4
MS Server 2003 - RAS-Richtlinie - Einwahl über MAC-Adresse beschränken -mobile Sicherheit
"Es werde Verbindung.."
Hallo an alle VPN-RAS Spezialisten!
Ausgangssituation:
Server 2003 mit bestehendem funktionierenten RAS - Richtlinien auf NAS-Port-Type: Virtual(VPN); Windows-Groups(AD);
Die Firewall lässt nur Clients durch, deren fixe IP eingetragen ist.
Änderung:
Nun ist es so, das wir immer mehr mobile Mitarbeiter haben, und diese natürlich nicht über eine fixe IP einzuschränken sind.
Deswegen dachte ich an eine zweite Regel in der Firewall sowie in den RAS-Richtlinien welche die MAC-Adresse abfrägt.
In der Hilfe der RAS-Richtlinien ist leider nicht beschrieben unter welchem Attribut ich die MAC-Adresse eintragen kann.
Könnt Ihr mir da bitte weiterhelfen?
Liebe Grüße
glorias
Anhang Auszug RAS-Hilfe:
Einführung in die RAS-Richtlinien
Nach der Autorisierung der Verbindung können auch mithilfe von RAS-Richtlinien die folgenden Verbindungseinschränkungen angegeben werden:
• Leerlaufzeit
• Maximale Sitzungslänge
• Verschlüsselungsstärke
• IP-Paketfilter
• Erweiterte Einschränkungen:
• IP-Adresse für PPP-Verbindungen
• Statische Routen
Darüber hinaus können Sie Verbindungseinschränkungen anhand der folgenden Einstellungen ändern:
• Gruppenmitgliedschaft
• Verbindungstyp
• Uhrzeit
• Authentifizierungsmethoden
• Zugriffsserveridentität
• Rufnummer oder MAC-Adresse des Zugriffsclients
• Ob der Zugriff ohne Authentifizierung zugelassen ist
Ausgangssituation:
Server 2003 mit bestehendem funktionierenten RAS - Richtlinien auf NAS-Port-Type: Virtual(VPN); Windows-Groups(AD);
Die Firewall lässt nur Clients durch, deren fixe IP eingetragen ist.
Änderung:
Nun ist es so, das wir immer mehr mobile Mitarbeiter haben, und diese natürlich nicht über eine fixe IP einzuschränken sind.
Deswegen dachte ich an eine zweite Regel in der Firewall sowie in den RAS-Richtlinien welche die MAC-Adresse abfrägt.
In der Hilfe der RAS-Richtlinien ist leider nicht beschrieben unter welchem Attribut ich die MAC-Adresse eintragen kann.
Könnt Ihr mir da bitte weiterhelfen?
Liebe Grüße
glorias
Anhang Auszug RAS-Hilfe:
Einführung in die RAS-Richtlinien
Nach der Autorisierung der Verbindung können auch mithilfe von RAS-Richtlinien die folgenden Verbindungseinschränkungen angegeben werden:
• Leerlaufzeit
• Maximale Sitzungslänge
• Verschlüsselungsstärke
• IP-Paketfilter
• Erweiterte Einschränkungen:
• IP-Adresse für PPP-Verbindungen
• Statische Routen
Darüber hinaus können Sie Verbindungseinschränkungen anhand der folgenden Einstellungen ändern:
• Gruppenmitgliedschaft
• Verbindungstyp
• Uhrzeit
• Authentifizierungsmethoden
• Zugriffsserveridentität
• Rufnummer oder MAC-Adresse des Zugriffsclients
• Ob der Zugriff ohne Authentifizierung zugelassen ist
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 160711
Url: https://administrator.de/contentid/160711
Printed on: April 25, 2024 at 21:04 o'clock
4 Comments
Latest comment
Hallo,
ich habe gerade selbst nachgeschaut im RAS Server nach einer Option für MACs,
gibts dort nicht ggf. wo anders einzustellen, wüsste aber nicht wo.
Macht aber auch alles garkeinen Sinn, denn dir ist sicherlich bekannt das man eine
Mac mit 3 Mausklicks umbiegen kann? Deine vermeindliche Erhöhung der Sicherheit
wäre somit ohnehin nur Augenwischerei, wahrscheinlich hat MS daher auch keine
solche Funktion eingebaut in den RAS Server sondern eine reine IP Filterung.
Außerdem meine ich gehört zu haben das div. UMTS Sticks/Modems/whatever
unter Umständen nicht mit ihrer öffentlichen IP Adresse beim Ziel aufschlagen sondern
nur intern umgeroutet werden im Carrier Netz und deren Gateway letztendlich mit der
Anfrage bei dir aufschlägt.
Dazu sollte ich erwähnen, das die meisten Anbieter dieser Surfsticks das GRE Protokoll
sperren, somit kein PPTP VPN funktioniert.
Alternative wäre hier OpenVPN, ggf. hat deine Firewall sogar einen eingebauten OpenVPN
Server an Board.
Mfg.
ich habe gerade selbst nachgeschaut im RAS Server nach einer Option für MACs,
gibts dort nicht ggf. wo anders einzustellen, wüsste aber nicht wo.
Macht aber auch alles garkeinen Sinn, denn dir ist sicherlich bekannt das man eine
Mac mit 3 Mausklicks umbiegen kann? Deine vermeindliche Erhöhung der Sicherheit
wäre somit ohnehin nur Augenwischerei, wahrscheinlich hat MS daher auch keine
solche Funktion eingebaut in den RAS Server sondern eine reine IP Filterung.
Außerdem meine ich gehört zu haben das div. UMTS Sticks/Modems/whatever
unter Umständen nicht mit ihrer öffentlichen IP Adresse beim Ziel aufschlagen sondern
nur intern umgeroutet werden im Carrier Netz und deren Gateway letztendlich mit der
Anfrage bei dir aufschlägt.
Dazu sollte ich erwähnen, das die meisten Anbieter dieser Surfsticks das GRE Protokoll
sperren, somit kein PPTP VPN funktioniert.
Alternative wäre hier OpenVPN, ggf. hat deine Firewall sogar einen eingebauten OpenVPN
Server an Board.
Mfg.
Hallo!
Danke für die rasche Reaktion - ich habe einen Auszug aus der RAS-Hilfe zu meinem Original Thread eingefügt. Da steht Einschränkung über MAC Adresse.
Die Methode über einen VPN-Client(Firewall bietet eigenes VPN an), haben wir bereits getestet, ist aber sehr uncomfortable, und jeder Client benötigt eine
eigene Softwarelizenz und Installation. Und unsere Firewall hat dann bei zeitgleichen Verbindungen regelmässig ein hung up.....
Deswegen würde ich gerne RAS verwenden. Wie lösen das andere KMU's?
LG
glorias
Danke für die rasche Reaktion - ich habe einen Auszug aus der RAS-Hilfe zu meinem Original Thread eingefügt. Da steht Einschränkung über MAC Adresse.
Die Methode über einen VPN-Client(Firewall bietet eigenes VPN an), haben wir bereits getestet, ist aber sehr uncomfortable, und jeder Client benötigt eine
eigene Softwarelizenz und Installation. Und unsere Firewall hat dann bei zeitgleichen Verbindungen regelmässig ein hung up.....
Deswegen würde ich gerne RAS verwenden. Wie lösen das andere KMU's?
LG
glorias
Hallo,
wie gesagt Mac Filter ist Augenwischerei und hällt noch nicht mal Script Kiddys ab,
wenn sie es denn auf einen Einbruch abgesehen haben.
PPTP VPN über RAS ist ne feine Sache, nutzen wir auch.
http://www.serverhowto.de/Teil-4-Einrichten-eines-VPN-Servers.60.0.html
wäre ein Beispiel für ne Anleitung wie man das einrichtet. Wir benutzen z.B. für VPN
extra Konten die Keine Domain Zugehörigkeit besitzen, somit auch auf keine Ressourcen
im Netz zugreifen können ohne das Verbinden von Netzlaufwerken mit PW Abfrage...
Als Alternative nannte ich dir OpenVPN, da kannst du dann auch mit Zertifikaten arbeiten,
die du dir selbst erstellen kannst und diese auch selbst sperren kannst. Dazu kommt noch
eine PW Abfrage. Ist also relativ sicher das ganze. Man müsste schon das Cert klauen +
VPN Zugangsdaten incl. Passwort um rein zu kommen und selbst dann haste in einem
richtig eingerichteten AD noch keine Rechte im lokalen Netz.
Vergiss den Käse mit MAC Filter, das ist eine Totgeburt aus längst vergangener Zeit wo man
es nicht besser wusste.
Mfg.
wie gesagt Mac Filter ist Augenwischerei und hällt noch nicht mal Script Kiddys ab,
wenn sie es denn auf einen Einbruch abgesehen haben.
PPTP VPN über RAS ist ne feine Sache, nutzen wir auch.
http://www.serverhowto.de/Teil-4-Einrichten-eines-VPN-Servers.60.0.html
wäre ein Beispiel für ne Anleitung wie man das einrichtet. Wir benutzen z.B. für VPN
extra Konten die Keine Domain Zugehörigkeit besitzen, somit auch auf keine Ressourcen
im Netz zugreifen können ohne das Verbinden von Netzlaufwerken mit PW Abfrage...
Als Alternative nannte ich dir OpenVPN, da kannst du dann auch mit Zertifikaten arbeiten,
die du dir selbst erstellen kannst und diese auch selbst sperren kannst. Dazu kommt noch
eine PW Abfrage. Ist also relativ sicher das ganze. Man müsste schon das Cert klauen +
VPN Zugangsdaten incl. Passwort um rein zu kommen und selbst dann haste in einem
richtig eingerichteten AD noch keine Rechte im lokalen Netz.
Vergiss den Käse mit MAC Filter, das ist eine Totgeburt aus längst vergangener Zeit wo man
es nicht besser wusste.
Mfg.
Guten Abend Phalanax82!
Danke nochmals. Betreffend der lokalen Konten - d.h. der RAS Server darf nicht auf einem Domaincontroller installiert sein?
mfg
glorias
Danke nochmals. Betreffend der lokalen Konten - d.h. der RAS Server darf nicht auf einem Domaincontroller installiert sein?
mfg
glorias
