Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Internet für domänenferne User sperren (WinServer 2003, ISA, AD, Debian Firewall)

Frage Linux Debian

Mitglied: Elektroschrott

Elektroschrott (Level 1) - Jetzt verbinden

17.12.2009 um 15:04 Uhr, 7762 Aufrufe, 13 Kommentare

Situation: Schulnetzwerk mit Schulkonsole, Windows Server 2003, ISA-Server und vorgeschaltet eine Debian Firewall

Alle erlaubten Rechner sind übers AD in die Domäne regulär eingebunden und werden anschließend von der Schulkonsole verwaltet. Läuft soweit.
ABER: es hängen sich immer mal wieder irgendwelche Leute per Notebook/LAN-Kabel ins Netz und haben dadurch auch problemlos Internetzugang.
ZIEL: "fremde" PCs, die nicht der Domäne angehören, sollen keinen Internetzugang mehr haben (ist auch ein rechtliches Problem) und auch sonst natürlich nicht aufs Netzwerk zugreifen können.

Wie schaffe ich das? Danke für jeden Tipp!!
Mitglied: Stefan12
17.12.2009 um 15:09 Uhr
Moin,

ich nehme mal an ihr verwendet den ISA-Server als Proxy? Am ISA-Server einfach konfigurieren, dass nur "Authentifizierte Benutzer" ins Internet dürfen.

Gruß
Bitte warten ..
Mitglied: 45877
17.12.2009 um 15:11 Uhr
Hallo,

am besten sollte das per Proxy mit Active Directory Authentifizierung zu machen sein.
Die Firewall darf dann natürlich nix rauslassen was nicht vom Proxy kommt.

Am einfachsten sollte sowas mit ner fertigen Linux Proxy Distribution wie IPCop, Untangle, Endian o.ä. zu machen sein, oder halt
die Linux Distri deiner Wahl plus Squid mit Ntlm_auth.
Bitte warten ..
Mitglied: Elektroschrott
17.12.2009 um 15:17 Uhr
Ja genau, meines Erachtens sollte dort auch angesetzt werden.
Aber (hab mit ISA wenig Erfahrung): wo muss ich da rein?? Zugriffsrichtlinie?
Bitte warten ..
Mitglied: dog
17.12.2009 um 15:17 Uhr
Am ISA-Server einfach konfigurieren, dass nur "Authentifizierte Benutzer" ins Internet dürfen.

Auch Firefox und Safari können sich (auch mit "Integrierter "Authentifikation) als nicht-Domain-Mitglieder am ISA anmelden.
Du könntest jetzt entweder unmengen von Zeit in 802.1x (unsicher) oder in "Domain Isolation" (siehe Technet) inevstieren, oder du musst es hinnehmen und an einem Übeltäter ein Exempel statuieren.

Grüße

Max
Bitte warten ..
Mitglied: Elektroschrott
17.12.2009 um 15:19 Uhr
Eine Endian Firewall hängt ja separat davor - aber wie kann die unterscheiden, ob der Benutzer authentifizierter Domänenbenutzer ist oder nicht? Oder vielmehr: ob der PC der Domäne angehört? Ich möchte auch nicht, dass die sich mit fremden Rechnern authentifizieren (es ist teilweise recht einfach, username und pw zu erraten, da viele Schüler).
Bitte warten ..
Mitglied: Elektroschrott
17.12.2009 um 15:24 Uhr
Es muss doch irgendwie ohne großes Gefrickel gehen... Wenn ich, sagen wir, bei Siemens oder einem anderen großen Betrieb mein Netbook ans LAN hänge, werde ich ja wohl kaum dort mal schnell meine Mails abrufen können. Der Server wird doch erkennen können, dass mein Gerät dort nix zu suchen hat. Sowas suche ich halt...
Bitte warten ..
Mitglied: dog
17.12.2009 um 15:31 Uhr
Ja, sowas gibt es.
Die einzige sichere Lösung ist aber "Domain Isolation".

Alle anderen Lösungen wie reservierte DHCP-Bereiche, MAC-ID-Listen, 802.1x sind Bastellösungen, die jeder mit einem Funken Ahnung in 20 Sek. umgehen kann.

Grüße

Max
Bitte warten ..
Mitglied: 45877
17.12.2009 um 15:35 Uhr
Hallo,

naja, zu erkennen ob der PC in der Domäne ist wird wohl so nicht gehen, sondern nur der User wird angezeigt bzw. gespeichert bei der AD Authentifizierung.
Das liese sich dann halt per IP und Mac Filterung machen, was aber höchstens ein zusätzlicher Part sein darf weil es viel zu leich zu umgehen ist.
(Freie IP aus der entsprechenden Range einstellen und Mac anpassen).

Am einfachstenwäre es wohl im AD die Passwort komplexität zu erhöhen, dann ist schnell nix mehr mit erraten.

Bezüglich der Endian:

http://docs.endian.com/archive/2.1/efw.proxy.http.html

Ansonsten gibt es natürlich auch noch so geschichten wie NAC, die einen Rechner wenn er nicht den Anforderungen entspricht (sprich nicht in der Domäne ist)
in ein extra VLAN steckt, in dem er dann nix mehr machen kann.

http://de.wikipedia.org/wiki/Network_Admission_Control
Bitte warten ..
Mitglied: Stefan12
17.12.2009 um 15:36 Uhr
Wenn der ISA-Server Mitglied der Domäne oder mittels LDAP auf das AD zugreifen kann ganz einfach wie oben schon erwähnt in den Policies der ISA den Internetzugang nur für bestimmte Gruppen freischalten. Dabei musst du natürlich sichergehen, dass die Rechner nur über den Proxy ins Internet gelgangen können.
Bitte warten ..
Mitglied: Stefan12
17.12.2009 um 15:43 Uhr
EDIT:

Zitat von dog:
Auch Firefox und Safari können sich (auch mit "Integrierter "Authentifikation) als nicht-Domain-Mitglieder am ISA
anmelden.

Klar geht das aber muss man dann ein Benutzernamen und Passwort eines AD-Benutzers eingeben.
Bitte warten ..
Mitglied: dog
17.12.2009 um 15:52 Uhr
Ja und du kannst davon ausgehen, dass in einer Schule auch jeder Schüler die Zugangsdaten für sein eigenes Konto oder für das allgemeine Gast / Gast Konto kennt
Bitte warten ..
Mitglied: Stefan12
17.12.2009 um 15:55 Uhr
Das stimmt wohl auch wieder. Dann bleibt wirklich nur noch Domänenisolation wie dog bereits gesagt hat. http://www.microsoft.com/germany/technet/datenbank/articles/900345.mspx
Leichter wäre es natürlich ein Switch zu holen, das MAC-basierte ACLs kann, nur ist das alles andere als sicher, wenn die Schüler sich ein bisschen auskennen.
Bitte warten ..
Mitglied: Elektroschrott
17.12.2009 um 23:27 Uhr
Vielen Dank für den Link und die vielen Infos. Ich glaube, ich werde mich wohl mal mit der Domänenisolation/ISsec beschäftigen. Müsste ja eigentlich der richtige Ansatz sein.
Bitte warten ..
Ähnliche Inhalte
Webbrowser
Internet für gewisse User sperren
gelöst Frage von BadgerWebbrowser11 Kommentare

Hallo Leute, mir ist klar, dass dieses Thema bereits tausende Male im Inet behandelt wurde. Allerdings möchte ich hier ...

Windows Server
AD - Accounts sperren sich ständig
gelöst Frage von AveiroCR7Windows Server10 Kommentare

Guten Tag an euch alle, wir haben ein bei uns ein Problem, das ein User-Account sich ständig sperren. Also ...

Debian
Debian - Internet Verbindung herstellen
gelöst Frage von NyradosDebian19 Kommentare

Hallo, Nachdem ich auf einen alten Laptop (64Bit) Debian draufgeschmissen hab, wollte ich als erstes apt-get update machen. Da ...

Debian
Mountpoint in Debian ohne Berechtigung für User
Frage von WinLiCLIDebian1 Kommentar

Ich habe ein Problem mit dem mounten eines Windows Laufwerks auf einem Linux Debian 6. Auf einem Debian hier ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 106 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 2 TagenInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
gelöst Frage von HelloWorldBatch & Shell20 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless8 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Router & Routing
Fritzbox Gastnetz - exposed Host - zur Sophos IPTV
Frage von medikopterRouter & Routing7 Kommentare

Hallo zusammen, ich habe eine Frage bezüglich des Fritz box Gastzugangs an einer Sophos UTM Home. An liebsten wäre ...