Security im LAN

Hallo ich bin neu hier und hoffe ihr könnt mir bei meinem problem weiterhelfen!

...... und zwar muss ich ein LAN von innen sicher machen. Es besteht ein 100MBit/s RJ45 Ethernet Netz im Haus über mehere Etagen. Einzelne Räume werden in einem Netzwerkschrank zusammengeschlossen. Mehrere Netzwerkschränke werden an Etagenschränken zusammengeschlossen und die Etagenschränke werden am Hauptnetzwerkschrank im Keller neben den Servern zusammengeschlossen, also nix besonderes, strukturierte Verkabelung. So..... die Ports die in den Zimmern nicht benutzt werden sollen aktiv bleiben, es soll sich aber kein Nutzer mit einem unbekannten Gerät in das LAN einklinken können. Dies könnte durch einen MAC Adressen Pool gemacht werden aber wer managed das dann. Ich hab gehört es gibt da eine Lösung von Cisco die von den Switchen die MAC- Adressen sammelt und wodrin man dann vertrauenswürdige Geräte Zugriff auf das LAN gewährt und alle anderen draussen lässt. Klingt ja soweit gar nicht schlecht aber der administrative aufwand ist denke ich enorm.

Es gibt bestimmt noch viel einfacherere und bessere Lösungen. Ich habe bis jetzt keine gefunden und würd mich über eure Erfahrungen und Vorschläge freuen!

Schönen Dank schon mal im Vorraus
Harvey

 

Merkwürdig, warum kümmert sich der Admin nicht um solche Probleme? Ansonsten: zentrale Benutzeranmeldung am DC für alle Dienste und keine HUBs verwenden. Eventuell das Ganze in mehrere Subnetze gliedern. Damit dürften die gröbsten Angriffspunkte kostengünstig im Griff sein. Die MAC Adresse selbst zu filtern macht wenig Sinn, solange sich der "Böse" eines "guten" Rechners bemächtigen kann.

 

Also eine zentrale Benutzerverwaltung und Anmeldung und der ganze Kram besteht ja. Es geht halt darum das sich kein unbekanntes Gerät einklinken soll und eventuell auf kosten der Firma in das Internet gelangt. Die Software ist erstmal aussenvor. Hacker finden immer einen Weg. Deswegen soll schon bei der MAC Adresse blockiert werden. ich weis man könnte jetzt sagen das sich eine MAC Adresse auch genierieren und auf ein Gerät zuweisen lässt aber man muss es halt so schwer wie möglich machen.

 

Ich glaube, du verrennst dich da in etwas. "Unbekanntes Gerät" heißt doch in dem Fall auch "unbekannter Benutzer". Erste Diagnose: der Internetzugang ist falsch organisiert. Ich fasse mal zusammen: eure Firma kann sich weder einen Admin, noch eine Flatrate für's Internet leisten. Sollte beides nicht der Fall sein, verstehe ich deine Frage nicht bzw. du siehst Probleme wo keine sind.

 

@ kalweit: Nein ich glaube das hast du was falsch verstanden! Also du hast auch keine konstruktive Lösung und mit Ciscos MAC Adressen Verwaltung hast du auch keine Erfahrung?

 

Hm, also ich sehe meine Beiträge durch aus als konstruktive Lösungsvorschläge, nur lehnst du diese aus welchem Grund auch immer ab. Ansonsten findest du hier -> http://www.cisco.com/en/US/products/hw/switches/tsd_products_support_category_home.html alles was du suchst.

 

Die Lösungen sind schon alle implementiert. Es geht mir nur darum MAC Adressen verwalten zu können und meine Frage war ob jemand Erfahrungen mit diesen Cisco Kisten hat. Bei der Auswahl und den Funktionen der Cisco Geräte verliert man leicht den Überblick. Das Gerät soll gar nicht erst eine Verbidung zum Netzwerk bekommen geschweige denn vom DC eine Benutzerauthentifiezierung abfragen.