Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 2915 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

prevent stealing IPs

profesor
Hi!
Some employes bring their personal laptops and give them IP adress of their official PCs. They take the wire out of the official PCs and put it into personal laptops. 
I've created static maping (DHCP in use in small range). I gave IP adress according to MAC adress (official PC). But that doesn't block conecting to intrnet from personal laptops. 
any solution?
Thanks!


This thread was automatically locked due to age.
  • 0
    Try 802.1x Authentication on your Edge Switches
  • 0
    Are they using DHCP or copying the IP from their other computer?

    If they're using DHCP, you should be able to lock down the DHCP range to no more addresses than are used every day for other connections.

    Barry
  • 0
    They have manual assigned IP adress (they are users on XP - no admin rights) and on ASG asigned IP - MAC adress. DHCP enabled (only for business partners - small range 25 IPadress,- reason automatic IP adress in their laptops)
    All employes 80 IP adress have static IP adress.
    But some employes bring their personal laptops and give them IP adress of their official PCs and they have internet. (on ASG every IP adress asigned from MAC adress) They take the wire out of the official PCs and put it into personal laptops. On personal laptop have identical IP adress. eg Tom have IP 192.168.1.40 on business PC (he is user not admin on PC-unable change IP) He bring personal laptop and manual give it IP 192.168.1.40 and have internet. 
    On Astaro I have static MAPING IP/MAC adress acording business PC MAC adress.
    How?
    solutions?
  • 0
    what is your network topology?Not sure if you can do that with ASG but you can if you have a 2003/8 server and use AD [:)]
  • 0 in reply to profesor
    If you want to lock out private devices, you have to block at the entry point of your network - and this is the switch.
    A private device out of your control may be very dangerous for the whole network - internetaccess is in this case the smallest problem.

    And no, I dont know a solution on ASG since ASG does not handle MAC adresses. And it is easy to fake the MAC of a NIC....

    hth
    Chregu
  • 0
    no AD...
    workgroup.
    Yes..I know..internetaccess is secondary problem. But, it's not my problem, because the other company is taking care about network. My responsibility is gateway (ASG). I just want to help.
    Thank you everyone!
  • 0 in reply to profesor
    In this case the ASG has no chance for identification friend or foe. Remeber: the only "thing" the ASG can identify is the IP Address. And this Address can be faked. You need some mechanism to authenicate a DEVICE. This can be done with 802.1x, NAP and other protocols. They are all based on blocking switch ports.
    You can try another way: Your devices have to establish a VPN tunnel to reach a gateway to the internet. But this is very unhandy and the VPN config could also be transferred to a foe device.

    BTW: In my company an employee connects only three times a private device to our network: The first, the one and the last time. If he connects again a private device, he would have very much time to look for a new job...
  • 0
    Yes, ch-hunn, I was hesitant to mention it, but I'm glad you bring up the point that security policies and procedures must be enforced from the top of the organization.  It's no good to build an expensive fence and then keep employees who fail to lock the gate!  Solid security is as much about people as it is about hardware.

    Cheers - Bob
  • 0 in reply to BAlfson
    If you have a business class switch, enable port security.  When a user unplug their network cable and plug it into their laptop, the port will automatically disabled......[:D]