Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zugriff auf das Netzwerk selbst beschränken

Mitglied: diemilz

diemilz (Level 1) - Jetzt verbinden

02.12.2008, aktualisiert 03.12.2008, 6265 Aufrufe, 8 Kommentare

Ich administriere aktuell eine Berufsschule und wir planen ein neues Netzwerk. Mein Problem hört sich bestimmt doch sehr kompliziert an, ich versuche es mal so einfach wie möglich zu erklären.

Wir planen bei uns ein neues Netzwerk auf der Basis von Windows Server 2008, welches auf mehr Sicherheit und Stabilität ausgelegt ist. Dabei möchte ich auch realisieren, dass nur Rechner, die von mir explizit freigeschaltet werden, Zugang zum Netzwerk bekommen (Zugriff auf Server, Drucker, Internet, etc.). Unsere Schule hat rund 1400 Schüler, von denen etwa schätzungsweise 400 ein eigenes Laptop besitzen.

Das ganze soll dann so aussehen:
Wenn ein PC oder ein Laptop ins LAN angeschlossen wird, soll überprüft werden, ob bestimmte eindeutige Eigenschaften des Systems (z.B. die MAC-Adresse) in einer Whitelist vorhanden sind. Ist das der Fall, bekommt der Rechner eine IP zugewiesen und hat dann Zugriff auf das Netz. Ist dies nicht der Fall, bekommt er keine IP und hat auch keinen Zugriff, aber selbst wenn er sich eine IP von Hand einstellt, hat er keinen Zugriff. Wie kann ich das realisieren?

Für Zugriff über WLAN habe ich bereits eine Lösung gefunden, die aber noch nicht perfekt ist. Ich habe Access-Points von Linksys (den WAP2000), die ich über RADIUS anspreche (NAP-Server in Windows Server 2008). Die Benutzer authentifizieren sich mit ihrem normalen Benutzernamen und ihrem Passwort (WPA(2)-Enterprise). Nur möchte ich die Anmeldedaten gerne an die MAC-Adresse koppeln, aber anscheinend ist das im NAP-Server nicht möglich. Wie kann ich sicherstellen, dass das sich anmeldende Laptop auch wirklich das ist, für was es sich ausgibt? Die Möglichkeit von Zertifikaten habe ich auch im Auge, aber ich habe damit schon rumexperimentiert und kriege das nicht zum Laufen? Gibt es da ein HowTo für solche Fälle?

Wir haben an der Schule hier zwei CISCO-Experten, die CCNA Instructors sind. Wir verfügen über zwei CISCO Catalyst WG3560 TS-S Switche, die als Backbone der beiden großen Abteilungen dienen. Kann man die zur Authentifizierung verwenden und wenn ja wie?

Ich habe das Google-Orakel und die Suche hier schon bemüht, aber ich finde meist nur Themen über Zugriffsbeschränkungen auf Windows-Freigaben oder ich hab nicht richtig geschaut.

Ich hoffe, ihr könnt mir weiterhelfen und ich habe euch mit meiner Problematik nicht erschreckt. Ich bin auch noch nicht der erfahrenste Administrator, da ich letztes Jahr erst meine Ausbildung abgeschlossen habe.
Mitglied: harald21
02.12.2008 um 09:41 Uhr
Hallo,

die Cisco-Switche kannst du verwenden, um sicherzustellen, das auch mit manueller IP-Adresse kein Netzzugriff möglich ist (Stichwort: port security). Mit Windows allein läßt sich so etwas nicht realisieren.
Details findest du hier:
http://articles.techrepublic.com.com/5100-10878_11-6123047.html
http://www.itsyourip.com/cisco/configure-cisco-port-security-on-switche ...

mfg
Harald
Bitte warten ..
Mitglied: Kosh
02.12.2008 um 09:59 Uhr
Ein Schubs in die richtige Richtung:
http://de.wikipedia.org/wiki/802.1x

Aktuellere Managebare Switches können das durchgehend.
Nachteil dabei: Alle Switches in eurem Unternehmen müssen diese Authentifizierungsmethode unterstützen, sonst machts wenig Sinn.
Bitte warten ..
Mitglied: diemilz
02.12.2008 um 12:39 Uhr
Die Lösung mit den Cisco Switchen gefällt mir besser, da wir nicht durchgehend managebare Switche haben. Das Thema 802.1x hatte ich nämlich auch im Visier und setze es zum Teil für den Zugriff per WLAN ein. In den Artikeln zu Port Security steht aber nichts dazu drin, ob ich die MAC-Adressen nur pro Port oder allgemein zulassen kann. Denn ich glaube nicht, dass 132 MAC-Adressen pro Port ausreichen werden. Besser wäre es, wenn ich die MAC-Adressen allgemein in den Layer-3-Switch eintragen könnte, sodass diese auf allen Ports zugelassen ist. Wäre das möglich?
Bitte warten ..
Mitglied: aqui
02.12.2008 um 18:03 Uhr
Nein, das ist nicht möglich denn der L3 Switch forwardet ja nicht auf MAC Basis sondern auf IP Basis.
Macs gelten immer nur in einer per VLAN Basis...

Sollten deine CCNA Instructors eigentlich wie aus der Pistole geschossen wissen !
Auch verwunderlich das sie dir zum Thema Port Security scheinbar gar nichts gesagt haben....
Bitte warten ..
Mitglied: diemilz
03.12.2008 um 14:52 Uhr
Doch, haben sie, nachdem ich sie darauf hingewiesen habe. Anscheinend wird dieses Thema erst im CCNA 4 durchgenommen und die unterrichten aufgrund der mangelnden Zeit nur CCNA 1 und 2. Natürlich wissen sie es nicht mehr ganz auswendig, logisch, wenn man damit nicht jeden Tag zu tun hat.

Ich will ja nur, dass ich in einer Whitelist festlegen kann, welche PCs zugreifen dürfen. Diese Whitelist soll im Prinzip für den kompletten Server gelten, nicht für einzelne Ports. Ist das realisierbar?
Bitte warten ..
Mitglied: aqui
03.12.2008 um 15:17 Uhr
Auch ohne Cisco CC*** Marketing Schnickschnack und Pseudo Titeln sollte man sowas wissen, denn das können natürlich auch alle anderen Hersteller am Markt mit gleichem Umfang, Performance und zu erheblich geringeren Kosten !!!

Am besten löst du sowas mit zentraler MAC Authentifikation über einen Radius Server. Hat dann aber den Nachteil für dich das du die Macs einmal zentral pflegen musst.
Sonst bleibt dir nur 802.1x Authentifikation mit Username/Passwort oder Zertifikaten...
Für letzteres müssen deine Switches aber mitspielen (Features)

Fürs WLAN bietet sich dann auch eine CP Lösung an für Gäste und Benutzer die man ebenfalls über den Radius laufen lassen kann wie z.B. sowas...

https://www.administrator.de/WLAN_oder_LAN_Gastzugang_einrichten_mit_ein ...
Bitte warten ..
Mitglied: DerWoWusste
21.12.2008 um 14:19 Uhr
Was ich bei den überflogenen Antworten jetzt noch nicht entdeckt habe, war einzugehen auf die Domänenfunktion selbst. Die Doäne bzw. Domänenzugehörigkeit ist doch schon die Sicherheitsgrenze, die Du suchst. Ist in der Domäne eine Resource für "Jeder" freigegeben, heißt das eben nicht weltweit jeder, sondern jeder Domänenbenutzer.
Suchst Du nach "expliziter Freischaltung", so denke ich an Domänenzugehörigkeit:ja/nein.
Auch mit NAP bist Du sicher auf der richtigen Spur, da kann ich aber keine großen Erfahrungen weitergeben.
Bitte warten ..
Mitglied: muratkec
11.06.2009 um 10:52 Uhr
das gleiche problem hatten wir in unserer firma dann haben wir angefangen das Program Active Directory Management zu benutzen dadurch können wir jeden pc denn wir wollen auf die whitelist anlegen und jederzeit kontrolieren .
kannst du dir über Windows Server 2003 Administration Tools Pack instalieren .
das einziege problem was du haben würdest ist das du dann alle pc einfügen musst geht aber ca. 30 sekunden
Bitte warten ..
Ähnliche Inhalte
Windows Server
RDP Verbindung Zugriffe beschränken
Frage von tokra11Windows Server7 Kommentare

Hi zusammen, habe hier einen Win2012R2 Server auf welchem verschiedene Webanwendungen laufen. In der letzten Zeit habe ich erschreckend ...

Windows Server

Printserver - Zugriff auf Freigabe beschränken

Frage von sartoriWindows Server2 Kommentare

Hallo zusammen Wir haben einen Microsoft Print-Server (2012) in unserem Netzwerk installiert. Wenn ich nun im Windows Explorer mit ...

Server

Htaccess Zugriff auf Webseite über DDNS-FQDN beschränken

gelöst Frage von keine-ahnungServer4 Kommentare

Moin in's Rund, mal eine Frage an die, die sich in webservern und htaccess besser auskennen als ich also ...

Windows Server

RDP Zugriff auf einen Terminalserver auf bestimmte Clients zu beschränken ?

gelöst Frage von johanna-pWindows Server7 Kommentare

Hallo, gibt es eine Möglichkeit den RDP Zugriff auf einen Terminalserver auf bestimmte Clients zu beschränken ? Ich habe ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 2 TagenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 3 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Server
Standortvernetzung zu einem Strato VServer (Windows)
Frage von matzefratze81Windows Server10 Kommentare

Moin, ich komme aus einem Enterprise-Umfeld und habe den Fehler gemacht, dass ich mich auf ein kleines Unternehmen eingelassen ...

Grafikkarten & Monitore
4k EIZO Monitor, Fernseher und Splitter
Frage von LerxxeyGrafikkarten & Monitore9 Kommentare

Hallo Zusammen, vielleicht könnt ihr mir bei einem Problem helfen wo ich einfach nicht mehr weiterkomme Und zwar haben ...

TK-Netze & Geräte
Fax im Betrieb
Frage von gansa28TK-Netze & Geräte6 Kommentare

Hallo zusammen, Endlich wurden meine Gebete Erhört und der Rechner meines Bekannten dem ich etwas unter die Arme greife, ...

Windows Server
HyperV Failover Cluster Konzeption und Aufbau
Frage von snowboard86Windows Server5 Kommentare

Hallo liebe KollegInnen, Ich habe eine Frage zu Hyper V Failover-Clusters. Wir sind ein mittelständisches Handelsunternehmen und haben aktuell ...