Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Internet für domänenferne User sperren (WinServer 2003, ISA, AD, Debian Firewall)

Frage Linux Debian

Mitglied: Elektroschrott

Elektroschrott (Level 1) - Jetzt verbinden

17.12.2009 um 15:04 Uhr, 7702 Aufrufe, 13 Kommentare

Situation: Schulnetzwerk mit Schulkonsole, Windows Server 2003, ISA-Server und vorgeschaltet eine Debian Firewall

Alle erlaubten Rechner sind übers AD in die Domäne regulär eingebunden und werden anschließend von der Schulkonsole verwaltet. Läuft soweit.
ABER: es hängen sich immer mal wieder irgendwelche Leute per Notebook/LAN-Kabel ins Netz und haben dadurch auch problemlos Internetzugang.
ZIEL: "fremde" PCs, die nicht der Domäne angehören, sollen keinen Internetzugang mehr haben (ist auch ein rechtliches Problem) und auch sonst natürlich nicht aufs Netzwerk zugreifen können.

Wie schaffe ich das? Danke für jeden Tipp!!
Mitglied: Stefan12
17.12.2009 um 15:09 Uhr
Moin,

ich nehme mal an ihr verwendet den ISA-Server als Proxy? Am ISA-Server einfach konfigurieren, dass nur "Authentifizierte Benutzer" ins Internet dürfen.

Gruß
Bitte warten ..
Mitglied: 45877
17.12.2009 um 15:11 Uhr
Hallo,

am besten sollte das per Proxy mit Active Directory Authentifizierung zu machen sein.
Die Firewall darf dann natürlich nix rauslassen was nicht vom Proxy kommt.

Am einfachsten sollte sowas mit ner fertigen Linux Proxy Distribution wie IPCop, Untangle, Endian o.ä. zu machen sein, oder halt
die Linux Distri deiner Wahl plus Squid mit Ntlm_auth.
Bitte warten ..
Mitglied: Elektroschrott
17.12.2009 um 15:17 Uhr
Ja genau, meines Erachtens sollte dort auch angesetzt werden.
Aber (hab mit ISA wenig Erfahrung): wo muss ich da rein?? Zugriffsrichtlinie?
Bitte warten ..
Mitglied: dog
17.12.2009 um 15:17 Uhr
Am ISA-Server einfach konfigurieren, dass nur "Authentifizierte Benutzer" ins Internet dürfen.

Auch Firefox und Safari können sich (auch mit "Integrierter "Authentifikation) als nicht-Domain-Mitglieder am ISA anmelden.
Du könntest jetzt entweder unmengen von Zeit in 802.1x (unsicher) oder in "Domain Isolation" (siehe Technet) inevstieren, oder du musst es hinnehmen und an einem Übeltäter ein Exempel statuieren.

Grüße

Max
Bitte warten ..
Mitglied: Elektroschrott
17.12.2009 um 15:19 Uhr
Eine Endian Firewall hängt ja separat davor - aber wie kann die unterscheiden, ob der Benutzer authentifizierter Domänenbenutzer ist oder nicht? Oder vielmehr: ob der PC der Domäne angehört? Ich möchte auch nicht, dass die sich mit fremden Rechnern authentifizieren (es ist teilweise recht einfach, username und pw zu erraten, da viele Schüler).
Bitte warten ..
Mitglied: Elektroschrott
17.12.2009 um 15:24 Uhr
Es muss doch irgendwie ohne großes Gefrickel gehen... Wenn ich, sagen wir, bei Siemens oder einem anderen großen Betrieb mein Netbook ans LAN hänge, werde ich ja wohl kaum dort mal schnell meine Mails abrufen können. Der Server wird doch erkennen können, dass mein Gerät dort nix zu suchen hat. Sowas suche ich halt...
Bitte warten ..
Mitglied: dog
17.12.2009 um 15:31 Uhr
Ja, sowas gibt es.
Die einzige sichere Lösung ist aber "Domain Isolation".

Alle anderen Lösungen wie reservierte DHCP-Bereiche, MAC-ID-Listen, 802.1x sind Bastellösungen, die jeder mit einem Funken Ahnung in 20 Sek. umgehen kann.

Grüße

Max
Bitte warten ..
Mitglied: 45877
17.12.2009 um 15:35 Uhr
Hallo,

naja, zu erkennen ob der PC in der Domäne ist wird wohl so nicht gehen, sondern nur der User wird angezeigt bzw. gespeichert bei der AD Authentifizierung.
Das liese sich dann halt per IP und Mac Filterung machen, was aber höchstens ein zusätzlicher Part sein darf weil es viel zu leich zu umgehen ist.
(Freie IP aus der entsprechenden Range einstellen und Mac anpassen).

Am einfachstenwäre es wohl im AD die Passwort komplexität zu erhöhen, dann ist schnell nix mehr mit erraten.

Bezüglich der Endian:

http://docs.endian.com/archive/2.1/efw.proxy.http.html

Ansonsten gibt es natürlich auch noch so geschichten wie NAC, die einen Rechner wenn er nicht den Anforderungen entspricht (sprich nicht in der Domäne ist)
in ein extra VLAN steckt, in dem er dann nix mehr machen kann.

http://de.wikipedia.org/wiki/Network_Admission_Control
Bitte warten ..
Mitglied: Stefan12
17.12.2009 um 15:36 Uhr
Wenn der ISA-Server Mitglied der Domäne oder mittels LDAP auf das AD zugreifen kann ganz einfach wie oben schon erwähnt in den Policies der ISA den Internetzugang nur für bestimmte Gruppen freischalten. Dabei musst du natürlich sichergehen, dass die Rechner nur über den Proxy ins Internet gelgangen können.
Bitte warten ..
Mitglied: Stefan12
17.12.2009 um 15:43 Uhr
EDIT:

Zitat von dog:
Auch Firefox und Safari können sich (auch mit "Integrierter "Authentifikation) als nicht-Domain-Mitglieder am ISA
anmelden.

Klar geht das aber muss man dann ein Benutzernamen und Passwort eines AD-Benutzers eingeben.
Bitte warten ..
Mitglied: dog
17.12.2009 um 15:52 Uhr
Ja und du kannst davon ausgehen, dass in einer Schule auch jeder Schüler die Zugangsdaten für sein eigenes Konto oder für das allgemeine Gast / Gast Konto kennt
Bitte warten ..
Mitglied: Stefan12
17.12.2009 um 15:55 Uhr
Das stimmt wohl auch wieder. Dann bleibt wirklich nur noch Domänenisolation wie dog bereits gesagt hat. http://www.microsoft.com/germany/technet/datenbank/articles/900345.mspx
Leichter wäre es natürlich ein Switch zu holen, das MAC-basierte ACLs kann, nur ist das alles andere als sicher, wenn die Schüler sich ein bisschen auskennen.
Bitte warten ..
Mitglied: Elektroschrott
17.12.2009 um 23:27 Uhr
Vielen Dank für den Link und die vielen Infos. Ich glaube, ich werde mich wohl mal mit der Domänenisolation/ISsec beschäftigen. Müsste ja eigentlich der richtige Ansatz sein.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Batch & Shell
gelöst User und AD Gruppe finden - wie das Pferd aufzäumen (5)

Frage von H41mSh1C0R zum Thema Batch & Shell ...

Windows Server
gelöst AD-User einer AD-Gruppe auslesen und in ein File schreiben (15)

Frage von Estefania zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
Suche passender Treiber (12)

Frage von stolli zum Thema Windows Server ...

Peripheriegeräte
Wlan stört Funkmaus (11)

Frage von Falaffel zum Thema Peripheriegeräte ...

Peripheriegeräte
gelöst USB Festplatte verliert Laufwerksbuchstabe (9)

Frage von cese4321 zum Thema Peripheriegeräte ...