Netzwerkkabel physikalisch sichern

[Peter Voigt]

> ... Hinweise an die User, das Abziehen der
> Netzwerkkabel zu unterlassen, werden schlicht mißachtet. ...
> Sämtliche Hinweise sind willkommen :-)

Extrem-Vorschlag:

(1) Als festinstallierte Clients einheitlich nur ein Betriebssystem installieren. 

(2) Auf dem/den Intranet-Server/n mittels OS-Erkennung nur den Netzverkehr durchlassen, der von solchen Clients stammt.

OpenBSD kann das von Haus aus in der Firewall machen. Man könnte beispielsweise den Server mit einer simplen Anweisung in der Konfigurationsdatei der Firewall /etc/pf.conf so einstellen, dass er nur mit OpenBSD-Clients spricht und alle anderen ignoriert. 

Eine solche Lösung kann die meisten Nutzer aussperren, wenn sie sich mit ihren Kisten unerlaubt ins Netz einklinken.

OpenBSD ist sicherlich nicht die einzige Alternative als Server-Betriebssystem. Vermutlich wird man Linuxserver auch so konfigurieren können, dass sie Netzverkehr in Abhängigkeit von einer OS-Erkennung filtern. Zur stellt man hinter dem Router noch eine Brigde ins Netz.

Als Restrisiko verbleiben die Nutzer, die "zufällig" mit demselben OS ins Intranetz kommen, wie die zugelassenen fest-installierten Clients. 

Die geschickte Auswahl des OS auf den zugelassenen Clients stellt den Dreh- und Angelpunkt dar. Diese Auswahl hat sicherlich ortsbezogen zu erfolgen.

Weil die OS-Erkennung auf Firewall-Ebene wenig praktiziert wird, wird es vermutlich eine Weile dauern, bis jemand die Zusammenhänge durchschaut und anfangen kann, diese Lösung bewußt zu unterlaufen. 

Und das wird je mehr Mühe bereiten, je exotischer das zugelassene Client-Betriebssystem ist.

;-)
pv