13
Internet für domänenferne User sperren (WinServer 2003, ISA, AD, Debian Firewall)
Situation: Schulnetzwerk mit Schulkonsole, Windows Server 2003, ISA-Server und vorgeschaltet eine Debian Firewall
Alle erlaubten Rechner sind übers AD in die Domäne regulär eingebunden und werden anschließend von der Schulkonsole verwaltet. Läuft soweit.
ABER: es hängen sich immer mal wieder irgendwelche Leute per Notebook/LAN-Kabel ins Netz und haben dadurch auch problemlos Internetzugang.
ZIEL: "fremde" PCs, die nicht der Domäne angehören, sollen keinen Internetzugang mehr haben (ist auch ein rechtliches Problem) und auch sonst natürlich nicht aufs Netzwerk zugreifen können.
Wie schaffe ich das? Danke für jeden Tipp!!
ABER: es hängen sich immer mal wieder irgendwelche Leute per Notebook/LAN-Kabel ins Netz und haben dadurch auch problemlos Internetzugang.
ZIEL: "fremde" PCs, die nicht der Domäne angehören, sollen keinen Internetzugang mehr haben (ist auch ein rechtliches Problem) und auch sonst natürlich nicht aufs Netzwerk zugreifen können.
Wie schaffe ich das? Danke für jeden Tipp!!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 131890
Url: https://administrator.de/contentid/131890
Printed on: April 24, 2024 at 23:04 o'clock
13 Comments
Latest comment
Moin,
ich nehme mal an ihr verwendet den ISA-Server als Proxy? Am ISA-Server einfach konfigurieren, dass nur "Authentifizierte Benutzer" ins Internet dürfen.
Gruß
ich nehme mal an ihr verwendet den ISA-Server als Proxy? Am ISA-Server einfach konfigurieren, dass nur "Authentifizierte Benutzer" ins Internet dürfen.
Gruß
Hallo,
am besten sollte das per Proxy mit Active Directory Authentifizierung zu machen sein.
Die Firewall darf dann natürlich nix rauslassen was nicht vom Proxy kommt.
Am einfachsten sollte sowas mit ner fertigen Linux Proxy Distribution wie IPCop, Untangle, Endian o.ä. zu machen sein, oder halt
die Linux Distri deiner Wahl plus Squid mit Ntlm_auth.
am besten sollte das per Proxy mit Active Directory Authentifizierung zu machen sein.
Die Firewall darf dann natürlich nix rauslassen was nicht vom Proxy kommt.
Am einfachsten sollte sowas mit ner fertigen Linux Proxy Distribution wie IPCop, Untangle, Endian o.ä. zu machen sein, oder halt
die Linux Distri deiner Wahl plus Squid mit Ntlm_auth.
Ja genau, meines Erachtens sollte dort auch angesetzt werden.
Aber (hab mit ISA wenig Erfahrung): wo muss ich da rein?? Zugriffsrichtlinie?
Aber (hab mit ISA wenig Erfahrung): wo muss ich da rein?? Zugriffsrichtlinie?
Am ISA-Server einfach konfigurieren, dass nur "Authentifizierte Benutzer" ins Internet dürfen.
Auch Firefox und Safari können sich (auch mit "Integrierter "Authentifikation) als nicht-Domain-Mitglieder am ISA anmelden.
Du könntest jetzt entweder unmengen von Zeit in 802.1x (unsicher) oder in "Domain Isolation" (siehe Technet) inevstieren, oder du musst es hinnehmen und an einem Übeltäter ein Exempel statuieren.
Grüße
Max
Eine Endian Firewall hängt ja separat davor - aber wie kann die unterscheiden, ob der Benutzer authentifizierter Domänenbenutzer ist oder nicht? Oder vielmehr: ob der PC der Domäne angehört? Ich möchte auch nicht, dass die sich mit fremden Rechnern authentifizieren (es ist teilweise recht einfach, username und pw zu erraten, da viele Schüler).
Es muss doch irgendwie ohne großes Gefrickel gehen... Wenn ich, sagen wir, bei Siemens oder einem anderen großen Betrieb mein Netbook ans LAN hänge, werde ich ja wohl kaum dort mal schnell meine Mails abrufen können. Der Server wird doch erkennen können, dass mein Gerät dort nix zu suchen hat. Sowas suche ich halt...
Ja, sowas gibt es.
Die einzige sichere Lösung ist aber "Domain Isolation".
Alle anderen Lösungen wie reservierte DHCP-Bereiche, MAC-ID-Listen, 802.1x sind Bastellösungen, die jeder mit einem Funken Ahnung in 20 Sek. umgehen kann.
Grüße
Max
Die einzige sichere Lösung ist aber "Domain Isolation".
Alle anderen Lösungen wie reservierte DHCP-Bereiche, MAC-ID-Listen, 802.1x sind Bastellösungen, die jeder mit einem Funken Ahnung in 20 Sek. umgehen kann.
Grüße
Max
Hallo,
naja, zu erkennen ob der PC in der Domäne ist wird wohl so nicht gehen, sondern nur der User wird angezeigt bzw. gespeichert bei der AD Authentifizierung.
Das liese sich dann halt per IP und Mac Filterung machen, was aber höchstens ein zusätzlicher Part sein darf weil es viel zu leich zu umgehen ist.
(Freie IP aus der entsprechenden Range einstellen und Mac anpassen).
Am einfachstenwäre es wohl im AD die Passwort komplexität zu erhöhen, dann ist schnell nix mehr mit erraten.
Bezüglich der Endian:
http://docs.endian.com/archive/2.1/efw.proxy.http.html
Ansonsten gibt es natürlich auch noch so geschichten wie NAC, die einen Rechner wenn er nicht den Anforderungen entspricht (sprich nicht in der Domäne ist)
in ein extra VLAN steckt, in dem er dann nix mehr machen kann.
http://de.wikipedia.org/wiki/Network_Admission_Control
naja, zu erkennen ob der PC in der Domäne ist wird wohl so nicht gehen, sondern nur der User wird angezeigt bzw. gespeichert bei der AD Authentifizierung.
Das liese sich dann halt per IP und Mac Filterung machen, was aber höchstens ein zusätzlicher Part sein darf weil es viel zu leich zu umgehen ist.
(Freie IP aus der entsprechenden Range einstellen und Mac anpassen).
Am einfachstenwäre es wohl im AD die Passwort komplexität zu erhöhen, dann ist schnell nix mehr mit erraten.
Bezüglich der Endian:
http://docs.endian.com/archive/2.1/efw.proxy.http.html
Ansonsten gibt es natürlich auch noch so geschichten wie NAC, die einen Rechner wenn er nicht den Anforderungen entspricht (sprich nicht in der Domäne ist)
in ein extra VLAN steckt, in dem er dann nix mehr machen kann.
http://de.wikipedia.org/wiki/Network_Admission_Control
Wenn der ISA-Server Mitglied der Domäne oder mittels LDAP auf das AD zugreifen kann ganz einfach wie oben schon erwähnt in den Policies der ISA den Internetzugang nur für bestimmte Gruppen freischalten. Dabei musst du natürlich sichergehen, dass die Rechner nur über den Proxy ins Internet gelgangen können.
EDIT:
Klar geht das aber muss man dann ein Benutzernamen und Passwort eines AD-Benutzers eingeben.
Zitat von @dog:
Auch Firefox und Safari können sich (auch mit "Integrierter "Authentifikation) als nicht-Domain-Mitglieder am ISA
anmelden.
Auch Firefox und Safari können sich (auch mit "Integrierter "Authentifikation) als nicht-Domain-Mitglieder am ISA
anmelden.
Klar geht das aber muss man dann ein Benutzernamen und Passwort eines AD-Benutzers eingeben.
Ja und du kannst davon ausgehen, dass in einer Schule auch jeder Schüler die Zugangsdaten für sein eigenes Konto oder für das allgemeine Gast / Gast Konto kennt 
Das stimmt wohl auch wieder. Dann bleibt wirklich nur noch Domänenisolation wie dog bereits gesagt hat. http://www.microsoft.com/germany/technet/datenbank/articles/900345.mspx
Leichter wäre es natürlich ein Switch zu holen, das MAC-basierte ACLs kann, nur ist das alles andere als sicher, wenn die Schüler sich ein bisschen auskennen.
Leichter wäre es natürlich ein Switch zu holen, das MAC-basierte ACLs kann, nur ist das alles andere als sicher, wenn die Schüler sich ein bisschen auskennen.
Vielen Dank für den Link und die vielen Infos. Ich glaube, ich werde mich wohl mal mit der Domänenisolation/ISsec beschäftigen. Müsste ja eigentlich der richtige Ansatz sein.
