Hallo Tobias, > Hier argumentierst du, dass man eine IP und MAC-Adresse fälschen kann > (ok) *und* dass dann der Switch *und* der L3-Router den Angreifer > durchlassen *und* dann eben durch gefälschte Daten vom Server angenommen > werden. > Gefühlsmäßig: Der VLAN Konfiguration traue ich das noch zu. Dem > L3-Router nicht mehr. Aber wenn das ginge, dann ist das subnetting > Konzept doch irgendwie hinfällig. > Das kann ja jemand beantworten, der sich mit dem Szenario auskennt: > Kann ein Rechner, der in Raum 5 stehen soll, also r005pc01 heißt und > dementsprechende IP hat in Raum 2 angestöpselt werden und sich mit dem > server (als r005pc01 verbinden) ?
Also: ist das Netz richtig konfiguriert ist es nicht möglich, sich aus irgend einem anderen subnet als dem Lehrernetz dem server gegenüber als dem lehrernetz zugehörig aus zu geben. Beispiel: lehrerrechner 1 hat die MAC xx und die IP yy und ist in Subnet LZ Schüler mit Notebook ist in Subnet R155 (physikalisch, soll heißen: ihm stehen nur Dosen im R155 zur Verfügung keine im LZ), dann könnte er die MAC Adresse von lehrerrechner 1 fälschen und sich auch gleich die IP geben: trotzdem käme er nicht an das NAS, welches im Subnet LZ steht, weil weder L3 Switch noch Server ihn dort hin routen würden. Fälscht er nur die MAC, dann bekommt er in R155 eine IP vom DHCP aus dem für R155 vergebenen Lease: welches zumindest bei mir, garnichts darf: kein Serverzugriff und kein Internetzugriff. Das habe ich so schon überprüft, da es auch ein deutlciher Nachteil ist. Beispiel: ich habe in der Schule 40 Laptops: die sind naturgemäß transportabel und genau für diesen Zweck angeschafft. "Verortet" habe ich sie im Subnet NWT. Wenn ich so ein Laptop an einen Port hänge, der in einem anderen subnet ist, so kennt der Server zwar eigentlich die MAC Adresse und kennt eigentlich auch eine IP, die er ihm geben müßte: er macht es aber nicht, weil er in einem fremden Subnet ist. Bisher erscheint mir die Trennung Wasserdicht. VIele Grüße Holger -- Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net _______________________________________________ linuxmuster-user mailing list linuxmuster-user@lists.linuxmuster.net https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
