Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

MS Server 2003 - RAS-Richtlinie - Einwahl über MAC-Adresse beschränken -mobile Sicherheit

Frage Microsoft Windows Server

Mitglied: glorias

glorias (Level 1) - Jetzt verbinden

14.02.2011, aktualisiert 13:02 Uhr, 4744 Aufrufe, 4 Kommentare

"Es werde Verbindung.."

Hallo an alle VPN-RAS Spezialisten!

Ausgangssituation:
Server 2003 mit bestehendem funktionierenten RAS - Richtlinien auf NAS-Port-Type: Virtual(VPN); Windows-Groups(AD);
Die Firewall lässt nur Clients durch, deren fixe IP eingetragen ist.

Änderung:
Nun ist es so, das wir immer mehr mobile Mitarbeiter haben, und diese natürlich nicht über eine fixe IP einzuschränken sind.
Deswegen dachte ich an eine zweite Regel in der Firewall sowie in den RAS-Richtlinien welche die MAC-Adresse abfrägt.
In der Hilfe der RAS-Richtlinien ist leider nicht beschrieben unter welchem Attribut ich die MAC-Adresse eintragen kann.

Könnt Ihr mir da bitte weiterhelfen?

Liebe Grüße
glorias

Anhang Auszug RAS-Hilfe:
Einführung in die RAS-Richtlinien
......
Nach der Autorisierung der Verbindung können auch mithilfe von RAS-Richtlinien die folgenden Verbindungseinschränkungen angegeben werden:
• Leerlaufzeit
• Maximale Sitzungslänge
• Verschlüsselungsstärke
• IP-Paketfilter
• Erweiterte Einschränkungen:
• IP-Adresse für PPP-Verbindungen
• Statische Routen
Darüber hinaus können Sie Verbindungseinschränkungen anhand der folgenden Einstellungen ändern:
• Gruppenmitgliedschaft
• Verbindungstyp
• Uhrzeit
• Authentifizierungsmethoden
• Zugriffsserveridentität
• Rufnummer oder MAC-Adresse des Zugriffsclients
• Ob der Zugriff ohne Authentifizierung zugelassen ist
Mitglied: Phalanx82
14.02.2011 um 12:21 Uhr
Hallo,

ich habe gerade selbst nachgeschaut im RAS Server nach einer Option für MACs,
gibts dort nicht ggf. wo anders einzustellen, wüsste aber nicht wo.

Macht aber auch alles garkeinen Sinn, denn dir ist sicherlich bekannt das man eine
Mac mit 3 Mausklicks umbiegen kann? Deine vermeindliche Erhöhung der Sicherheit
wäre somit ohnehin nur Augenwischerei, wahrscheinlich hat MS daher auch keine
solche Funktion eingebaut in den RAS Server sondern eine reine IP Filterung.

Außerdem meine ich gehört zu haben das div. UMTS Sticks/Modems/whatever
unter Umständen nicht mit ihrer öffentlichen IP Adresse beim Ziel aufschlagen sondern
nur intern umgeroutet werden im Carrier Netz und deren Gateway letztendlich mit der
Anfrage bei dir aufschlägt.

Dazu sollte ich erwähnen, das die meisten Anbieter dieser Surfsticks das GRE Protokoll
sperren, somit kein PPTP VPN funktioniert.

Alternative wäre hier OpenVPN, ggf. hat deine Firewall sogar einen eingebauten OpenVPN
Server an Board.


Mfg.
Bitte warten ..
Mitglied: glorias
14.02.2011 um 13:09 Uhr
Hallo!

Danke für die rasche Reaktion - ich habe einen Auszug aus der RAS-Hilfe zu meinem Original Thread eingefügt. Da steht Einschränkung über MAC Adresse.

Die Methode über einen VPN-Client(Firewall bietet eigenes VPN an), haben wir bereits getestet, ist aber sehr uncomfortable, und jeder Client benötigt eine
eigene Softwarelizenz und Installation. Und unsere Firewall hat dann bei zeitgleichen Verbindungen regelmässig ein hung up.....

Deswegen würde ich gerne RAS verwenden. Wie lösen das andere KMU's?

LG
glorias
Bitte warten ..
Mitglied: Phalanx82
14.02.2011 um 15:33 Uhr
Hallo,

wie gesagt Mac Filter ist Augenwischerei und hällt noch nicht mal Script Kiddys ab,
wenn sie es denn auf einen Einbruch abgesehen haben.

PPTP VPN über RAS ist ne feine Sache, nutzen wir auch.

http://www.serverhowto.de/Teil-4-Einrichten-eines-VPN-Servers.60.0.html

wäre ein Beispiel für ne Anleitung wie man das einrichtet. Wir benutzen z.B. für VPN
extra Konten die Keine Domain Zugehörigkeit besitzen, somit auch auf keine Ressourcen
im Netz zugreifen können ohne das Verbinden von Netzlaufwerken mit PW Abfrage...

Als Alternative nannte ich dir OpenVPN, da kannst du dann auch mit Zertifikaten arbeiten,
die du dir selbst erstellen kannst und diese auch selbst sperren kannst. Dazu kommt noch
eine PW Abfrage. Ist also relativ sicher das ganze. Man müsste schon das Cert klauen +
VPN Zugangsdaten incl. Passwort um rein zu kommen und selbst dann haste in einem
richtig eingerichteten AD noch keine Rechte im lokalen Netz.

Vergiss den Käse mit MAC Filter, das ist eine Totgeburt aus längst vergangener Zeit wo man
es nicht besser wusste.


Mfg.
Bitte warten ..
Mitglied: glorias
14.02.2011 um 22:31 Uhr
Guten Abend Phalanax82!

Danke nochmals. Betreffend der lokalen Konten - d.h. der RAS Server darf nicht auf einem Domaincontroller installiert sein?

mfg
glorias
Bitte warten ..
Ähnliche Inhalte
ISDN & Analoganschlüsse
Bintec RT3002 RAS Einwahl
Frage von thaenhusenISDN & Analoganschlüsse2 Kommentare

Hallo zusammen. Ich habe hier einen bintec RT3002 den wir für eine RAS-Einwahl (PPP) seit Jahren nutzen, da unser ...

Netzwerkgrundlagen
MAC Adresse - Virtuelle MAC Adresse
gelöst Frage von DerHahntrutNetzwerkgrundlagen7 Kommentare

Hallo Verbinde ich ein Wireless Gerät mit dem WLAN so sehe ich auf dem GW in der ARP eine ...

Windows Installation
WDS Server mit mehreren IP Adressen auf eine beschränken
Frage von nutzloser-userWindows Installation4 Kommentare

Hallo Community, ich habe einen virtuellen WDS Server (Win12R2) mit einer Netzwerkkarte am laufen. Z.B. 192.168.178.0/24 und 192.168.179.0/24. Derzeit ...

Windows Update
MS: Update-Server-Adressen OHNE Wildcards
gelöst Frage von mrserious73Windows Update17 Kommentare

Hallo zusammen, es gibt unzählige Threads dazu im Internet, doch keiner scheint eine Lösung zu liefern: Problemlos bekommt man ...

Neue Wissensbeiträge
Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 4 StundenMac OS X1 Kommentar

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser erreichbar sind. Leider fehlt ...

Datenschutz

Weitere Informationen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 11 StundenDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 13 StundenWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 16 StundenMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Microsoft Office
Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei
Anleitung von SarekHLMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von fyrb38Windows 1017 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...