66027
Feb 03, 2009, updated at 12:38:30 (UTC)
5353
5
0
Netzwerk gegen Fremdzugriff absichern, zwischen zwei physikalischen Standorten, EG und OG - Windows 2003 Domäneninfrastruktur
Hallo Zusammen!
Wir haben vor kurzem zusätzliche Räume zugewiesen bekommen, die allerdings im Obergeschoss des mehrstöckigen Gebäudes sind, während die eigentliche Firma im Erdgeschoss untergebracht ist. Problem ist, dass die neuen Räume oben nur besetzt sind, wenn die Leute aus dem Außendienst auch mal im Haus sind (Absperren von Bürotüren baulich bedingt auch nicht möglich). Was mir da Kopfschmerzen bereitet ist, wie hindere ich fremde Leute daran, sich bei Abwesenheit von Mitarbeitern sich einfach bei uns ins Netzwerk einzustöpseln?
Situation:
3 Windows 2003 Domänenkontroller im Erdgeschoss, Netzwerkgröße >= 150, automatische IP Zuweisung über DHCP, Firewall Gateway mit Proxy für Internetzugang, physikalische Netzwerkanbindung vom EG zum OG
Die mögliche Lösung der MAC-Filterung über den Switch ist mir bekannt, ist jedoch nicht umsetzbar, da wir als Beraterhaus von unseren Kunden die Notebooks gestellt bekommen und somit jede Woche ein anderes Notebook haben, was wir quasi freischalten müssten. Bei >= 100 Mitarbeitern ein unglaublicher Aufwand und somit nicht realisierbar.
Danke im Voraus für jede Hilfestellung.
Wir haben vor kurzem zusätzliche Räume zugewiesen bekommen, die allerdings im Obergeschoss des mehrstöckigen Gebäudes sind, während die eigentliche Firma im Erdgeschoss untergebracht ist. Problem ist, dass die neuen Räume oben nur besetzt sind, wenn die Leute aus dem Außendienst auch mal im Haus sind (Absperren von Bürotüren baulich bedingt auch nicht möglich). Was mir da Kopfschmerzen bereitet ist, wie hindere ich fremde Leute daran, sich bei Abwesenheit von Mitarbeitern sich einfach bei uns ins Netzwerk einzustöpseln?
Situation:
3 Windows 2003 Domänenkontroller im Erdgeschoss, Netzwerkgröße >= 150, automatische IP Zuweisung über DHCP, Firewall Gateway mit Proxy für Internetzugang, physikalische Netzwerkanbindung vom EG zum OG
Die mögliche Lösung der MAC-Filterung über den Switch ist mir bekannt, ist jedoch nicht umsetzbar, da wir als Beraterhaus von unseren Kunden die Notebooks gestellt bekommen und somit jede Woche ein anderes Notebook haben, was wir quasi freischalten müssten. Bei >= 100 Mitarbeitern ein unglaublicher Aufwand und somit nicht realisierbar.
Danke im Voraus für jede Hilfestellung.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 107928
Url: https://administrator.de/contentid/107928
Printed on: April 19, 2024 at 18:04 o'clock
5 Comments
Latest comment
Deine drei Optionen:
a) Wie genannt: MAC-Filterung über Layer 2 Switches - unsicher
b) 802.1x mit RADIUS-Authentifizierung und Layer 2 Switches - Macht zwar bei WLAN sinn, bei verkabelten Netzwerken ist es aber relativ unsicher
c) VPN - teile die offenen Ports mit einem Switch extra ab und setze einen VPN-Router zwischen diesen Switch und normales Netzwerk - die sicherste Möglichkeit.
Wie du siehst - leicht umsetzbar ist keine von diesen Möglichkeiten:
a) geht für einen Switch zwar noch leicht, ist aber in 2 Minuten überlistet
b) ist zwar mit einem guten Layer 2 Switch leicht einzurichten, man braucht aber dank Microsofts total verpfrimelter Implementierung von RADIUS mindestens 5 Minuten pro Client um überhaupt zur Eingabemaske für Benutzername/Passwort zu kommen
c) ist am sichersten und am umständlichsten: hier muss idR noch auf jedem Client eine extra VPN-Clientsoftware installiert werden und die Einrichtung von VPNs war noch nie wirklich in 2 Klicken erledigt
Grüße
Max
a) Wie genannt: MAC-Filterung über Layer 2 Switches - unsicher
b) 802.1x mit RADIUS-Authentifizierung und Layer 2 Switches - Macht zwar bei WLAN sinn, bei verkabelten Netzwerken ist es aber relativ unsicher
c) VPN - teile die offenen Ports mit einem Switch extra ab und setze einen VPN-Router zwischen diesen Switch und normales Netzwerk - die sicherste Möglichkeit.
Wie du siehst - leicht umsetzbar ist keine von diesen Möglichkeiten:
a) geht für einen Switch zwar noch leicht, ist aber in 2 Minuten überlistet
b) ist zwar mit einem guten Layer 2 Switch leicht einzurichten, man braucht aber dank Microsofts total verpfrimelter Implementierung von RADIUS mindestens 5 Minuten pro Client um überhaupt zur Eingabemaske für Benutzername/Passwort zu kommen
c) ist am sichersten und am umständlichsten: hier muss idR noch auf jedem Client eine extra VPN-Clientsoftware installiert werden und die Einrichtung von VPNs war noch nie wirklich in 2 Klicken erledigt
Grüße
Max
Moin Moin
Aber mal ganz ehrlich:
Gruß L.
Was mir da Kopfschmerzen bereitet ist, wie hindere ich fremde Leute daran, sich bei Abwesenheit von Mitarbeitern sich einfach bei uns ins Netzwerk einzustöpseln?
Die Schmerzen kann ich verstehen. So wie ich das sehe hast du ohne Mac Filterung oder Reservierungen am DHCP keine Chance.Aber mal ganz ehrlich:
Absperren von Bürotüren baulich bedingt auch nicht möglich
Ihr zahlt keine Miete sondern ihr bekommt Geld dafür das Ihr die Etage nutzt oder?Gruß L.
Natürlich hast du noch eine andere Chance !!
1.) Wie bereits oben gesagt 802.1x mit Radius (ISA im Windows Server)
Oder
2.) Mit einem sog. Captive Portal (Webauthentifizierung)
Eine Lösungsbeschreibung (Tutorial) zu 2 findest du hier unter Netzwerke.
Bei 1. hilft das Handbuch deines LAN Switches !!
1.) Wie bereits oben gesagt 802.1x mit Radius (ISA im Windows Server)
Oder
2.) Mit einem sog. Captive Portal (Webauthentifizierung)
Eine Lösungsbeschreibung (Tutorial) zu 2 findest du hier unter Netzwerke.
Bei 1. hilft das Handbuch deines LAN Switches !!
Die Idee mit VPN ist gut, hätte ich eigentlich selbst drauf kommen müssen. Eine VPN Struktur haben wir bereits, jeder unserer Außendienstmitarbeiter ist damit ausgestattet. Rein theoretisch dürfte es ausreichen, das OG mit einer Linux Kiste (IPTABLES, DHCP) vom EG abzuschotten und nur eingehende VPN Verbindungen zuzulassen.
Danke für den Denkanstoß, werde das gleich mal ausprobieren.
Danke für den Denkanstoß, werde das gleich mal ausprobieren.
@logan
Sicherheit ist leider immer das Erste was über Bord geworfen wird, wenn gespart werden soll und nein, die Räumlichkeiten oben sind noch nicht mal billig. :/
Wie das Sprichwort schon sagt: Wo Geld fehlt, ist Fantasie gefragt!
@aqui
Das mit dem Captive Portal klingt auch gut, werde ich mir ebenfalls mal anschauen. Danke für den Tipp.
Sicherheit ist leider immer das Erste was über Bord geworfen wird, wenn gespart werden soll und nein, die Räumlichkeiten oben sind noch nicht mal billig. :/
Wie das Sprichwort schon sagt: Wo Geld fehlt, ist Fantasie gefragt!
@aqui
Das mit dem Captive Portal klingt auch gut, werde ich mir ebenfalls mal anschauen. Danke für den Tipp.
