8
Zugriff auf das Netzwerk selbst beschränken
Ich administriere aktuell eine Berufsschule und wir planen ein neues Netzwerk. Mein Problem hört sich bestimmt doch sehr kompliziert an, ich versuche es mal so einfach wie möglich zu erklären.
Wir planen bei uns ein neues Netzwerk auf der Basis von Windows Server 2008, welches auf mehr Sicherheit und Stabilität ausgelegt ist. Dabei möchte ich auch realisieren, dass nur Rechner, die von mir explizit freigeschaltet werden, Zugang zum Netzwerk bekommen (Zugriff auf Server, Drucker, Internet, etc.). Unsere Schule hat rund 1400 Schüler, von denen etwa schätzungsweise 400 ein eigenes Laptop besitzen.
Das ganze soll dann so aussehen:
Wenn ein PC oder ein Laptop ins LAN angeschlossen wird, soll überprüft werden, ob bestimmte eindeutige Eigenschaften des Systems (z.B. die MAC-Adresse) in einer Whitelist vorhanden sind. Ist das der Fall, bekommt der Rechner eine IP zugewiesen und hat dann Zugriff auf das Netz. Ist dies nicht der Fall, bekommt er keine IP und hat auch keinen Zugriff, aber selbst wenn er sich eine IP von Hand einstellt, hat er keinen Zugriff. Wie kann ich das realisieren?
Für Zugriff über WLAN habe ich bereits eine Lösung gefunden, die aber noch nicht perfekt ist. Ich habe Access-Points von Linksys (den WAP2000), die ich über RADIUS anspreche (NAP-Server in Windows Server 2008). Die Benutzer authentifizieren sich mit ihrem normalen Benutzernamen und ihrem Passwort (WPA(2)-Enterprise). Nur möchte ich die Anmeldedaten gerne an die MAC-Adresse koppeln, aber anscheinend ist das im NAP-Server nicht möglich. Wie kann ich sicherstellen, dass das sich anmeldende Laptop auch wirklich das ist, für was es sich ausgibt? Die Möglichkeit von Zertifikaten habe ich auch im Auge, aber ich habe damit schon rumexperimentiert und kriege das nicht zum Laufen? Gibt es da ein HowTo für solche Fälle?
Wir haben an der Schule hier zwei CISCO-Experten, die CCNA Instructors sind. Wir verfügen über zwei CISCO Catalyst WG3560 TS-S Switche, die als Backbone der beiden großen Abteilungen dienen. Kann man die zur Authentifizierung verwenden und wenn ja wie?
Ich habe das Google-Orakel und die Suche hier schon bemüht, aber ich finde meist nur Themen über Zugriffsbeschränkungen auf Windows-Freigaben oder ich hab nicht richtig geschaut.
Ich hoffe, ihr könnt mir weiterhelfen und ich habe euch mit meiner Problematik nicht erschreckt. Ich bin auch noch nicht der erfahrenste Administrator, da ich letztes Jahr erst meine Ausbildung abgeschlossen habe.
Das ganze soll dann so aussehen:
Wenn ein PC oder ein Laptop ins LAN angeschlossen wird, soll überprüft werden, ob bestimmte eindeutige Eigenschaften des Systems (z.B. die MAC-Adresse) in einer Whitelist vorhanden sind. Ist das der Fall, bekommt der Rechner eine IP zugewiesen und hat dann Zugriff auf das Netz. Ist dies nicht der Fall, bekommt er keine IP und hat auch keinen Zugriff, aber selbst wenn er sich eine IP von Hand einstellt, hat er keinen Zugriff. Wie kann ich das realisieren?
Für Zugriff über WLAN habe ich bereits eine Lösung gefunden, die aber noch nicht perfekt ist. Ich habe Access-Points von Linksys (den WAP2000), die ich über RADIUS anspreche (NAP-Server in Windows Server 2008). Die Benutzer authentifizieren sich mit ihrem normalen Benutzernamen und ihrem Passwort (WPA(2)-Enterprise). Nur möchte ich die Anmeldedaten gerne an die MAC-Adresse koppeln, aber anscheinend ist das im NAP-Server nicht möglich. Wie kann ich sicherstellen, dass das sich anmeldende Laptop auch wirklich das ist, für was es sich ausgibt? Die Möglichkeit von Zertifikaten habe ich auch im Auge, aber ich habe damit schon rumexperimentiert und kriege das nicht zum Laufen? Gibt es da ein HowTo für solche Fälle?
Wir haben an der Schule hier zwei CISCO-Experten, die CCNA Instructors sind. Wir verfügen über zwei CISCO Catalyst WG3560 TS-S Switche, die als Backbone der beiden großen Abteilungen dienen. Kann man die zur Authentifizierung verwenden und wenn ja wie?
Ich habe das Google-Orakel und die Suche hier schon bemüht, aber ich finde meist nur Themen über Zugriffsbeschränkungen auf Windows-Freigaben oder ich hab nicht richtig geschaut.
Ich hoffe, ihr könnt mir weiterhelfen und ich habe euch mit meiner Problematik nicht erschreckt. Ich bin auch noch nicht der erfahrenste Administrator, da ich letztes Jahr erst meine Ausbildung abgeschlossen habe.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 103088
Url: https://administrator.de/contentid/103088
Printed on: April 18, 2024 at 02:04 o'clock
8 Comments
Latest comment
Hallo,
die Cisco-Switche kannst du verwenden, um sicherzustellen, das auch mit manueller IP-Adresse kein Netzzugriff möglich ist (Stichwort: port security). Mit Windows allein läßt sich so etwas nicht realisieren.
Details findest du hier:
http://articles.techrepublic.com.com/5100-10878_11-6123047.html
http://www.itsyourip.com/cisco/configure-cisco-port-security-on-switche ...
mfg
Harald
die Cisco-Switche kannst du verwenden, um sicherzustellen, das auch mit manueller IP-Adresse kein Netzzugriff möglich ist (Stichwort: port security). Mit Windows allein läßt sich so etwas nicht realisieren.
Details findest du hier:
http://articles.techrepublic.com.com/5100-10878_11-6123047.html
http://www.itsyourip.com/cisco/configure-cisco-port-security-on-switche ...
mfg
Harald
Ein Schubs in die richtige Richtung:
http://de.wikipedia.org/wiki/802.1x
Aktuellere Managebare Switches können das durchgehend.
Nachteil dabei: Alle Switches in eurem Unternehmen müssen diese Authentifizierungsmethode unterstützen, sonst machts wenig Sinn.
http://de.wikipedia.org/wiki/802.1x
Aktuellere Managebare Switches können das durchgehend.
Nachteil dabei: Alle Switches in eurem Unternehmen müssen diese Authentifizierungsmethode unterstützen, sonst machts wenig Sinn.
Die Lösung mit den Cisco Switchen gefällt mir besser, da wir nicht durchgehend managebare Switche haben. Das Thema 802.1x hatte ich nämlich auch im Visier und setze es zum Teil für den Zugriff per WLAN ein. In den Artikeln zu Port Security steht aber nichts dazu drin, ob ich die MAC-Adressen nur pro Port oder allgemein zulassen kann. Denn ich glaube nicht, dass 132 MAC-Adressen pro Port ausreichen werden. Besser wäre es, wenn ich die MAC-Adressen allgemein in den Layer-3-Switch eintragen könnte, sodass diese auf allen Ports zugelassen ist. Wäre das möglich?
Nein, das ist nicht möglich denn der L3 Switch forwardet ja nicht auf MAC Basis sondern auf IP Basis.
Macs gelten immer nur in einer per VLAN Basis...
Sollten deine CCNA Instructors eigentlich wie aus der Pistole geschossen wissen !
Auch verwunderlich das sie dir zum Thema Port Security scheinbar gar nichts gesagt haben....
Macs gelten immer nur in einer per VLAN Basis...
Sollten deine CCNA Instructors eigentlich wie aus der Pistole geschossen wissen !
Auch verwunderlich das sie dir zum Thema Port Security scheinbar gar nichts gesagt haben....
Doch, haben sie, nachdem ich sie darauf hingewiesen habe. Anscheinend wird dieses Thema erst im CCNA 4 durchgenommen und die unterrichten aufgrund der mangelnden Zeit nur CCNA 1 und 2. Natürlich wissen sie es nicht mehr ganz auswendig, logisch, wenn man damit nicht jeden Tag zu tun hat.
Ich will ja nur, dass ich in einer Whitelist festlegen kann, welche PCs zugreifen dürfen. Diese Whitelist soll im Prinzip für den kompletten Server gelten, nicht für einzelne Ports. Ist das realisierbar?
Ich will ja nur, dass ich in einer Whitelist festlegen kann, welche PCs zugreifen dürfen. Diese Whitelist soll im Prinzip für den kompletten Server gelten, nicht für einzelne Ports. Ist das realisierbar?
Auch ohne Cisco CC*** Marketing Schnickschnack und Pseudo Titeln sollte man sowas wissen, denn das können natürlich auch alle anderen Hersteller am Markt mit gleichem Umfang, Performance und zu erheblich geringeren Kosten !!!
Am besten löst du sowas mit zentraler MAC Authentifikation über einen Radius Server. Hat dann aber den Nachteil für dich das du die Macs einmal zentral pflegen musst.
Sonst bleibt dir nur 802.1x Authentifikation mit Username/Passwort oder Zertifikaten...
Für letzteres müssen deine Switches aber mitspielen (Features)
Fürs WLAN bietet sich dann auch eine CP Lösung an für Gäste und Benutzer die man ebenfalls über den Radius laufen lassen kann wie z.B. sowas...
Am besten löst du sowas mit zentraler MAC Authentifikation über einen Radius Server. Hat dann aber den Nachteil für dich das du die Macs einmal zentral pflegen musst.
Sonst bleibt dir nur 802.1x Authentifikation mit Username/Passwort oder Zertifikaten...
Für letzteres müssen deine Switches aber mitspielen (Features)
Fürs WLAN bietet sich dann auch eine CP Lösung an für Gäste und Benutzer die man ebenfalls über den Radius laufen lassen kann wie z.B. sowas...
Was ich bei den überflogenen Antworten jetzt noch nicht entdeckt habe, war einzugehen auf die Domänenfunktion selbst. Die Doäne bzw. Domänenzugehörigkeit ist doch schon die Sicherheitsgrenze, die Du suchst. Ist in der Domäne eine Resource für "Jeder" freigegeben, heißt das eben nicht weltweit jeder, sondern jeder Domänenbenutzer.
Suchst Du nach "expliziter Freischaltung", so denke ich an Domänenzugehörigkeit:ja/nein.
Auch mit NAP bist Du sicher auf der richtigen Spur, da kann ich aber keine großen Erfahrungen weitergeben.
Suchst Du nach "expliziter Freischaltung", so denke ich an Domänenzugehörigkeit:ja/nein.
Auch mit NAP bist Du sicher auf der richtigen Spur, da kann ich aber keine großen Erfahrungen weitergeben.
das gleiche problem hatten wir in unserer firma dann haben wir angefangen das Program Active Directory Management zu benutzen dadurch können wir jeden pc denn wir wollen auf die whitelist anlegen und jederzeit kontrolieren .
kannst du dir über Windows Server 2003 Administration Tools Pack instalieren .
das einziege problem was du haben würdest ist das du dann alle pc einfügen musst geht aber ca. 30 sekunden
kannst du dir über Windows Server 2003 Administration Tools Pack instalieren .
das einziege problem was du haben würdest ist das du dann alle pc einfügen musst geht aber ca. 30 sekunden
