Port-Beschränkung im Unternehmenseinsatz

Munchinito · 12. November 2019 um 03:40

Hallo,

Aus gegebenem Anlass bräuchte ich mal Hintergrundinformationen zum Thema „Beschränkung von Netzwerkgeräten auf einzelne Ports“. Welche Verfahren sind zeitgemäß und praktikabel, um zu gewährleisten, dass beispielsweise ein Rechner im Netzwerk nur an einem bestimmten Port funktioniert, an jedem anderen Anschluss aber keinen Zugriff aufs Netzwerk hätte? Unbekannte Geräte hätten keinen Zugriff aufs Netzwerk.

Wird so etwas über die MAC-Adresse gelöst? Oder über andere Verfahren? Es wäre schön, wenn ihr mich mit Stichworten versorgt, über die ich dann weitere Informationen finden kann. Es wäre auch interessant zu erfahren, was ihr generell über so eine Beschränkung denkt: ist so etwas heutzutage in Unternehmen üblich und macht es Sinn?

Vielen Dank,

M.

Stefan62 · 12. November 2019 um 03:40

Moin,

Aus gegebenem Anlass bräuchte ich mal Hintergrundinformationen
zum Thema „Beschränkung von Netzwerkgeräten auf einzelne
Ports“. Welche Verfahren sind zeitgemäß und praktikabel, um zu
gewährleisten, dass beispielsweise ein Rechner im Netzwerk nur
an einem bestimmten Port funktioniert, an jedem anderen
Anschluss aber keinen Zugriff aufs Netzwerk hätte? Unbekannte
Geräte hätten keinen Zugriff aufs Netzwerk.

Jeder Admin träumt irgendwann davon, aber wenn man es sich mal wirklich überlegt - was hätte man davon? In kleinen Netzen wäre es Overkill und in großen Netzen administriert man sich anschließend zu Tode, weil man bei jedem IMAC irgendwelche Regeln nachziehen muss.

Wichtig ist das mit den unbekannten Geräten.

Wird so etwas über die MAC-Adresse gelöst? Oder über andere
Verfahren?

Naja, MAC-Adressen fälschen kann heutzutage jeder 12jährige - aber es ist natürlich besser als nichts. Ansonsten ist die Methode der Wahl 802.1x.

Es wäre auch interessant zu erfahren, was ihr generell über so
eine Beschränkung denkt: ist so etwas heutzutage in
Unternehmen üblich und macht es Sinn?

Große Netze ohne NAC-System zu betreiben ist ein bisschen wie Russisches Roulette. Vor allem weil man mit einem gut konfiguriertem NAC wesentlich mehr machen kann als nur „Zugriff/kein Zugriff“. Man kann z.B. bestimmen, dass unbekannte Rechner in ein Besuchernetz kommen, oder das Rechner, deren OS nicht aktuell ist, nur Zugriff auf die Update-Server bekommen. Da sind viele nette Dinge möglich…

Gruß
Stefan

Munchinito · 12. November 2019 um 03:41

Hallo Stefan,

Vielen Dank für deine Antwort, das hat mir schon mal weitergeholfen.

Jeder Admin träumt irgendwann davon, aber wenn man es sich mal
wirklich überlegt - was hätte man davon? In kleinen Netzen
wäre es Overkill und in großen Netzen administriert man sich
anschließend zu Tode, weil man bei jedem IMAC irgendwelche
Regeln nachziehen muss.

Wenn ich dich richtig verstehe, hältst du nichts davon, den Netzwerkzugang eines Clients auf einen einzelnen physischen Port zu limitieren. Der Aufwand, die Zugriffsrechte manuell bei jeder Änderung zu aktualisieren, stünde in keinem Verhältnis zum Nutzen.

Wichtig ist das mit den unbekannten Geräten.

Wird so etwas über die MAC-Adresse gelöst? Oder über andere
Verfahren?

Naja, MAC-Adressen fälschen kann heutzutage jeder 12jährige -
aber es ist natürlich besser als nichts. Ansonsten ist die
Methode der Wahl 802.1x.

802.1x ist ein sehr gutes Stichwort. Ich werde mich da mal reinlesen.

Vielen Dank,

Munchinito

Stefan62 · 12. November 2019 um 03:42

Hi,

Wenn ich dich richtig verstehe, hältst du nichts davon, den
Netzwerkzugang eines Clients auf einen einzelnen physischen
Port zu limitieren. Der Aufwand, die Zugriffsrechte manuell
bei jeder Änderung zu aktualisieren, stünde in keinem
Verhältnis zum Nutzen.

Genau das.

Was will man denn erreichen? Meist doch, dass man genau sagen kann, welcher PC wo steht, bzw. dass die Mitarbeiter keine PC-Umzüge auf eigene Faust vornehmen können.

Nach meiner Erfahrung ist das ein Kampf gegen Windmühlen. Nie sind die Leute so aktiv und erfindungsreich wie wenn es um das Umgehen von „einengenden“ Vorschriften geht.

Man kann halt keine organisatorischen Probleme mit technischen Mitteln lösen.

Mit einem guten Netzwerk-Konstrukt kann man aber ohne Probleme nicht nur jederzeit nachsehen, an welchem Port welchen Switches der PC XY zur Zeit hängt, man kann sich auch warnen lassen, wenn dieser plötzlich „wandert“.

Allerdings geht das natürlich nicht mit Billig-Switches aus dem Online-Shop und auch die entsprechende Management-Software ist nicht ganz preisgünstig. Lohnt also nur für größere Installationen.

Gruß
Stefan

X_Strom · 12. November 2019 um 03:43

Aus gegebenem Anlass bräuchte ich mal Hintergrundinformationen
zum Thema „Beschränkung von Netzwerkgeräten auf einzelne
Ports“. Welche Verfahren sind zeitgemäß und praktikabel, um zu
gewährleisten, dass beispielsweise ein Rechner im Netzwerk nur
an einem bestimmten Port funktioniert, an jedem anderen
Anschluss aber keinen Zugriff aufs Netzwerk hätte? Unbekannte
Geräte hätten keinen Zugriff aufs Netzwerk.

Mir ist nicht ganz klar, warum man das verhindern will.

Wenn Herr Müller seinen Desktop-PC abbaut, sich unter den Arm klemmt und drei Büros weiter aufbaut, dann stellt das m.E. eine ziemliche Blödheit von Herrn Müller dar, aber doch keine Gefährdung des Firmennetzes.

Da ist es doch viel wichtiger, keine fremden Geräte ans Netz zu lassen.

Munchinito · 12. November 2019 um 03:44

Hallo,

Nach meiner Erfahrung ist das ein Kampf gegen Windmühlen. Nie
sind die Leute so aktiv und erfindungsreich wie wenn es um das
Umgehen von „einengenden“ Vorschriften geht.
Man kann halt keine organisatorischen Probleme mit technischen
Mitteln lösen.

Hintergrund meiner ursprünglichen Anfrage war, dass ich unsere IT darum gebeten habe, mir vorzuschlagen, wie man die Netzwerksicherheit im Unternehmen verbessern kann. Momentan kann sich Hinz und Kunz an jedes beliebiges LAN-Kabel anschließen und ist „drin“. Mir wurde dann vorgeschlagen, mit einem MAC-Filter zu arbeiten und zwar so, dass jedes bekannte Gerät nur an einem bestimmten Port funktioniert. Ich bin der Meinung, dass das viel zu viel Arbeit von dem Admins verbrauchen würde, da diese ja jede (Port-)Änderung manuell bestätigen müssten. Dabei ginge viel Zeit verloren.

Nach allem, was ich bisher gehört habe, wäre es wohl möglich, einen Pool von registrierten MAC-Adressen zu haben, die sich an jedem beliebigen Port verbinden können. Unbekannte MAC-Adressen müssten draußen bleiben. Geht das?

Mit einem guten Netzwerk-Konstrukt kann man aber ohne Probleme
nicht nur jederzeit nachsehen, an welchem Port welchen
Switches der PC XY zur Zeit hängt, man kann sich auch warnen
lassen, wenn dieser plötzlich „wandert“.
Allerdings geht das natürlich nicht mit Billig-Switches aus
dem Online-Shop und auch die entsprechende Management-Software
ist nicht ganz preisgünstig. Lohnt also nur für größere
Installationen.

Allein bei mir sind das über 200 PC’s an mehreren Standorten. Ich gehe davon aus, dass unsere Hardware/Software das kann, werde das aber prüfen.

Herzlichen Dank,

Munchinito