Gibt es dafür eine Lösung,
Nicht benutze Switch Ports einfach abschalten
Switch Port Security
Switch ACLs
dynamische VLANs (MAC basierend)
oder wie geht Ihr mit diesem Risiko um?
AD Anmeldung und dann
Kabel lose Geräte via Radius Server & Zertifikat (nicht exportierbar) absichern
Kabel gebundene Geräte via LDAP absichern
Squid & SquidGuard als HTTP-Proxy mit Benutzeranmeldung in der DMZ installieren
Alle nicht benötigten LAN-Dosen kommen dann ins Default-VLAN (untagged),
welches du sonst nicht nutzt - fertig
Also das default-VLAN ist das für den Admin und da sind so oder so alle Geräte drin
und da hat außer dem Admin niemand Zugriff und der Admin am besten nur mittels SSH-Key.
Ein extra VLAN z.B. VLAN151 anlegen und dort alle leeren Ports der Netzwerksteckdosen
rein packen und dann alles verbieten und dann einen Snort Sensor dort rein platzieren
schafft es irgend jemand die still gelegten Ports auf zu wecken oder zu reaktivieren,
dann bekommst Du eine Mail oder SMS vom Snort Server und weißt auch genau an
welcher Netzwerkdose der Störer mit seinem Gerät dran hängt. Fertig.
Im jedem Fall habe ich einen Client im LAN, den ich nicht kenne und von dem
ich auch nichts merke. Im schlechteren Fall habe ich auch noch ein Problem mit dem
gesamten Netz, wenn er "zufällig" eine schon vergebene IP-Adresse benutzt …
Das kann dann nicht mehr passieren? Denn alle leeren Dosen und Netzwerkports
sind in einem extra VLAN und für dieses ist dann alles gesperrt und der Snort Server
informiert Dich dann darüber an welchem Port gerade jemand herum spielt!
Und wenn er seinen eigenen PC ausklingt und seinen privaten Laptop anschließt ist dort
immer noch die LDAP und/oder Radius Sicherung die er nicht erfüllt und man kann das
dann auch via ACLs oder Snort rules melden lassen.
mal die Frage, wie Ihr mit der Situation umgeht …
Arbeitsanweisungen dahin gehend unterschreiben lassen und alle zwei Jahre neu unterschreiben lassen!
Bei Fehlcerhalten eine Mail an alle Gruppenleiter, Abteilungsleiter und die GF bzw. GL das hinsichtlich einer
Nichtbeachtung dieser Anweisung nun gerade Probleme entstehen und rate mal wer dann dort ganz schnell
alles anruft und nachfragt!? Dann steht der Admin nicht immer so alleine da!
Denn ist auf dem privaten Laptop eine MS Windows Home version installiert und gerade an dem Tag kommt
MS Euch mal besuche geht der Geschäftsführer eventuell ab ins Kittchen und Du kannst auf Linux umstellen!
Oder aber eine Windows Pro Version und eine Menge freeware die nur privat genutzt werden darf!
Hmmmm, lecker wenn Dich dann einer anschxxxt kannst Du die Prozesse vor gericht gar nicht mehr
zählen und musst eventuell jedes Mal zahlen!