9
Netzwerk gegen Fremdrechner absichern
hallo
ich habe ein kleines problem mit einem netzwerk in einer bildungseinrichtung...
es ist eine windows 2003 R2 TS domäne bei der sich die benutzer per thin-client einloggen und arbeiten.
leider gibt es in dem netzwerk 2 WLAN router über welche die schüler (es ist ein internat) in ihrer freizeit unbeufsichtigt zugang haben mit ihren privaten notebooks oder rechnern.
das führt natürlich dazu, dass selbige sich über das WLAN einloggen und ihre fileshare-software anwerfen um sich umfangreiche raubkopiesammlungen anzulegen und somit auch die leitung auslasten.
auf dem server läuft ein DHCP welcher die thin-clients (und auch die PCs der lehrer) mit IP-adressen versorgt.
es kommt des weiteren ständig zu adresskonflikten weil irgendwelche privaten rechner mit fest eingetragener IP im netzwerk sind...
die DHCPs der Router und Accesspoints sind natürlich deaktiviert aber langsam kommt es mir so vor als würde irgend ein scherzkeks manchmal einen DHCP anwerfen um konflikte zu verursachen.
mir fehlt jedenfalls die nötige kontrolle um zu verhindern, dass sich jeder schüler privat einfach zugang verschafft und 24/7 irgendwelche downloadstations laufen lässt und meinen DHCP beeinflusst.
wie lässt sich diese situation verbessern?
mir wäre eine server-seitige lösung am liebsten...
danke im voraus
ich habe ein kleines problem mit einem netzwerk in einer bildungseinrichtung...
es ist eine windows 2003 R2 TS domäne bei der sich die benutzer per thin-client einloggen und arbeiten.
leider gibt es in dem netzwerk 2 WLAN router über welche die schüler (es ist ein internat) in ihrer freizeit unbeufsichtigt zugang haben mit ihren privaten notebooks oder rechnern.
das führt natürlich dazu, dass selbige sich über das WLAN einloggen und ihre fileshare-software anwerfen um sich umfangreiche raubkopiesammlungen anzulegen und somit auch die leitung auslasten.
auf dem server läuft ein DHCP welcher die thin-clients (und auch die PCs der lehrer) mit IP-adressen versorgt.
es kommt des weiteren ständig zu adresskonflikten weil irgendwelche privaten rechner mit fest eingetragener IP im netzwerk sind...
die DHCPs der Router und Accesspoints sind natürlich deaktiviert aber langsam kommt es mir so vor als würde irgend ein scherzkeks manchmal einen DHCP anwerfen um konflikte zu verursachen.
mir fehlt jedenfalls die nötige kontrolle um zu verhindern, dass sich jeder schüler privat einfach zugang verschafft und 24/7 irgendwelche downloadstations laufen lässt und meinen DHCP beeinflusst.
wie lässt sich diese situation verbessern?
mir wäre eine server-seitige lösung am liebsten...
danke im voraus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 114873
Url: https://administrator.de/contentid/114873
Printed on: April 18, 2024 at 17:04 o'clock
9 Comments
Latest comment
wie wäre es mit einem Subnetz für die PC's welche per WLAN Verbunden werden?
ich habe leider keine kontrolle und auch keinen zugriff auf die privaten pcs der schüler... das wlan ist ja eben zu diesem zweck eingerichtet worden, dass die schüler nach dem unterricht
surfen können usw. die können also ihr notebook so konfigurieren wie sie wollen und beeinträchtigen durch unsachgemäße einstellung den prodktivbetrieb
surfen können usw. die können also ihr notebook so konfigurieren wie sie wollen und beeinträchtigen durch unsachgemäße einstellung den prodktivbetrieb
Hm als erstes mal per VLAN die 2 voneinander komplett abschotten
und dann noch nen router dazwischen hängen sodass die in einem eigenen "netzwerk" ihren Unsinn treiben können.
wie wärs mit der lösung?
und dann noch nen router dazwischen hängen sodass die in einem eigenen "netzwerk" ihren Unsinn treiben können.
wie wärs mit der lösung?
Ich würde mit ner IP-Cop arbeiten. Das Wlan bekommt einen extra Adressbereich und Netzwerkkarte.
Dann würde ich die Ports sperren und mit einem http-Filter alle Seiten sperren, auf die die Kids nicht gehen dürfen
Damit sollten die meisten schonmal abgeschreckt werden.
Was das dhcp Problem angeht, was sagen denn die Logs des Servers? Reichen die IP-Adressen vielleicht nicht aus?
Wenn sie ausreichen sollten, so kann es gut möglich sein, dass ein Schüler auf seinem Notebook einen dhcp Server laufen lässt um sie zu ärgern. Das Problem wäre aber mit der Trennung der Netze auch vorbei, dann kann der Schüler höchstens noch seine Mitschüler mit dem 2. dhcp ärgern.
Hoffe ich konnte ein wenig helfen.
Gruß
Dann würde ich die Ports sperren und mit einem http-Filter alle Seiten sperren, auf die die Kids nicht gehen dürfen
Damit sollten die meisten schonmal abgeschreckt werden.
Was das dhcp Problem angeht, was sagen denn die Logs des Servers? Reichen die IP-Adressen vielleicht nicht aus?
Wenn sie ausreichen sollten, so kann es gut möglich sein, dass ein Schüler auf seinem Notebook einen dhcp Server laufen lässt um sie zu ärgern. Das Problem wäre aber mit der Trennung der Netze auch vorbei, dann kann der Schüler höchstens noch seine Mitschüler mit dem 2. dhcp ärgern.
Hoffe ich konnte ein wenig helfen.
Gruß
Zitat von @ExtremistenSepp:
ich habe leider keine kontrolle und auch keinen zugriff auf die
privaten pcs der schüler... das wlan ist ja eben zu diesem zweck
eingerichtet worden, dass die schüler nach dem unterricht
surfen können usw. die können also ihr notebook so
konfigurieren wie sie wollen und beeinträchtigen durch
unsachgemäße einstellung den prodktivbetrieb
ich habe leider keine kontrolle und auch keinen zugriff auf die
privaten pcs der schüler... das wlan ist ja eben zu diesem zweck
eingerichtet worden, dass die schüler nach dem unterricht
surfen können usw. die können also ihr notebook so
konfigurieren wie sie wollen und beeinträchtigen durch
unsachgemäße einstellung den prodktivbetrieb
Also das die Schüler überhaupt die Möglichkeit haben den Produktivbetrieb zu stören deutet schonmal auf eine unsachgemässe Einrichtung des Netzwerkes hin.
Du möchtest eine Serverseitige Lösung und Du möchtest/kannst die privaten PCs der Schüler nicht beeinflussen?
Dann trenn doch bitte einfach beide Netzwerke, da die beiden Netzwerke schlicht nichts mit einander zu tun haben
Dazu richtest Du ein Subnetz für die Schüler (Netz S)ein und eines für Eure produktive Umgebung (Netz P).
Beide Netzwerke hängst Du an den Router der dann für das Netz S den DHCP stellt. Netz P hat ja offensichtlich einen Server der dann für das Netz P den DHCP etc. stellt.
Falls Du die Bandbreite nicht komplett dem Netz S überlassen möchtest kannst Du natürlich die DSL-Bandbreite auch zu einem gewissen Prozentsatz für Netz P reservieren.
All das setzt allerdings vorraus das Du gewisse Grundkenntnisse von Netzwerken und Netzwerkprotokollen hast. Ausserdem wird nicht jeder Router die notwendigen Vorraussetzungen haben.
Dann nimm dir doch einfach einen ManagementSwitch und gib da die MAC Adressen ein die Zugriff haben sollen und dann bekommen die anderen keinen Zugriff mehr.^^
Gruß Enrico
Gruß Enrico
VLAN wäre bestimmt eine gute lösung allerdings bezweifle ich, dass sich das mit dem vorhandenen routern verwirklichen lässt. sind recht günstige exemplare...
es ist auch schon ein squid proxy im netzwerk der verhindert dass böse seiten angeschaut werden
was den adressbereich angeht kann ich sicher sagen dass er ausreichend ist.
die netzwerke kann ich nicht so einfach trennen weil sie sonst nicht mehr ins internet kommen... oder wie sollte ich da vorgehen?
es ist auch schon ein squid proxy im netzwerk der verhindert dass böse seiten angeschaut werden
was den adressbereich angeht kann ich sicher sagen dass er ausreichend ist.
die netzwerke kann ich nicht so einfach trennen weil sie sonst nicht mehr ins internet kommen... oder wie sollte ich da vorgehen?
Ins Internet kommen die Rechner trotzdem alle, sie werden ja dann dementsprechend von der Firewall geroutet.
Ich denke am einfachsten kannst du das wirklich mit einer IP-Cop realisieren.
Da gibt es gute Dokumentationen zu und sie ist kostenlos.
Ausserdem ist sie recht stabil und leicht über ein Webinterface zu konfigurieren.
Wenn du natürlich in der Linuxkonsole fit bist, dann ist das natürlich immer die schönere Lösung
In der neuen Version gibt es sogar extra Einstellungen für öffentliche Wlans, damit verhindert wird, dass sie auf die anderen Netze zugreifen können.
Ich denke am einfachsten kannst du das wirklich mit einer IP-Cop realisieren.
Da gibt es gute Dokumentationen zu und sie ist kostenlos.
Ausserdem ist sie recht stabil und leicht über ein Webinterface zu konfigurieren.
Wenn du natürlich in der Linuxkonsole fit bist, dann ist das natürlich immer die schönere Lösung
In der neuen Version gibt es sogar extra Einstellungen für öffentliche Wlans, damit verhindert wird, dass sie auf die anderen Netze zugreifen können.
Danke für die Hilfe, es wurde nun eine MAC-Adressenfilterung bei den Accesspoints eingerichtet.
Der Kunde möchte die Anschaffungskosten eines VLAN-fähigen Switches auf diesem Wege umgehen.
Der Kunde möchte die Anschaffungskosten eines VLAN-fähigen Switches auf diesem Wege umgehen.
