hallo,

ich möchte einen switch so konfigurieren, dass sobald das netzwerkkabel von einem computer entfernt wird, automatisch der port am switch abgeschaltet wird und von einem administrator manuell wieder freigeschaltet werden muss.

wie heisst das feature? gibt es dafür einen standard? ich habe das schon einmal konfiguriert, kann mich leider jedoch nicht an das gerät bzw. den standard erinnern.

THANX!!!! for help.

ps: bitte keine antworten über mac security. ich weiß das es möglich ist sobald eine falsche mac-adresse am port auftaucht, dann den port automatisch abschalten zu lassen (link-down konfiguration). dies verhindert aber nicht die umgehung des features bei mac-duplication!

Ich kenne dieses Feature - bei Cisco zumindest - nicht, nur eben portsecurity.
Das was du machen willst wäre eventuell über 802.1X realisierbar.
Wenn man nicht die MAC-Adresse nimmt, sondern das Computerkonto im Active Directory, könnte man verhindern, dass an DIESEM Port ein anderer PC als der der da dran hängen soll aufs LAN zugreifen darf. Ob der Aufwand im Verhältnis zum "Ertrag" Sinn macht ist Geschmackssache.
Was du nicht verhindern kannst - ein user könnte sehr einfach das "Internet Connection Sharing" nutzen, und so über seinen "authentisierten" PC einen anderen mit dem LAN verbinden. Um das zu verhindern müsste man dem Client lokale adm. Rechte entziehen (was nicht immer einfach ist).

Alles nicht so einfach, gell...

danke für den tip. im prinzip leuchtet mir das auch ein, aber kannst du mir etwas genauer beschreiben, wie ich den switch in ein active directory einbinden soll? ich vermute ich habe das falsch verstanden?
wie soll das zusammenspiel zwischen userauth. über active directory und sperren des netzwerkzugriffes über den switch erfolgen?

hintergrund: ich möchte verhindern, dass wenn ein system nur aufgrund seiner mac-adresse authentifiziert wird, jemand ein gültiges system vom netz nimmt, sich dessen mac-adresse kopiert und dann sein system ans netz hängt, port-security umgeht und somit zugriff aufs netz bekommt. ist da noch kein hersteller drauf gekommen?

Das was Du skizzierst, wird in der Realität nicht funktionieren. Was wenn jemand aus Versehen den Strom vom Client-PC nimmt? Was wenn Stromausfall ist? 200 Ports von Hand wieder freischalten?

Das was Du möchtest geht nur, wie Spaceyfreak gesagt hat, über 802.1x, z.B. mit Zertifikaten. Da kommt der PC nur aufs Netz, wenn er sich über ein Zertifikat (z.B.) authentifiziert.

im prinzip gebe ich euch recht, es hört sich sehr aufwendig an, vorallem wenn man in einer dimension von >100 systemen denkt. aber es geht hierbei um einen kleinen überschaubaren rahmen von systemen, welche in einem "unsicheren" gebäude stehen.
802.1x verhindert aber folgende zwei angriffe nicht:

1. ich missbrauche ein authentifiziertes system, damit es pakete für mich "weiterroutet".
2. ich hänge einen hub dazwischen, lasse ein gültiges system authentifizieren, verwende dann an einem zweiten system, was ebenfalls am hub hängt, die mac-adresse des legitimen clients und kann den port solange weiterverwenden, bis die authentifizierung des legitimen clients in einen timeout läuft oder durch erneute authentifizierung verlängert wird.

ich danke für weitere vorschläge.

ps: selbst wenn der client heruntergefahren wird, hat die netzwerkkarte immernoch einen uplink, das sehe ich daran, dass ihre led brennt. wenn stromausfall ist, dann können in meinem fall ruhig, die 5-10 ports abgeschaltet sein, dass ist sogar so gewollt.

Zu 1.: Das Problem kannst Du nur umgehen, wenn Du den Client in 4m dicke Stahlbetonwände einmauerst.
Zu 2.: Sollte IMHO nicht funktionieren. Aber ich habs (noch) nicht im Einsatz, kanns darum nicht testen.
Zu PS: Mal sehen beim nächsten Stromausfall, oder wenn es jemand zu seiner Aufgabe macht, Dich zu ärgern und täglich mal kurz das Netzkabel zieht...

Allgemein: Vielleicht stehen die Clients am falschen Ort?

Also das mit dem Hub funktioniert garantiert nicht. Wir haben bei uns 802.1x im Einsatz.
Wir arbeiten mit Cisco Switches (2950, 3750) und mir ist auch keine andere Variante bekannt, wie man Ports (ausser manuell) abschalten kann, ausser man verwendet 802.1x.

Gruss, Stephan

@swizz: zu 2) würde mich brennend interessieren, was rauskommt.

@stefan: danke für dein feedback. eins ist mir nur noch nicht klar. wie erkennt ein switch, wenn an dem port 1 hub angeschlossen ist und an diesem hub hängen ausschließlich die zwei system, mit identischen mac-adressen. wie soll der switch das erkennen? wird dann von dem legitimen system zusätzlich noch "session"-daten mitgeliefert, welches dem switch signalisiert, dies sind die daten eines authentifizierten interfaces?
nach wieviel minuten/stunden/tage? verlangt der switch eine neue authentifizierung? pro paket?
hab ich das richtig verstanden, dass der switch erst reagiert, wenn

a) die zeit zwischen zwei authentifizierungsprozessen abgelaufen ist.
b) an dem port auf einmal eine andere mac-adresse auftaucht
c) eine link-down situation eintritt? nach einer erneuten aktivierung des interfaces wird auf eine authentifizierung verlangt?

was ist richtig? deaktiviert dein switch den port komplett wenn situation a-c eintritt oder öffnet er diesen nach einem gewissen timeout wieder?

danke schon einmal für alle bis jetzt geleisteten antworten.

Hier eine PowerPoint Präsentation von Cisco, die Deine Fragen eigentlich beantworten sollte:
802.1x - Cisco Systems

Gruss, Stephan

danke für die präsentation. leider beantwortet sie nicht meine fragen.

folgende fragen sind immer noch offen:

1) 1 port aber 2 systeme mit gleicher mac, was macht der switch?
2) nach wieviel minuten/stunden/tage verlangt der switch eine neue authentifizierung? pro paket?
3) nach einer erneuten aktivierung des interfaces wird auch eine authentifizierung verlangt, oder erst wenn der timeout auf dem switch erreicht ist?

reaktion beim switch erst wenn:
a) die zeit zwischen zwei authentifizierungsprozessen abgelaufen ist.
b) an dem port auf einmal eine andere mac-adresse auftaucht
c) eine link-down situation eintritt?

andere quellen als die "verkaufs"präsentation wären noch sehr hilfreich.

vielen dank.

1. Die MAC-Adresse spielt keine Rolle. Die Clients werden anhand des Computeraccounts authentifiziert. Aus diesem Grund ist es nicht möglich 2 Clients via Hub an einen Switch-Port anzuschliessen. Wenn Du das versuchst, wird der Port abgeschaltet.
2. Der Port ist solange online, wie der Link auf den Client nicht unterbrochen wird. D.h. wenn Du z.B. beim PC das Netzwerkkabel kurz rausziehst, fährt der Port herunter.
3. Sollte mit Punkt 2 geklärt sein

a) Der Authentifizierungsprozess wird nur bei einem frischen Linksignal durchgeführt.
b) MAC-Adress ist nicht relevant
c) Wenn eine Link-down Situation eintritt, muss das Endgerät frisch gestartet werden, damit der Switch den Authentifizierungsvorgang wieder startet.

Ich weiss nun nicht ob die Angaben so alle technisch korrekt sind, aber so verhält es sich zumindest in unserem Netz, resp. von diesen Angaben gehen wir aus, wenn wir Troubleshooten.

Gruss, Stephan

Oh, ich glaube die Hersteller sind schon auf alle möglichen Ideen gekommen, mit denen man im IT-Security Sektor ´viel Geld verdienen kann. Hehe.
Dabei muss man immer die Verhältnismässigkeit im Auge behalten.

Was kann schlimmstenfalls passieren, und wie schlimm wäre das tatsächlich. Und - welchen Aufwand will ich betreiben, damit das auf keinen (denkbaren) Fall eintreten mag.

Du bist nicht der einzige, der sich den Kopf heissdenkt. Du musst bedenken, dass jede Massnahme, die aufs Netz "obendrauf" gesetzt wird, die Verfügbarkeit verringert da jede Verkomplizierung der Infrastruktur auch die Ausfallzeiten automatisch erhöht. Ausgefallene Komponenten, Fehlkonfiguration, Inkompatibilitäten usw.
Am "sichersten" was die Kontrolle angeht ist wohl 802.1X in Verbindung mit Maschinenkonto Authentisierung. Und - den Usern die lokalen ADminrechte entziehen. Dann können sie den authentisierten Zugang auch nicht ohne weiteres missbrauchen (wenn man auch geheime Biospasswörter verwendet, um das Booten von CD/usbstick zu unterbinden).