Jedem das seine. Ich kenne auch diverse Firmen-LANs, wo man per DHCP erstmal pauschal in nen isolierten Pool geworfen wird, der zu nichts und niemandem ne Route kennt. Erst nach Freischaltung gibts dann das passende VLan. Dort arbeitet man aber mit sensiblen Daten und Systemen. Ich will nicht wissen, was passiert, wenn ein Kunde "mal eben Mails checkt" und ne Virenschleuder mitbringt und fröhlich alte Prozessrechner mit WinXP infiziert, die nie den Duft der Freiheit gerochen haben und unsicher sind.koaschten hat geschrieben:Ich finde das leicht Paranoid
Für zu Hause natürlich viel zu viel und auch viel zu teuer.
Ich glaube grundsätzlich, dass es nicht not tut, alle MACs der Geräte zu erlauben, nur die zur Verbindung(TP-Kabel, WLan) passende MAC sollte vollkommen ausreichen. Und die Geräte mit mehreren LAN-Anschlüssen müssen auch nicht mit allen Ports verbunden werden. Meistens ist Teaming sowieso nicht möglich, sowohl vom Endgerät wie auch vom Switch her.
Ich bin nun zu Hause und kann in die Config von ner Fritzbox 7360 reinschauen: Die Möglichkeit, Geräte per MAC zu filtern besteht in der Kindersicherung nur dahingehend, dass einzelne Dienste gesperrt werden. Man kann aber manuell Dienste einrichten, die dann einfach "Alle Ports" benutzen und daher auch so gesperrt werden können. Eine solche Sperre betrifft maximal TCP und UDP-Verkehr. Neue Geräte bekommen auf Wunsch "Keinen Internetzugang" - inwieweit das nur www-Anwendungen betrifft oder wirklich alles sperrt... Keine Ahnung.
Aber mal im Ernst: Für zu Hause sollte eine ähnliche Sicherheitsstufe erreicht werden können, indem man einfach DHCP ausschaltet. Dann bekommen komplette "ungewollte" Geräte keine IP-Adresse und müssten dann mit viel Aufwand die Adresse ersniffen. "Verdächtige" Geräte bekommen dann eine feste IP, die dann nur lokalen Zugang ermöglicht. Und alle anderen bekommen zusätzlich die IP vom Router und DNS und können dann tun und lassen, was sie wollen.
![[ externes Bild ]](http://www.speedtest.net/result/2816982683.png){kind=link}