Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

MS Server 2003 - RAS-Richtlinie - Einwahl über MAC-Adresse beschränken -mobile Sicherheit

Frage Microsoft Windows Server

Mitglied: glorias

glorias (Level 1) - Jetzt verbinden

14.02.2011, aktualisiert 13:02 Uhr, 4699 Aufrufe, 4 Kommentare

"Es werde Verbindung.."

Hallo an alle VPN-RAS Spezialisten!

Ausgangssituation:
Server 2003 mit bestehendem funktionierenten RAS - Richtlinien auf NAS-Port-Type: Virtual(VPN); Windows-Groups(AD);
Die Firewall lässt nur Clients durch, deren fixe IP eingetragen ist.

Änderung:
Nun ist es so, das wir immer mehr mobile Mitarbeiter haben, und diese natürlich nicht über eine fixe IP einzuschränken sind.
Deswegen dachte ich an eine zweite Regel in der Firewall sowie in den RAS-Richtlinien welche die MAC-Adresse abfrägt.
In der Hilfe der RAS-Richtlinien ist leider nicht beschrieben unter welchem Attribut ich die MAC-Adresse eintragen kann.

Könnt Ihr mir da bitte weiterhelfen?

Liebe Grüße
glorias

Anhang Auszug RAS-Hilfe:
Einführung in die RAS-Richtlinien
......
Nach der Autorisierung der Verbindung können auch mithilfe von RAS-Richtlinien die folgenden Verbindungseinschränkungen angegeben werden:
• Leerlaufzeit
• Maximale Sitzungslänge
• Verschlüsselungsstärke
• IP-Paketfilter
• Erweiterte Einschränkungen:
• IP-Adresse für PPP-Verbindungen
• Statische Routen
Darüber hinaus können Sie Verbindungseinschränkungen anhand der folgenden Einstellungen ändern:
• Gruppenmitgliedschaft
• Verbindungstyp
• Uhrzeit
• Authentifizierungsmethoden
• Zugriffsserveridentität
• Rufnummer oder MAC-Adresse des Zugriffsclients
• Ob der Zugriff ohne Authentifizierung zugelassen ist
Mitglied: Phalanx82
14.02.2011 um 12:21 Uhr
Hallo,

ich habe gerade selbst nachgeschaut im RAS Server nach einer Option für MACs,
gibts dort nicht ggf. wo anders einzustellen, wüsste aber nicht wo.

Macht aber auch alles garkeinen Sinn, denn dir ist sicherlich bekannt das man eine
Mac mit 3 Mausklicks umbiegen kann? Deine vermeindliche Erhöhung der Sicherheit
wäre somit ohnehin nur Augenwischerei, wahrscheinlich hat MS daher auch keine
solche Funktion eingebaut in den RAS Server sondern eine reine IP Filterung.

Außerdem meine ich gehört zu haben das div. UMTS Sticks/Modems/whatever
unter Umständen nicht mit ihrer öffentlichen IP Adresse beim Ziel aufschlagen sondern
nur intern umgeroutet werden im Carrier Netz und deren Gateway letztendlich mit der
Anfrage bei dir aufschlägt.

Dazu sollte ich erwähnen, das die meisten Anbieter dieser Surfsticks das GRE Protokoll
sperren, somit kein PPTP VPN funktioniert.

Alternative wäre hier OpenVPN, ggf. hat deine Firewall sogar einen eingebauten OpenVPN
Server an Board.


Mfg.
Bitte warten ..
Mitglied: glorias
14.02.2011 um 13:09 Uhr
Hallo!

Danke für die rasche Reaktion - ich habe einen Auszug aus der RAS-Hilfe zu meinem Original Thread eingefügt. Da steht Einschränkung über MAC Adresse.

Die Methode über einen VPN-Client(Firewall bietet eigenes VPN an), haben wir bereits getestet, ist aber sehr uncomfortable, und jeder Client benötigt eine
eigene Softwarelizenz und Installation. Und unsere Firewall hat dann bei zeitgleichen Verbindungen regelmässig ein hung up.....

Deswegen würde ich gerne RAS verwenden. Wie lösen das andere KMU's?

LG
glorias
Bitte warten ..
Mitglied: Phalanx82
14.02.2011 um 15:33 Uhr
Hallo,

wie gesagt Mac Filter ist Augenwischerei und hällt noch nicht mal Script Kiddys ab,
wenn sie es denn auf einen Einbruch abgesehen haben.

PPTP VPN über RAS ist ne feine Sache, nutzen wir auch.

http://www.serverhowto.de/Teil-4-Einrichten-eines-VPN-Servers.60.0.html

wäre ein Beispiel für ne Anleitung wie man das einrichtet. Wir benutzen z.B. für VPN
extra Konten die Keine Domain Zugehörigkeit besitzen, somit auch auf keine Ressourcen
im Netz zugreifen können ohne das Verbinden von Netzlaufwerken mit PW Abfrage...

Als Alternative nannte ich dir OpenVPN, da kannst du dann auch mit Zertifikaten arbeiten,
die du dir selbst erstellen kannst und diese auch selbst sperren kannst. Dazu kommt noch
eine PW Abfrage. Ist also relativ sicher das ganze. Man müsste schon das Cert klauen +
VPN Zugangsdaten incl. Passwort um rein zu kommen und selbst dann haste in einem
richtig eingerichteten AD noch keine Rechte im lokalen Netz.

Vergiss den Käse mit MAC Filter, das ist eine Totgeburt aus längst vergangener Zeit wo man
es nicht besser wusste.


Mfg.
Bitte warten ..
Mitglied: glorias
14.02.2011 um 22:31 Uhr
Guten Abend Phalanax82!

Danke nochmals. Betreffend der lokalen Konten - d.h. der RAS Server darf nicht auf einem Domaincontroller installiert sein?

mfg
glorias
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
gelöst MAC Adresse verändert sich? (35)

Frage von voidcount zum Thema Netzwerkmanagement ...

Exchange Server
Outlook Web Access auf IP Adresse beschränken (6)

Frage von touro411 zum Thema Exchange Server ...

Netzwerkgrundlagen
gelöst Doppelte MAC Adresse (3)

Frage von Marius.Follert zum Thema Netzwerkgrundlagen ...

Neue Wissensbeiträge
Windows Server

Umstellung SHA 1 auf SHA 2 - Migration der CA von CSP auf KSP

Tipp von Badger zum Thema Windows Server ...

Windows 10

Quato DTP94 unter Windows 10 x64 installieren und verwenden

Anleitung von anteNope zum Thema Windows 10 ...

Windows 10

Win10 1703 und Nutzerkennwörter bei Ersteinrichtung - erstaunliche Erkenntnis

(15)

Erfahrungsbericht von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Server-Hardware
HP DL380 G7: Booten vom USB via USB 3.1-PCI-e Karte möglich? (24)

Frage von Paderman zum Thema Server-Hardware ...

Windows 7
Bluesreens unternehmensweit (19)

Frage von SYS64738 zum Thema Windows 7 ...

LAN, WAN, Wireless
IP Adressen - Modem - Switch - Accesspoint (18)

Frage von teuferl82 zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
gelöst DNS ins mehreren Subnetzen (15)

Frage von joerg zum Thema Windows Netzwerk ...