Hallo! Wie sieht es denn bei euch genau aus? Was mir so an Schutz einfällt: - Nur benötigte Dosen werden gepatched ... - Dass jemand den eigentlichen Rechner abzieht und dann mit dieser IP ins Netz geht ist so ohne weiteres nicht zu verhindern! (Einsatz von Switches / Routern, die die MAC Adresse auswerten ... falls es sowas gibt ... Es gibt auf jeden Fall einiges, denn ich weiss von meiner derzeitigen Arbeitsstelle, dass die gewisse Überwachungen fahren (Wenn z.B. an einem Port mehrere Geräte hängen, wird der Port abgeschaltet!) Evtl. reicht aber auch schon das "Versiegeln" der Anschlüsse ... Ein Aufgebrochenes Siegel heisst Ärger ... - Ich würde maximal noch ein Paket-Sniffer einsetzen ... Kontrolliere die MAC Adressen. Kommt eine unbekannte, dann wird eine Warnung ausgegeben ... - Bei der Warnung aber bedenken: Solange es auf einem Switch bleibt, merkst Du nicht unbedingt etwas davon, weil das Paket nur von Rechner A nach Rechner B geht ... und wenn Du mit Rechner C kontrollierst, dann ist das doof ... Aber das eigentliche Angriffsziel wäre da ja wohl der Server ... und wenn Du denn so überwachst ... Was auch evtl. geht: DHCP Server und jedem Rechner wird über die MAC Adresse eine feste IP zugewiesen ... dann kriegst Du evtl. raus, welcher Rechner abgezogen wurde (über die benutzte IP) Das alles ist aber in meinen Augen keine verlässliche Lösung ... Auf der Ebene wird es Dir schwer fallen, das Netz abzusichern ... Nur mal so meine unausgereiften Ideen ... Konrad Neitzel ----- SoftMediaTec GmbH Rudolfstr. 19 60327 Frankfurt / Main Tel: 069 / 27 22 09 25
Hallo! Am Freitag, 14. Dezember 2001 08:44 schrieben Sie:
Hallo!
Wie sieht es denn bei euch genau aus? Was mir so an Schutz einfällt: - Nur benötigte Dosen werden gepatched ...
Es handelt sich um eine Netzwerkparty wo die Leute (eine ehemalige Schule) am Freitagabend eintreffen und am Sonntagmorgen wieder fahren. Was wir wollen ist natürlich, daß erst wenn jemand bezahlt hat, dann wird seine IP-Adresse freigeschaltet. Aber ich fürchte das das ohne vernünftige Switches nicht komfortabel funktioniert. Was mir jetzt noch einfallen würde wäre, alle Switches in einem iptables-Rechner enden lassen und dort filtern. Das Problem ist dann nur der Traffic. Selbst mit Porttrunking bremst der iptables-Rechner dann das Netz aus.
- Dass jemand den eigentlichen Rechner abzieht und dann mit dieser IP ins Netz geht ist so ohne weiteres nicht zu verhindern! (Einsatz von Switches / Routern, die die MAC Adresse auswerten ... falls es sowas gibt ... Es gibt auf jeden Fall einiges, denn ich weiss von meiner derzeitigen Arbeitsstelle, dass die gewisse Überwachungen fahren (Wenn z.B. an einem Port mehrere Geräte hängen, wird der Port abgeschaltet!) Evtl. reicht aber auch schon das "Versiegeln" der Anschlüsse ... Ein Aufgebrochenes Siegel heisst Ärger ... - Ich würde maximal noch ein Paket-Sniffer einsetzen ... Kontrolliere die MAC Adressen. Kommt eine unbekannte, dann wird eine Warnung ausgegeben ... - Bei der Warnung aber bedenken: Solange es auf einem Switch bleibt, merkst Du nicht unbedingt etwas davon, weil das Paket nur von Rechner A nach Rechner B geht ... und wenn Du mit Rechner C kontrollierst, dann ist das doof ... Aber das eigentliche Angriffsziel wäre da ja wohl der Server ... und wenn Du denn so überwachst ...
Was auch evtl. geht: DHCP Server und jedem Rechner wird über die MAC Adresse eine feste IP zugewiesen ... dann kriegst Du evtl. raus, welcher Rechner abgezogen wurde (über die benutzte IP)
Das alles ist aber in meinen Augen keine verlässliche Lösung ... Auf der Ebene wird es Dir schwer fallen, das Netz abzusichern ...
Nur mal so meine unausgereiften Ideen ...
MfG, Marc Mc Guinness
Hi Marc, hi Liste, Marc Mc Guinness wrote:
Es handelt sich um eine Netzwerkparty wo die Leute (eine ehemalige Schule) am Freitagabend eintreffen und am Sonntagmorgen wieder fahren.
Gerade hier bietet sich doch DHCP und DNS an, da man die ganze konfiguration schon im Vorfeld machen kann. zB DHCP: host ws001 { hardware ethernet aa:bb:cc:dd:ee:ff; fixed-address ws001.schulparty.local } host ws002 { hardware ethernet aa:bb:cc:dd:ee:ff; fixed-address ws001.schulparty.local } . . . host ws244 { hardware ethernet aa:bb:cc:dd:ee:ff; fixed-address ws244.schulparty.local } Ich bin hier mal davon ausgegengen das du 10 IP-Adressen für organisatorisches (Server etc.) zurückbehälts. DNS: ; ; schulparty.local domain database ; @ IN SOA server1.schulparty.local. root.server1.schulparty.local. ( 2001042101 ; Serial 21600 ; Refresh 1800 ; Retry 604800 ; Expire 86400 ) ; Minimum ; ; Define the nameserver IN NS server1.schulparty.local. ; ; Define the mail servers IN MX 10 server1.schulparty.local. ;wenn ein mailserver aufgesetzt werden soll ; ; Define the hosts in this zone ; server1 IN A 192.168.1.1 ... server10 IN A 192.168.1.10 ws001 IN A 192.168.1.11 IN MX 10 server1 ws002 IN A 192.168.1.12 IN MX 10 server1 ... ws244 IN A 192.168.1.244 IN MX 10 server1 MX-Einträge entfallen wenn kein mailserver aufgesetzet wird. Reserver-Datei nicht vergessen nicht vergessen. Schildchen drucken, die auf den Monitoren befestigt werden, mit z. B. Name, Abschlußjahr, Klasse und ganz wichtig mit dem Hostnamen (ws001 ... ws244). Am Aktionstag, Schildchen ausfüllen und die MAC-Adresse in die DHCP-Datei eintragen, der Rest wird dann automatisch über DHCP konfiguriert.
Was wir wollen ist natürlich, daß erst wenn jemand bezahlt hat, dann wird seine IP-Adresse freigeschaltet. Aber ich fürchte das das ohne vernünftige Switches nicht komfortabel funktioniert.
s. o.
Was mir jetzt noch einfallen würde wäre, alle Switches in einem iptables-Rechner enden lassen und dort filtern. Das Problem ist dann nur der Traffic. Selbst mit Porttrunking bremst der iptables-Rechner dann das Netz aus.
ACK
- Dass jemand den eigentlichen Rechner abzieht und dann mit dieser IP ins Netz geht ist so ohne weiteres nicht zu verhindern! (Einsatz von Switches / Routern, die die MAC Adresse auswerten ... falls es sowas gibt ... Es gibt auf jeden Fall einiges, denn ich weiss von meiner derzeitigen Arbeitsstelle, dass die gewisse Überwachungen fahren (Wenn z.B. an einem Port mehrere Geräte hängen, wird der Port abgeschaltet!) Evtl. reicht aber auch schon das "Versiegeln" der Anschlüsse ... Ein Aufgebrochenes Siegel heisst Ärger ... - Ich würde maximal noch ein Paket-Sniffer einsetzen ... Kontrolliere die MAC Adressen. Kommt eine unbekannte, dann wird eine Warnung ausgegeben ... - Bei der Warnung aber bedenken: Solange es auf einem Switch bleibt, merkst Du nicht unbedingt etwas davon, weil das Paket nur von Rechner A nach Rechner B geht ... und wenn Du mit Rechner C kontrollierst, dann ist das doof ... Aber das eigentliche Angriffsziel wäre da ja wohl der Server ... und wenn Du denn so überwachst ...
Was auch evtl. geht: DHCP Server und jedem Rechner wird über die MAC Adresse eine feste IP zugewiesen ... dann kriegst Du evtl. raus, welcher Rechner abgezogen wurde (über die benutzte IP)
Das alles ist aber in meinen Augen keine verlässliche Lösung ... Auf der Ebene wird es Dir schwer fallen, das Netz abzusichern ...
Nur mal so meine unausgereiften Ideen ...
Warum verhindern, auf arpwatch ist ja schon hingewiesen worden, es reicht doch die Info das einer etwas unerlaubt verändert hat, durch die Schildche auf den Monitoren Sieht man doch wer legal ist, für alle anderen gilt einfach nicht die Unschulds-, sondern die Schuldsvermutung, und wenn man sie dann darauf anspricht zahlen sie ja vieleicht doch und alles ist OK, ansonsten hat man seine Pappenheimer sehr schnell gefunden. In meinen Augen ist arpwatch das Werkzeug deiner Wahl. HTH cu Gerald
Hallo, * Am 14.12.2001 zauberte Marc Mc Guinness:
Hallo!
Am Freitag, 14. Dezember 2001 08:44 schrieben Sie:
Hallo!
Wie sieht es denn bei euch genau aus? Was mir so an Schutz einfällt: - Nur benötigte Dosen werden gepatched ...
Es handelt sich um eine Netzwerkparty wo die Leute (eine ehemalige Schule) am Freitagabend eintreffen und am Sonntagmorgen wieder fahren.
Was wir wollen ist natürlich, daß erst wenn jemand bezahlt hat, dann wird seine IP-Adresse freigeschaltet. Aber ich fürchte das das ohne vernünftige Switches nicht komfortabel funktioniert.
Jedes Kabel, für das bezahlt ist, bekommt eine Kennung (Isolierband oder Etikett mit Stempel) Wer sein Etikett verliert zahlt extra. Kontrolleur einsetzen, der die Verkabelung regelmäßig prüft.
Was mir jetzt noch einfallen würde wäre, alle Switches in einem iptables-Rechner enden lassen und dort filtern. Das Problem ist dann nur der Traffic. Selbst mit Porttrunking bremst der iptables-Rechner dann das Netz aus.
Kenn mich mit den LAN-Feten nicht so aus, aber wenn man einfach IP-Adressen per DHCP statisch verteilt. MAC-Adresse beim bezahlen angeben und gut ist. Dann sollte sich doch keiner einmogeln können, ohne daß man den ausfindig machen kann. Oder man startet auf dessen Rechner Agriffe :). Ihr habt doch lauter Switches *grins* -- Gruß Alex --
Deine Meinung ist in der Tat sehr humble. Was ist ein Humble? [Steffen H. Hillner in daf]
Am Freitag 14 Dezember 2001 14:37 schrieb Alex Klein:
Hallo,
* Am 14.12.2001 zauberte Marc Mc Guinness:
Hallo!
Am Freitag, 14. Dezember 2001 08:44 schrieben Sie:
Hallo!
Wie sieht es denn bei euch genau aus? Was mir so an Schutz einfällt: - Nur benötigte Dosen werden gepatched ...
Es handelt sich um eine Netzwerkparty wo die Leute (eine ehemalige Schule) am Freitagabend eintreffen und am Sonntagmorgen wieder fahren.
Was wir wollen ist natürlich, daß erst wenn jemand bezahlt hat, dann wird seine IP-Adresse freigeschaltet. Aber ich fürchte das das ohne vernünftige Switches nicht komfortabel funktioniert.
Jedes Kabel, für das bezahlt ist, bekommt eine Kennung (Isolierband oder Etikett mit Stempel) Wer sein Etikett verliert zahlt extra. Kontrolleur einsetzen, der die Verkabelung regelmäßig prüft.
Was mir jetzt noch einfallen würde wäre, alle Switches in einem iptables-Rechner enden lassen und dort filtern. Das Problem ist dann nur der Traffic. Selbst mit Porttrunking bremst der iptables-Rechner dann das Netz aus.
Kenn mich mit den LAN-Feten nicht so aus, aber wenn man einfach IP-Adressen per DHCP statisch verteilt. MAC-Adresse beim bezahlen angeben und gut ist. Dann sollte sich doch keiner einmogeln können, ohne daß man den ausfindig machen
Das ist doch auch kein Schutz. Wenn auch alle erlaubten, unerlaubten oder sonstwas im DHCP, DNS oder auch sonstwo eingetragen sind. WER hindert mich denn daran mir irgendeine IP-Adresse statisch zu vergeben? Alles was mir einen gewissen Schutz bieten kann, wird ein Switch sein, der eine feste Zuordnung MAC-Adresse <---> Switch-Port kann. Vorgehen wie folgt: 1. am Anfang alle Port's aus 2. wer gezahlt hat Stecker rein 3. MAC im Switch eintragen 4. Port an Wenn sich einer mit 'ner Falschen MAC einschmuggelt kann der Switch: a) den betreffenden Port abschalten, b) dem Admin eine Mail schicken c) beides Nix für ungut aber alles andere dürfte "Nonsens" sein!
kann. Oder man startet auf dessen Rechner Agriffe :). Ihr habt doch lauter Switches *grins*
ps.: auch MAC-Adressen kann man verändern ;-) Mirko -- +--[ Mirko Richter (RHCE) ]------------------------+ | Networks & Communicationsystems | | Ernst-Thaelmann-Str. 5, D-06774 Soellichau | | E-MAIL: m.richter@ngi-box.de | | Tel. +49/(0)34243/3369-50 \\\\ | | Fax. +49/(0)34243/3369-28 (O O) | +-----------------------------------oOOo-(_)-oOOo--+
Hi Mirko, hi Liste, Mirko Richter wrote:
Das ist doch auch kein Schutz. Wenn auch alle erlaubten, unerlaubten oder sonstwas im DHCP, DNS oder auch sonstwo eingetragen sind. WER hindert mich denn daran mir irgendeine IP-Adresse statisch zu vergeben?
Niemand, aber soll denn wirklich einer ausgeschlossen werden? AFAIR, geht es nur darum das alle bezahlen. Also geht es nicht um aussperren, sondern nur ums erkennen ob einer der nicht bezahlt hat ins Netz geht.
Alles was mir einen gewissen Schutz bieten kann, wird ein Switch sein, der eine feste Zuordnung MAC-Adresse <---> Switch-Port kann.
Vorgehen wie folgt: 1. am Anfang alle Port's aus 2. wer gezahlt hat Stecker rein 3. MAC im Switch eintragen 4. Port an
Geht mit DHCP. Eine Stelle wo registriert wird, was wenn zwei die Plätze tauschen wollen, bei deiner Lösung nur unnötige Arbeit.
Wenn sich einer mit 'ner Falschen MAC einschmuggelt kann der Switch: a) den betreffenden Port abschalten, b) dem Admin eine Mail schicken c) beides
Was meinst du was arpwatch macht, (man arpwatch), und warum abschalten, hingehen kassieren und gut ist.
Nix für ungut aber alles andere dürfte "Nonsens" sein!
Im prinzip ACK aber das du dafür managbare Switche braucht ist absoluter Nonsens.
kann. Oder man startet auf dessen Rechner Agriffe :). Ihr habt doch lauter Switches *grins*
ps.: auch MAC-Adressen kann man verändern ;-)
Erkennt Arpwatch aber auch. cu Gerald
Hallo, * Am 14.12.2001 zauberte Mirko Richter:
Am Freitag 14 Dezember 2001 14:37 schrieb Alex Klein:
Kenn mich mit den LAN-Feten nicht so aus, aber wenn man einfach IP-Adressen per DHCP statisch verteilt. MAC-Adresse beim bezahlen angeben und gut ist. Dann sollte sich doch keiner einmogeln können, ohne daß man den ausfindig machen ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Das ist doch auch kein Schutz.
Festzustellen, daß einer unrechtmäßig im Netz ist, ist schonmal ein Anfang.
Wenn auch alle erlaubten, unerlaubten oder sonstwas im DHCP, DNS oder auch sonstwo eingetragen sind. WER hindert mich denn daran mir irgendeine IP-Adresse statisch zu vergeben?
Ein Wächter, oder eine anständige Organisation.
Alles was mir einen gewissen Schutz bieten kann, wird ein Switch sein, der eine feste Zuordnung MAC-Adresse <---> Switch-Port kann.
Für eine LAN sich einen derartigen Switch zulegen ist doch sicherlich ein wenig overkilled.
Vorgehen wie folgt: 1. am Anfang alle Port's aus 2. wer gezahlt hat Stecker rein 3. MAC im Switch eintragen 4. Port an
Vor allem sprach er von ~200 IP-Adressen, das wird doch wirklich teuer. Und ist im Bezug auf diese LAN Deine Sicherheitsvorstellung nicht ein _paar_ Nummern zu groß?
Wenn sich einer mit 'ner Falschen MAC einschmuggelt kann der Switch: a) den betreffenden Port abschalten, b) dem Admin eine Mail schicken c) beides
Nix für ungut aber alles andere dürfte "Nonsens" sein!
Nein, am besten nimmt er sich eine Webcam, eine vernünftige Vereinzelungsanlage und eine tolle Software, die biometrische Daten erkennt und daraufhin den Nutzer in den abgeschlossenen Raum reinläßt. Dazu noch schöne Sichrheitsausweise. *SCNR*
kann. Oder man startet auf dessen Rechner Agriffe :). Ihr habt doch lauter Switches *grins*
ps.: auch MAC-Adressen kann man verändern ;-)
Weiß ich. Außerdem kann man sicherlich auch Dein System bescheißen. Was solls. Für drei Tage würde ich mit keine xx Switches kaufen, weil das yyyy € kosten würde. -- Gruß Alex -- Die Revolution hatt bereits stattgefunden. Die Wiederstandsgrupee nennt sich "Obdachtlose" oder im Volksmund auch "Penner" genannt. [WoKo in dag°]
Hallo! Am Freitag 14 Dezember 2001 22:56 schrieb Alex Klein:
Hallo,
* Am 14.12.2001 zauberte Mirko Richter:
Am Freitag 14 Dezember 2001 14:37 schrieb Alex Klein:
Kenn mich mit den LAN-Feten nicht so aus, aber wenn man einfach IP-Adressen per DHCP statisch verteilt. MAC-Adresse beim bezahlen angeben und gut ist. Dann sollte sich doch keiner einmogeln können, ohne daß man den ausfindig machen
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Das ist doch auch kein Schutz.
Festzustellen, daß einer unrechtmäßig im Netz ist, ist schonmal ein Anfang.
Wenn auch alle erlaubten, unerlaubten oder sonstwas im DHCP, DNS oder auch sonstwo eingetragen sind. WER hindert mich denn daran mir irgendeine IP-Adresse statisch zu vergeben?
Ein Wächter, oder eine anständige Organisation.
genau! Wer zahlt bekommt einen Aufkleber oder irgendsowas und der wird dann an den Rechner gepappt (kennen wir doch von irgendwoher, ach ja M$). Dann geht einer(oder 2 ....) herum und kontrolliert das. Wer keinen hat fliegt raus, ende aus.
Alles was mir einen gewissen Schutz bieten kann, wird ein Switch sein, der eine feste Zuordnung MAC-Adresse <---> Switch-Port kann.
Für eine LAN sich einen derartigen Switch zulegen ist doch sicherlich ein wenig overkilled.
Sollte nur den Aufwand verdeutlichen.
Vorgehen wie folgt: 1. am Anfang alle Port's aus 2. wer gezahlt hat Stecker rein 3. MAC im Switch eintragen 4. Port an
Vor allem sprach er von ~200 IP-Adressen, das wird doch wirklich teuer. Und ist im Bezug auf diese LAN Deine Sicherheitsvorstellung nicht ein _paar_ Nummern zu groß?
Wenn sich einer mit 'ner Falschen MAC einschmuggelt kann der Switch: a) den betreffenden Port abschalten, b) dem Admin eine Mail schicken c) beides
Nix für ungut aber alles andere dürfte "Nonsens" sein!
War mehr ironisch gemeint *grins*
Nein, am besten nimmt er sich eine Webcam, eine vernünftige Vereinzelungsanlage und eine tolle Software, die biometrische Daten erkennt und daraufhin den Nutzer in den abgeschlossenen Raum reinläßt. Dazu noch schöne Sichrheitsausweise. *SCNR*
Wäre doch auch was nettes!! Otto läßt grüßen :-)
kann. Oder man startet auf dessen Rechner Agriffe :). Ihr habt doch lauter Switches *grins*
ps.: auch MAC-Adressen kann man verändern ;-)
Weiß ich. Außerdem kann man sicherlich auch Dein System bescheißen. Was solls. Für drei Tage würde ich mit keine xx
genau damit! ps. auch Arpwatch bescheißt man damit. Arpwatch kann auch nicht feststellen, ob die MAC vom richtigen oder vom falschen rechner kommt!
Switches kaufen, weil das yyyy € kosten würde.
Mein reden! Wollte damit eigentlich nur die Augen öffnen, daß er sich lieber etwas _außerhalb_ seines Netzes einfallen lassen soll! Mirko -- +--[ Mirko Richter (RHCE) ]------------------------+ | Networks & Communicationsystems | | Ernst-Thaelmann-Str. 5, D-06774 Soellichau | | E-MAIL: m.richter@ngi-box.de | | Tel. +49/(0)34243/3369-50 \\\\ | | Fax. +49/(0)34243/3369-28 (O O) | +-----------------------------------oOOo-(_)-oOOo--+
Mirko Richter wrote:
ps. auch Arpwatch bescheiÃYt man damit. Arpwatch kann auch nicht feststellen, ob die MAC vom richtigen oder vom falschen rechner kommt!
ACK, aber nur wenn, wenn die richtige MAC-IP-Adresse-Kombination vorliegt, sonst gibts eine Meldung. Und wenn sie vorliegt habe ich zwei Rechner mit gleicher IP-Adresse im Netz, was auch nicht gut funktioniert. IMHO gibt es keinen 100% Schutz, vor allem nicht gegen Sabotage. cu Gerald
Am Samstag 15 Dezember 2001 15:01 schrieb Gerald Goebel:
Mirko Richter wrote:
ps. auch Arpwatch bescheiÃYt man damit. Arpwatch kann auch nicht feststellen, ob die MAC vom richtigen oder vom falschen rechner kommt!
ACK, aber nur wenn, wenn die richtige MAC-IP-Adresse-Kombination vorliegt, sonst gibts eine Meldung. Und wenn sie vorliegt habe ich zwei Rechner mit gleicher IP-Adresse im Netz, was auch nicht gut funktioniert.
ACK. Nur hast du schon mal nach so 'ner Meldung in nem Netz mit 200 Rchnern den Übeltäter gesucht (ohne Mgmt. in dem Switches)?
IMHO gibt es keinen 100% Schutz, vor allem nicht gegen Sabotage.
ACK. Wäre auch blöd, dann hätten wir nichts mehr zu tun ;-)
cu Gerald
Mirko -- +--[ Mirko Richter (RHCE) ]------------------------+ | Networks & Communicationsystems | | Ernst-Thaelmann-Str. 5, D-06774 Soellichau | | E-MAIL: m.richter@ngi-box.de | | Tel. +49/(0)34243/3369-50 \\\\ | | Fax. +49/(0)34243/3369-28 (O O) | +-----------------------------------oOOo-(_)-oOOo--+
Hi Mirco, hi Liste, Mirko Richter wrote:
Am Samstag 15 Dezember 2001 15:01 schrieb Gerald Goebel:
ACK, aber nur wenn, wenn die richtige MAC-IP-Adresse-Kombination vorliegt, sonst gibts eine Meldung. Und wenn sie vorliegt habe ich zwei Rechner mit gleicher IP-Adresse im Netz, was auch nicht gut funktioniert.
ACK. Nur hast du schon mal nach so 'ner Meldung in nem Netz mit 200 Rchnern den Übeltäter gesucht (ohne Mgmt. in dem Switches)?
Bis jetzt war das noch nicht nötig, weiter oben im Thread steht wie ich/wir das machen wenn eine LAN-Party ansteht. Wer zum wiedeholtenmal kommt, hat die MAC gleich parat. Bei mgmt Switches muß man auch dann in Action treten, wenn nur die Plätze incl PCs getauscht werden, und die Chancen, das diese passiert, ist im hier angegebenen Fall (Lanparty einer Schule mit ehemaligen) bestimmt gegeben.
IMHO gibt es keinen 100% Schutz, vor allem nicht gegen Sabotage.
ACK. Wäre auch blöd, dann hätten wir nichts mehr zu tun ;-)
FAC. cu Gerald
hi,
Hallo,
* Am 14.12.2001 zauberte Marc Mc Guinness:
Hallo!
Am Freitag, 14. Dezember 2001 08:44 schrieben Sie:
Hallo!
Wie sieht es denn bei euch genau aus? Was mir so an Schutz einfällt: - Nur benötigte Dosen werden gepatched ...
Es handelt sich um eine Netzwerkparty wo die Leute (eine ehemalige Schule) am Freitagabend eintreffen und am Sonntagmorgen wieder fahren.
hört sich an, wie f3 - back to school ;o)
Was wir wollen ist natürlich, daß erst wenn jemand bezahlt hat, dann wird seine IP-Adresse freigeschaltet. Aber ich fürchte das das ohne vernünftige Switches nicht komfortabel funktioniert.
doh! :)
Jedes Kabel, für das bezahlt ist, bekommt eine Kennung (Isolierband oder Etikett mit Stempel) Wer sein Etikett verliert zahlt extra. Kontrolleur einsetzen, der die Verkabelung regelmäßig prüft.
naja lol :) viel spaß =)
Was mir jetzt noch einfallen würde wäre, alle Switches in einem iptables-Rechner enden lassen und dort filtern. Das Problem ist dann nur der Traffic. Selbst mit Porttrunking bremst der iptables-Rechner dann das Netz aus.
Kenn mich mit den LAN-Feten nicht so aus, aber wenn man einfach IP-Adressen per DHCP statisch verteilt. MAC-Adresse beim bezahlen
... man braucht eben nur nen guten Einlass. Wir hatten auf der letzten LAN (800 Mann) so Bänder, die jeder tragen musste. Und wir hatten =0= Probs :)
angeben und gut ist. Dann sollte sich doch keiner einmogeln können, ohne daß man den ausfindig machen kann. Oder man startet auf dessen gut, pro 24 Rechner 1 Switch, dann geht das einwandfrei, wenn alle Ports belegt sind, kann sich auch keiner reinmogeln
Rechner Agriffe :). Ihr habt doch lauter Switches *grins* eben :), ohne switches nix los ;)
Mfg André Frimberger
participants (6)
-
Alex Klein -
Andre Frimberger -
Gerald Goebel -
Konrad Neitzel -
Marc Mc Guinness -
Mirko Richter