Hi Marc, hi Liste, Marc Mc Guinness wrote:
Es handelt sich um eine Netzwerkparty wo die Leute (eine ehemalige Schule) am Freitagabend eintreffen und am Sonntagmorgen wieder fahren.
Gerade hier bietet sich doch DHCP und DNS an, da man die ganze konfiguration schon im Vorfeld machen kann. zB DHCP: host ws001 { hardware ethernet aa:bb:cc:dd:ee:ff; fixed-address ws001.schulparty.local } host ws002 { hardware ethernet aa:bb:cc:dd:ee:ff; fixed-address ws001.schulparty.local } . . . host ws244 { hardware ethernet aa:bb:cc:dd:ee:ff; fixed-address ws244.schulparty.local } Ich bin hier mal davon ausgegengen das du 10 IP-Adressen für organisatorisches (Server etc.) zurückbehälts. DNS: ; ; schulparty.local domain database ; @ IN SOA server1.schulparty.local. root.server1.schulparty.local. ( 2001042101 ; Serial 21600 ; Refresh 1800 ; Retry 604800 ; Expire 86400 ) ; Minimum ; ; Define the nameserver IN NS server1.schulparty.local. ; ; Define the mail servers IN MX 10 server1.schulparty.local. ;wenn ein mailserver aufgesetzt werden soll ; ; Define the hosts in this zone ; server1 IN A 192.168.1.1 ... server10 IN A 192.168.1.10 ws001 IN A 192.168.1.11 IN MX 10 server1 ws002 IN A 192.168.1.12 IN MX 10 server1 ... ws244 IN A 192.168.1.244 IN MX 10 server1 MX-Einträge entfallen wenn kein mailserver aufgesetzet wird. Reserver-Datei nicht vergessen nicht vergessen. Schildchen drucken, die auf den Monitoren befestigt werden, mit z. B. Name, Abschlußjahr, Klasse und ganz wichtig mit dem Hostnamen (ws001 ... ws244). Am Aktionstag, Schildchen ausfüllen und die MAC-Adresse in die DHCP-Datei eintragen, der Rest wird dann automatisch über DHCP konfiguriert.
Was wir wollen ist natürlich, daß erst wenn jemand bezahlt hat, dann wird seine IP-Adresse freigeschaltet. Aber ich fürchte das das ohne vernünftige Switches nicht komfortabel funktioniert.
s. o.
Was mir jetzt noch einfallen würde wäre, alle Switches in einem iptables-Rechner enden lassen und dort filtern. Das Problem ist dann nur der Traffic. Selbst mit Porttrunking bremst der iptables-Rechner dann das Netz aus.
ACK
- Dass jemand den eigentlichen Rechner abzieht und dann mit dieser IP ins Netz geht ist so ohne weiteres nicht zu verhindern! (Einsatz von Switches / Routern, die die MAC Adresse auswerten ... falls es sowas gibt ... Es gibt auf jeden Fall einiges, denn ich weiss von meiner derzeitigen Arbeitsstelle, dass die gewisse Überwachungen fahren (Wenn z.B. an einem Port mehrere Geräte hängen, wird der Port abgeschaltet!) Evtl. reicht aber auch schon das "Versiegeln" der Anschlüsse ... Ein Aufgebrochenes Siegel heisst Ärger ... - Ich würde maximal noch ein Paket-Sniffer einsetzen ... Kontrolliere die MAC Adressen. Kommt eine unbekannte, dann wird eine Warnung ausgegeben ... - Bei der Warnung aber bedenken: Solange es auf einem Switch bleibt, merkst Du nicht unbedingt etwas davon, weil das Paket nur von Rechner A nach Rechner B geht ... und wenn Du mit Rechner C kontrollierst, dann ist das doof ... Aber das eigentliche Angriffsziel wäre da ja wohl der Server ... und wenn Du denn so überwachst ...
Was auch evtl. geht: DHCP Server und jedem Rechner wird über die MAC Adresse eine feste IP zugewiesen ... dann kriegst Du evtl. raus, welcher Rechner abgezogen wurde (über die benutzte IP)
Das alles ist aber in meinen Augen keine verlässliche Lösung ... Auf der Ebene wird es Dir schwer fallen, das Netz abzusichern ...
Nur mal so meine unausgereiften Ideen ...
Warum verhindern, auf arpwatch ist ja schon hingewiesen worden, es reicht doch die Info das einer etwas unerlaubt verändert hat, durch die Schildche auf den Monitoren Sieht man doch wer legal ist, für alle anderen gilt einfach nicht die Unschulds-, sondern die Schuldsvermutung, und wenn man sie dann darauf anspricht zahlen sie ja vieleicht doch und alles ist OK, ansonsten hat man seine Pappenheimer sehr schnell gefunden. In meinen Augen ist arpwatch das Werkzeug deiner Wahl. HTH cu Gerald