Hallo! Am Freitag, 14. Dezember 2001 08:44 schrieben Sie:
Hallo!
Wie sieht es denn bei euch genau aus? Was mir so an Schutz einfällt: - Nur benötigte Dosen werden gepatched ...
Es handelt sich um eine Netzwerkparty wo die Leute (eine ehemalige Schule) am Freitagabend eintreffen und am Sonntagmorgen wieder fahren. Was wir wollen ist natürlich, daß erst wenn jemand bezahlt hat, dann wird seine IP-Adresse freigeschaltet. Aber ich fürchte das das ohne vernünftige Switches nicht komfortabel funktioniert. Was mir jetzt noch einfallen würde wäre, alle Switches in einem iptables-Rechner enden lassen und dort filtern. Das Problem ist dann nur der Traffic. Selbst mit Porttrunking bremst der iptables-Rechner dann das Netz aus.
- Dass jemand den eigentlichen Rechner abzieht und dann mit dieser IP ins Netz geht ist so ohne weiteres nicht zu verhindern! (Einsatz von Switches / Routern, die die MAC Adresse auswerten ... falls es sowas gibt ... Es gibt auf jeden Fall einiges, denn ich weiss von meiner derzeitigen Arbeitsstelle, dass die gewisse Überwachungen fahren (Wenn z.B. an einem Port mehrere Geräte hängen, wird der Port abgeschaltet!) Evtl. reicht aber auch schon das "Versiegeln" der Anschlüsse ... Ein Aufgebrochenes Siegel heisst Ärger ... - Ich würde maximal noch ein Paket-Sniffer einsetzen ... Kontrolliere die MAC Adressen. Kommt eine unbekannte, dann wird eine Warnung ausgegeben ... - Bei der Warnung aber bedenken: Solange es auf einem Switch bleibt, merkst Du nicht unbedingt etwas davon, weil das Paket nur von Rechner A nach Rechner B geht ... und wenn Du mit Rechner C kontrollierst, dann ist das doof ... Aber das eigentliche Angriffsziel wäre da ja wohl der Server ... und wenn Du denn so überwachst ...
Was auch evtl. geht: DHCP Server und jedem Rechner wird über die MAC Adresse eine feste IP zugewiesen ... dann kriegst Du evtl. raus, welcher Rechner abgezogen wurde (über die benutzte IP)
Das alles ist aber in meinen Augen keine verlässliche Lösung ... Auf der Ebene wird es Dir schwer fallen, das Netz abzusichern ...
Nur mal so meine unausgereiften Ideen ...
MfG, Marc Mc Guinness