. Weltkrieg bekaempfen, aber im 4. werden es Keulen sein." (Albert Einstein)
Am Montag, 30. Dezember 2002 13:40 schrieben Sie:
*** Helmut Hoernle (hhoernle@t-online.de) schrieb in suse-linux heute:
moin,
Andre Fischer wrote : ( Am Sonntag, 29. Dezember 2002 23:23 schrieb Andre Fischer: )
Am Sonntag, 29. Dezember 2002 22:08 schrieb Henning Hucke:
[...]
Bitte beim nächstenmal genauer lesen!
Lesen ist nicht so meine Stärke ;-) Probleme verstehen, analysieren und lösen eigentlich mehr....
Wie Andre schrieb, reicht es ihm ja - zu recht - gerade nicht, unbe- rechtigten Maschinen keine IP per DHCP zuzuteilen, weil sie sich ja selber eine IP, die offensichtlich nicht verwendet wird, "klauen" können. Was Andre möchte, ist, dass Rechner, die sich unberechtig in seinem *geswitchten* Netzwerk befinden, erst garnicht arbeiten können...
Laut micro$oft ist die höchste Sicherheitsstufe einen Server vom Netz zu trennen ! Andere Möglichkeit : für die Clients firmeneigene Netzwerkstecker mit Schloß verwenden und alle Server einschließen, mit Wächter und Alarmanlage. Im Ernst : das Problem liegt meiner Meinung nach woanders : ( - kein Absolutheitsanspruch für diese meine Meinung ! - ) - Warum kann den MITarbeitern nicht vertraut werden? Zudem sollten Daten, die besonderer Sicherheit bedürfen, sowieso entsprechend der erforderlichen Sicherheitsstufe geschützt werden. Warum also sollen MITarbeiter ihre Laptops nicht mit in die Firma bringen? Wenn das nun absolut nicht sein soll, gibt es noch die etwas triviale Möglichkeit der verbalen Kommunikation auch zu eben diesen Mitarbeitern. - Den Aufwand da treiben, wo er notwendig ist, also spezifisch, nicht generisch. - Keine Spezialösungen wählen, die das Geheimnis eines Admins sind. bye Helmut
MG Henning Hucke
moin Nachtrag : das Configurationsfile für den DHCP - Server heißt natürlich dhcpd.conf ; (also daemon für DHCP ) dafür gibts ein ausführliche manual page. also : #man dhcpd.conf Helmut Andre Fischer wrote : ( Am Sonntag, 29. Dezember 2002 23:23 schrieb Andre Fischer: )
Am Sonntag, 29. Dezember 2002 22:08 schrieb Henning Hucke:
*** Andre Fischer (linux@edv-leisnig.de) schrieb in suse-linux heute:
hallöchen, ich möchte in einem switched-Network das verwenden von unbekannten MAC-Adressen (mitgebrachte Laptops) verbieten. Hat von euch jemand eine Idee wo ich ansetzen kann? DHCP läuft mit IP-Vergabe anhand der MAC, aber es kann ja manuell eine IP "geklaut" werden :(
Da es sich um eine Linux-Liste handelt, kannst Du nur meinen, _den Zugriff auf einen Linux-Server entsprechend zu regeln_ (in diesem Fall
_nein_, kann und muss ich nicht!
ich kann auch meinen, in einem heterogenen Netzwerk die Sicherheit zu erhöhen und dazu Linux einsetzen zu wollen -> und das meine ich
ich möchte verhindern, daß ein mitgebrachter (fremder Rechner) Zugriff auf das Intranet bekommt, oder wenigstens der Admin eine Meldung bekommt.
ist es vollkommen unerheblich, ob dasNetzwerk geswitcht ist oder auch Hubs vorhanden sind). Hier kannst Du ab 2.4.*-Kerneln ebenfalls iptables verwenden, dass auch nach MAC-Adressen filtern kann.
beim Zugriff auf Linux-Server stellt das ja auch kein Problem dar - da nutze ich arpwatch + ein paar Scripte
Soviel ich Dich vestanden habe, soll der DHCP - Server, welches ein LINUX - Rechner ist, unbekannten Clients keine IP - Adresse vergeben ? Das bedingt, dass Du entweder die mac- Adresse ALLER im Netz befindlichen zu erlaubenden (also als erlaubt bekannten ) Rechner kennst und/oder die Mac - Adresse aller der Rechner, die keine IP- Adresse bekommen sollen. (!) Sieh Dir mal DHCP.conf an, dort kann man "known-clients" and "unknown-clients" definieren; außerdem gibt es da die "deny" and "allow" -Funktionalität.. Am besten einen Pool der erlaubten Rechner definieren, begrenzten IP - Bereich definieren und alle Anderen verbieten (deny). Das müßte eigentlich funktionieren; ( entsprechend squid.conf oder apache.conf - Syntax. ) Damit wird allerdings nur verhindert, dass einem Rechner mit unbekannter mac -addresse eine IP Adresse von dem DHCP -Server zugeodrnet wird. mfG Helmut
MfG Henning Hucke
tschau fisch
Am Sonntag, 29. Dezember 2002 20:43 schrieb Andre Fischer:
hallöchen, ich möchte in einem switched-Network das verwenden von unbekannten MAC-Adressen (mitgebrachte Laptops) verbieten. Hat von euch jemand eine Idee wo ich ansetzen kann? DHCP läuft mit IP-Vergabe anhand der MAC, aber es kann ja manuell eine IP "geklaut" werden :(
IPTables filtert auch MAC-IDs. -- Gruß MaxX
On Sunday 29 December 2002 20:43, Andre Fischer wrote:
hallöchen, ich möchte in einem switched-Network das verwenden von unbekannten MAC-Adressen (mitgebrachte Laptops) verbieten. Hat von euch jemand eine Idee wo ich ansetzen kann? DHCP läuft mit IP-Vergabe anhand der MAC, aber es kann ja manuell eine IP "geklaut" werden :(
Wurde schon desöfteren auf der ISC-Mailingliste diskutiert: DHCP ist kein Instrument, um (Zugangs-) Sicherheit im Netz zu gewährleisten. Das geht nur auf Switch-Ebene, d.h. die Switche gewähren oder verweigern Zugang zum Netz. Schau dir mal http://www.netreg.org an. Das bietet sowas ähnliches: Nur bekannte MACs bekommen Adressen vom DHCP (wurde ja schon erwähnt). Das Interessante: Im Netz wird nach unbekannten MACs Ausschau gehalten, wenn eine gefunden wird, wird der entsprechende LAN-Port gesperrt. HTH, Ingo -- Diese Nachricht wurde mit einer Taschenlampe in das offen liegende Ende eines Glasfaserkabels gemorst.
On Monday 30 December 2002 13:21, Ingo Janzer wrote:
Schau dir mal http://www.netreg.org an. Das bietet sowas ähnliches: Nur bekannte MACs bekommen Adressen vom DHCP (wurde ja schon erwähnt). Das Interessante: Im Netz wird nach unbekannten MACs Ausschau gehalten, wenn eine gefunden wird, wird der entsprechende LAN-Port gesperrt.
Ergänzung: http://www.net.cmu.edu/netreg -- Diese Nachricht wurde mit einer Taschenlampe in das offen liegende Ende eines Glasfaserkabels gemorst.
Hi Liste, hallo Ingo,
ich möchte in einem switched-Network das verwenden von unbekannten MAC-Adressen (mitgebrachte Laptops) verbieten. Hat von euch jemand eine Idee wo ich ansetzen kann? Social-Engineering! Geh zur Geschäftsleitung und lasse das schriftlich fixieren, daß keiner ein Notebook mitbringt und ohne Admin-Erlaubnis ins Netz geht. Das sollte der erste Schritt sein - sonst wirst Du von allen Seiten zerrissen und das kommt nicht wirklich gut!
<snip>
Schau dir mal http://www.netreg.org an. Das bietet sowas ähnliches: Nur bekannte MACs bekommen Adressen vom DHCP (wurde ja schon erwähnt). Das Interessante: Im Netz wird nach unbekannten MACs Ausschau gehalten, wenn eine gefunden wird, wird der entsprechende LAN-Port gesperrt. So etwas hätte ich dann auch noch vorzuschlagen... Es gibt da so etwas, das nennt sich arpwatch. Habe damit selber noch nicht gearbeitet - sollte aber ein Versuch wert sein.
-- GreetingZ, Christian __________________________________________ visit http://www.linuxarea.de - .LINUX. related
participants (6)
-
Andre Fischer -
Christian -
Henning Hucke -
hhoernle@t-online.de -
Ingo Janzer -
Matthias Houdek