Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

MS Server 2003 - RAS-Richtlinie - Einwahl über MAC-Adresse beschränken -mobile Sicherheit

Frage Microsoft Windows Server

Mitglied: glorias

glorias (Level 1) - Jetzt verbinden

14.02.2011, aktualisiert 13:02 Uhr, 4589 Aufrufe, 4 Kommentare

"Es werde Verbindung.."

Hallo an alle VPN-RAS Spezialisten!

Ausgangssituation:
Server 2003 mit bestehendem funktionierenten RAS - Richtlinien auf NAS-Port-Type: Virtual(VPN); Windows-Groups(AD);
Die Firewall lässt nur Clients durch, deren fixe IP eingetragen ist.

Änderung:
Nun ist es so, das wir immer mehr mobile Mitarbeiter haben, und diese natürlich nicht über eine fixe IP einzuschränken sind.
Deswegen dachte ich an eine zweite Regel in der Firewall sowie in den RAS-Richtlinien welche die MAC-Adresse abfrägt.
In der Hilfe der RAS-Richtlinien ist leider nicht beschrieben unter welchem Attribut ich die MAC-Adresse eintragen kann.

Könnt Ihr mir da bitte weiterhelfen?

Liebe Grüße
glorias

Anhang Auszug RAS-Hilfe:
Einführung in die RAS-Richtlinien
......
Nach der Autorisierung der Verbindung können auch mithilfe von RAS-Richtlinien die folgenden Verbindungseinschränkungen angegeben werden:
• Leerlaufzeit
• Maximale Sitzungslänge
• Verschlüsselungsstärke
• IP-Paketfilter
• Erweiterte Einschränkungen:
• IP-Adresse für PPP-Verbindungen
• Statische Routen
Darüber hinaus können Sie Verbindungseinschränkungen anhand der folgenden Einstellungen ändern:
• Gruppenmitgliedschaft
• Verbindungstyp
• Uhrzeit
• Authentifizierungsmethoden
• Zugriffsserveridentität
• Rufnummer oder MAC-Adresse des Zugriffsclients
• Ob der Zugriff ohne Authentifizierung zugelassen ist
Mitglied: Phalanx82
14.02.2011 um 12:21 Uhr
Hallo,

ich habe gerade selbst nachgeschaut im RAS Server nach einer Option für MACs,
gibts dort nicht ggf. wo anders einzustellen, wüsste aber nicht wo.

Macht aber auch alles garkeinen Sinn, denn dir ist sicherlich bekannt das man eine
Mac mit 3 Mausklicks umbiegen kann? Deine vermeindliche Erhöhung der Sicherheit
wäre somit ohnehin nur Augenwischerei, wahrscheinlich hat MS daher auch keine
solche Funktion eingebaut in den RAS Server sondern eine reine IP Filterung.

Außerdem meine ich gehört zu haben das div. UMTS Sticks/Modems/whatever
unter Umständen nicht mit ihrer öffentlichen IP Adresse beim Ziel aufschlagen sondern
nur intern umgeroutet werden im Carrier Netz und deren Gateway letztendlich mit der
Anfrage bei dir aufschlägt.

Dazu sollte ich erwähnen, das die meisten Anbieter dieser Surfsticks das GRE Protokoll
sperren, somit kein PPTP VPN funktioniert.

Alternative wäre hier OpenVPN, ggf. hat deine Firewall sogar einen eingebauten OpenVPN
Server an Board.


Mfg.
Bitte warten ..
Mitglied: glorias
14.02.2011 um 13:09 Uhr
Hallo!

Danke für die rasche Reaktion - ich habe einen Auszug aus der RAS-Hilfe zu meinem Original Thread eingefügt. Da steht Einschränkung über MAC Adresse.

Die Methode über einen VPN-Client(Firewall bietet eigenes VPN an), haben wir bereits getestet, ist aber sehr uncomfortable, und jeder Client benötigt eine
eigene Softwarelizenz und Installation. Und unsere Firewall hat dann bei zeitgleichen Verbindungen regelmässig ein hung up.....

Deswegen würde ich gerne RAS verwenden. Wie lösen das andere KMU's?

LG
glorias
Bitte warten ..
Mitglied: Phalanx82
14.02.2011 um 15:33 Uhr
Hallo,

wie gesagt Mac Filter ist Augenwischerei und hällt noch nicht mal Script Kiddys ab,
wenn sie es denn auf einen Einbruch abgesehen haben.

PPTP VPN über RAS ist ne feine Sache, nutzen wir auch.

http://www.serverhowto.de/Teil-4-Einrichten-eines-VPN-Servers.60.0.html

wäre ein Beispiel für ne Anleitung wie man das einrichtet. Wir benutzen z.B. für VPN
extra Konten die Keine Domain Zugehörigkeit besitzen, somit auch auf keine Ressourcen
im Netz zugreifen können ohne das Verbinden von Netzlaufwerken mit PW Abfrage...

Als Alternative nannte ich dir OpenVPN, da kannst du dann auch mit Zertifikaten arbeiten,
die du dir selbst erstellen kannst und diese auch selbst sperren kannst. Dazu kommt noch
eine PW Abfrage. Ist also relativ sicher das ganze. Man müsste schon das Cert klauen +
VPN Zugangsdaten incl. Passwort um rein zu kommen und selbst dann haste in einem
richtig eingerichteten AD noch keine Rechte im lokalen Netz.

Vergiss den Käse mit MAC Filter, das ist eine Totgeburt aus längst vergangener Zeit wo man
es nicht besser wusste.


Mfg.
Bitte warten ..
Mitglied: glorias
14.02.2011 um 22:31 Uhr
Guten Abend Phalanax82!

Danke nochmals. Betreffend der lokalen Konten - d.h. der RAS Server darf nicht auf einem Domaincontroller installiert sein?

mfg
glorias
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Exchange Server
gelöst Microsoft Excange Server 2007 auf Windows Server 2003 Installieren? (9)

Frage von Herbrich19 zum Thema Exchange Server ...

Windows Server
gelöst Suche Windows Server 2003 Enterprise ISO (8)

Frage von Herbrich19 zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Microsoft
Ordner mit LW-Buchstaben versehen und benennen (19)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...