Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Internet für domänenferne User sperren (WinServer 2003, ISA, AD, Debian Firewall)

Frage Linux Debian

Mitglied: Elektroschrott

Elektroschrott (Level 1) - Jetzt verbinden

17.12.2009 um 15:04 Uhr, 7722 Aufrufe, 13 Kommentare

Situation: Schulnetzwerk mit Schulkonsole, Windows Server 2003, ISA-Server und vorgeschaltet eine Debian Firewall

Alle erlaubten Rechner sind übers AD in die Domäne regulär eingebunden und werden anschließend von der Schulkonsole verwaltet. Läuft soweit.
ABER: es hängen sich immer mal wieder irgendwelche Leute per Notebook/LAN-Kabel ins Netz und haben dadurch auch problemlos Internetzugang.
ZIEL: "fremde" PCs, die nicht der Domäne angehören, sollen keinen Internetzugang mehr haben (ist auch ein rechtliches Problem) und auch sonst natürlich nicht aufs Netzwerk zugreifen können.

Wie schaffe ich das? Danke für jeden Tipp!!
Mitglied: Stefan12
17.12.2009 um 15:09 Uhr
Moin,

ich nehme mal an ihr verwendet den ISA-Server als Proxy? Am ISA-Server einfach konfigurieren, dass nur "Authentifizierte Benutzer" ins Internet dürfen.

Gruß
Bitte warten ..
Mitglied: 45877
17.12.2009 um 15:11 Uhr
Hallo,

am besten sollte das per Proxy mit Active Directory Authentifizierung zu machen sein.
Die Firewall darf dann natürlich nix rauslassen was nicht vom Proxy kommt.

Am einfachsten sollte sowas mit ner fertigen Linux Proxy Distribution wie IPCop, Untangle, Endian o.ä. zu machen sein, oder halt
die Linux Distri deiner Wahl plus Squid mit Ntlm_auth.
Bitte warten ..
Mitglied: Elektroschrott
17.12.2009 um 15:17 Uhr
Ja genau, meines Erachtens sollte dort auch angesetzt werden.
Aber (hab mit ISA wenig Erfahrung): wo muss ich da rein?? Zugriffsrichtlinie?
Bitte warten ..
Mitglied: dog
17.12.2009 um 15:17 Uhr
Am ISA-Server einfach konfigurieren, dass nur "Authentifizierte Benutzer" ins Internet dürfen.

Auch Firefox und Safari können sich (auch mit "Integrierter "Authentifikation) als nicht-Domain-Mitglieder am ISA anmelden.
Du könntest jetzt entweder unmengen von Zeit in 802.1x (unsicher) oder in "Domain Isolation" (siehe Technet) inevstieren, oder du musst es hinnehmen und an einem Übeltäter ein Exempel statuieren.

Grüße

Max
Bitte warten ..
Mitglied: Elektroschrott
17.12.2009 um 15:19 Uhr
Eine Endian Firewall hängt ja separat davor - aber wie kann die unterscheiden, ob der Benutzer authentifizierter Domänenbenutzer ist oder nicht? Oder vielmehr: ob der PC der Domäne angehört? Ich möchte auch nicht, dass die sich mit fremden Rechnern authentifizieren (es ist teilweise recht einfach, username und pw zu erraten, da viele Schüler).
Bitte warten ..
Mitglied: Elektroschrott
17.12.2009 um 15:24 Uhr
Es muss doch irgendwie ohne großes Gefrickel gehen... Wenn ich, sagen wir, bei Siemens oder einem anderen großen Betrieb mein Netbook ans LAN hänge, werde ich ja wohl kaum dort mal schnell meine Mails abrufen können. Der Server wird doch erkennen können, dass mein Gerät dort nix zu suchen hat. Sowas suche ich halt...
Bitte warten ..
Mitglied: dog
17.12.2009 um 15:31 Uhr
Ja, sowas gibt es.
Die einzige sichere Lösung ist aber "Domain Isolation".

Alle anderen Lösungen wie reservierte DHCP-Bereiche, MAC-ID-Listen, 802.1x sind Bastellösungen, die jeder mit einem Funken Ahnung in 20 Sek. umgehen kann.

Grüße

Max
Bitte warten ..
Mitglied: 45877
17.12.2009 um 15:35 Uhr
Hallo,

naja, zu erkennen ob der PC in der Domäne ist wird wohl so nicht gehen, sondern nur der User wird angezeigt bzw. gespeichert bei der AD Authentifizierung.
Das liese sich dann halt per IP und Mac Filterung machen, was aber höchstens ein zusätzlicher Part sein darf weil es viel zu leich zu umgehen ist.
(Freie IP aus der entsprechenden Range einstellen und Mac anpassen).

Am einfachstenwäre es wohl im AD die Passwort komplexität zu erhöhen, dann ist schnell nix mehr mit erraten.

Bezüglich der Endian:

http://docs.endian.com/archive/2.1/efw.proxy.http.html

Ansonsten gibt es natürlich auch noch so geschichten wie NAC, die einen Rechner wenn er nicht den Anforderungen entspricht (sprich nicht in der Domäne ist)
in ein extra VLAN steckt, in dem er dann nix mehr machen kann.

http://de.wikipedia.org/wiki/Network_Admission_Control
Bitte warten ..
Mitglied: Stefan12
17.12.2009 um 15:36 Uhr
Wenn der ISA-Server Mitglied der Domäne oder mittels LDAP auf das AD zugreifen kann ganz einfach wie oben schon erwähnt in den Policies der ISA den Internetzugang nur für bestimmte Gruppen freischalten. Dabei musst du natürlich sichergehen, dass die Rechner nur über den Proxy ins Internet gelgangen können.
Bitte warten ..
Mitglied: Stefan12
17.12.2009 um 15:43 Uhr
EDIT:

Zitat von dog:
Auch Firefox und Safari können sich (auch mit "Integrierter "Authentifikation) als nicht-Domain-Mitglieder am ISA
anmelden.

Klar geht das aber muss man dann ein Benutzernamen und Passwort eines AD-Benutzers eingeben.
Bitte warten ..
Mitglied: dog
17.12.2009 um 15:52 Uhr
Ja und du kannst davon ausgehen, dass in einer Schule auch jeder Schüler die Zugangsdaten für sein eigenes Konto oder für das allgemeine Gast / Gast Konto kennt
Bitte warten ..
Mitglied: Stefan12
17.12.2009 um 15:55 Uhr
Das stimmt wohl auch wieder. Dann bleibt wirklich nur noch Domänenisolation wie dog bereits gesagt hat. http://www.microsoft.com/germany/technet/datenbank/articles/900345.mspx
Leichter wäre es natürlich ein Switch zu holen, das MAC-basierte ACLs kann, nur ist das alles andere als sicher, wenn die Schüler sich ein bisschen auskennen.
Bitte warten ..
Mitglied: Elektroschrott
17.12.2009 um 23:27 Uhr
Vielen Dank für den Link und die vielen Infos. Ich glaube, ich werde mich wohl mal mit der Domänenisolation/ISsec beschäftigen. Müsste ja eigentlich der richtige Ansatz sein.
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
gelöst Powershell skript zum Auslesen der im AD angemeldeten User (2)

Frage von jan.kleinel zum Thema Windows Netzwerk ...

Microsoft Office
Excelsheet gesperrt durch nicht mehr vorhandenen AD-User (5)

Frage von Dopamin85 zum Thema Microsoft Office ...

Exchange Server
gelöst AD User lässt sich nicht im Public Calendar hinzufügen (6)

Frage von Brigomaglos zum Thema Exchange Server ...

Windows Server
gelöst Windows 2003 SBS User Profile Verschieben (2)

Frage von MultiStorm zum Thema Windows Server ...

Neue Wissensbeiträge
Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(5)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Windows 10

Das Windows 10 Creators Update ist auf dem Weg

(5)

Anleitung von BassFishFox zum Thema Windows 10 ...

Administrator.de Feedback

Tipp: Ungelöste Fragen ohne Antwort in Tickeransicht farblich hinterlegen

Tipp von pattern zum Thema Administrator.de Feedback ...

Viren und Trojaner

Neue Magazin Ausgabe: Malware und Angriffe abwehren

Information von Frank zum Thema Viren und Trojaner ...

Heiß diskutierte Inhalte
Windows Systemdateien
Warum System auf "C:" (29)

Frage von DzumoPRO zum Thema Windows Systemdateien ...

LAN, WAN, Wireless
Cisco SG200: Auf bestimmtem vLAN bestimmte TCP-Ports sperren (19)

Frage von SarekHL zum Thema LAN, WAN, Wireless ...

Windows Server
gelöst Update BackupExec 2015 auf 2016 führt zu SQL-Server Problem (16)

Frage von montylein1981 zum Thema Windows Server ...

Batch & Shell
gelöst Batch um Benutzer aus Sitzung abzumelden (15)

Frage von zeroblue2005 zum Thema Batch & Shell ...