10
Sicherheitsfrage zur Netzwerksicherheit - Netzwerkkonzeption
Es geht darum einen "vollwertigen" Internetzugang zur verfügung zu stellen. Den zugriff darauf zu verwalten und zu überwachen.
Hallo,
Ich bin derzeit an einem, nennen wir es Projekt, ich möchte in einem Netzwerk PCs über die ich keinerlei zugriffsrechte verfüge einen Internetzugang zur verfügung stellen. Allerdings erst nachdem sich die Personen oder die Rechner am Netz authentifiziert haben (NAC?!?!?!IEEE 802.1x??,Radius??) dann sollen sie zugang zum internet haben, dieser zugang soll überwacht / Protokolliert werden können, sodass falls irgendwelcher unfug damit getrieben wird nachgewiesen werden kann das dieser unfug von exakt dieser ip kahm. Ich habe jetzt schon viele verschiedene Meinungen gehört. Die kosten sind erst mal zweitrangig. Ich hätte gerne mal von euch gewusst, sooo exotisch ist diese anforderung doch nicht oder? Wie würdet ihr es realisieren mit welcher software / Hardware? Habt ihr schon erfahrungen damit gesammelt? Wenn ihr noch anregungen habt die euch dazu einfallen nur her damit. Danke im voraus schon mal.
Gruß
PJM
Ich bin derzeit an einem, nennen wir es Projekt, ich möchte in einem Netzwerk PCs über die ich keinerlei zugriffsrechte verfüge einen Internetzugang zur verfügung stellen. Allerdings erst nachdem sich die Personen oder die Rechner am Netz authentifiziert haben (NAC?!?!?!IEEE 802.1x??,Radius??) dann sollen sie zugang zum internet haben, dieser zugang soll überwacht / Protokolliert werden können, sodass falls irgendwelcher unfug damit getrieben wird nachgewiesen werden kann das dieser unfug von exakt dieser ip kahm. Ich habe jetzt schon viele verschiedene Meinungen gehört. Die kosten sind erst mal zweitrangig. Ich hätte gerne mal von euch gewusst, sooo exotisch ist diese anforderung doch nicht oder? Wie würdet ihr es realisieren mit welcher software / Hardware? Habt ihr schon erfahrungen damit gesammelt? Wenn ihr noch anregungen habt die euch dazu einfallen nur her damit. Danke im voraus schon mal.
Gruß
PJM
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 165996
Url: https://administrator.de/contentid/165996
Printed on: April 19, 2024 at 04:04 o'clock
10 Comments
Latest comment
Hallo,
ich gehe jetzt mal davon aus, das Du ein Windows - Netzwerk betreust.
Ich finde den MS Forefront Gateway sehr gut. Einfach in die Domäne aufnehmen, Benutzer Authentifizierung über AD und als Proxy einrichten über die GPO.
Dann kann man nach und nach die Benutzerbeschränkungen einrichten und die Protokollierung ist nach deinen Anforderungen.
So weit ich weiß, gibt es eine Testversion davon. Vielleicht mal ausprobieren.
Gruß
ackerdiesel
ich gehe jetzt mal davon aus, das Du ein Windows - Netzwerk betreust.
Ich finde den MS Forefront Gateway sehr gut. Einfach in die Domäne aufnehmen, Benutzer Authentifizierung über AD und als Proxy einrichten über die GPO.
Dann kann man nach und nach die Benutzerbeschränkungen einrichten und die Protokollierung ist nach deinen Anforderungen.
So weit ich weiß, gibt es eine Testversion davon. Vielleicht mal ausprobieren.
Gruß
ackerdiesel
Moin.
Auch der Proxy SQUID kann über winbind und ntlm Windowsnutzer authentifizieren/loggen.
Auch der Proxy SQUID kann über winbind und ntlm Windowsnutzer authentifizieren/loggen.
Hi,
ich gehe jetzt mal davon aus, das Du ein Windows - Netzwerk betreust.
Wie bereits geschrieben geht es um clients auf die ich "kein zugriff" habe dh. für die ich auch nicht die administration habe dementsrechend kann von IOS bis Windows alles vertreten sein. Dementsprechend fällt eine Active Directory gesteuerte Lösung ins Wasser, Ich hatte an irgendetwas mit Radius gedacht. Ist das umsetzbar und wenn ja wie? Hat schon jemand damit erfahrungen?
ich gehe jetzt mal davon aus, das Du ein Windows - Netzwerk betreust.
Reden wir von einem Studentenwohnheim oder einer WG?
Du musst schon etwas mehr Infos rausrücken.
Du musst schon etwas mehr Infos rausrücken.
Hi,
Ich versteh zwar nicht warum, aber wenn es den dem fortschritt dient. Es geht um ein Hotel mit RJ45 Dose auf jedem Zimmer. Was ändert das nun am Sachverhalt?
Gruß
PJM
Reden wir von einem Studentenwohnheim oder einer WG?
Du musst schon etwas mehr Infos rausrücken.
Du musst schon etwas mehr Infos rausrücken.
Ich versteh zwar nicht warum, aber wenn es den dem fortschritt dient. Es geht um ein Hotel mit RJ45 Dose auf jedem Zimmer. Was ändert das nun am Sachverhalt?
Gruß
PJM
Es gibt hier diverse Tutorials zu dem Thema:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
bzw.
Dynamische VLAN-Zuweisung mit FreeRADIUS und Active Directory
und
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Im Hotel ggf. noch die Verbindung mit einem Hotspot und Radius:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Die das Thema umfassend behandeln. Mittlerweile sind solche 802.1x Implementationen längst zum Standard geworden, da auch billige Consumerswitches vom Blödmarkt diese Funktion supporten. Es ist also keineswegs exotisch sondern simpler Standard. Mit einem FreeRadius in einer simplen VM kannst du das auch im stillen Kämmerlein einmal selber aufbauen und auch ausprobieren ohne Aufwand.
Wo ist also genau der Sinn deiner Fragestellung ?
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
bzw.
Dynamische VLAN-Zuweisung mit FreeRADIUS und Active Directory
und
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Im Hotel ggf. noch die Verbindung mit einem Hotspot und Radius:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Die das Thema umfassend behandeln. Mittlerweile sind solche 802.1x Implementationen längst zum Standard geworden, da auch billige Consumerswitches vom Blödmarkt diese Funktion supporten. Es ist also keineswegs exotisch sondern simpler Standard. Mit einem FreeRadius in einer simplen VM kannst du das auch im stillen Kämmerlein einmal selber aufbauen und auch ausprobieren ohne Aufwand.
Wo ist also genau der Sinn deiner Fragestellung ?
Hallo,
wenn es denn etwas kosten darf, kann ich Dir die ASG von Astaro empfehlen:
www.astaro.de
oder Zyxcel: http://www.zyxel-hotel.de/hotellerie/index.html
die bieten extra fürs Hotel - gewerbe Produkte an.
Gruß
ackerdiesel
wenn es denn etwas kosten darf, kann ich Dir die ASG von Astaro empfehlen:
www.astaro.de
oder Zyxcel: http://www.zyxel-hotel.de/hotellerie/index.html
die bieten extra fürs Hotel - gewerbe Produkte an.
Gruß
ackerdiesel
Das es nichts Exotisches ist war mir schon klar diese Frage war eigentlich eher rhetorisch.
Mir war nur nicht das Zusammenspiel der einzelnen techniken Klar. Und um ehrlich zu sein war ich nach den Zahlreichen vorschlägen die ich schon von vermeindlichen "Experten" bekommen habe Verwirrt und hab mir durch den Beitrag erhofft Vorschläge zu bekommen die mich wenigstens ansatzweise mal wieder in die Richtige denkweise bringen.
Das hast du hiermit geschafft, VIELEN DANK. Die Lösung mit pFense ist nahezu perfekt. Ich werde das ganze mal durchexerzieren und mich nochmal melden, bzw. den Beitrag dann als gelöst markieren. Aber noch mal VIELEN DANK für die Mühe die du dir schon im vorfeld mit der anleitung gemacht hast. Ich bin bei meiner suche im Netz leider nicht darauf gestosen oder hab vor lauter wald kein Baum mehr gesehen.
lieben Gruß
PJM
Hallo,
wenn du deine Tests mit dem Open Source System abgeschlossen hast, solltest du dir zum Vergleich auch kommerzielle Lösungen ansehen. Diese bieten ja bekanntlich durchaus Vorteile gegenüber freien Projekten.
Schau dir mal gateprotect an (www.gateprotect.de). Hier gibt es eine browserbasierende Userauthentication schon in den kleinen Appliances für kleines Geld.
Die Konfiguration ist extrem einfach und übersichtlich. Es gibt zum testen eine Trailversion unter (www.firewallshop24.de).
Ein weiteres sehr preiswertes System bietet Zyxel mit dem 4100v2. Hier gibt es sogar die Möglichkeit WLAN und einen Syslogserver einzubinden. Zyxel bietet für Interessenten eine kostenlose Leihstellung.
Ich wünsche dir weiterhin viel Erfolg beim Testen.
Gruß
Marc
wenn du deine Tests mit dem Open Source System abgeschlossen hast, solltest du dir zum Vergleich auch kommerzielle Lösungen ansehen. Diese bieten ja bekanntlich durchaus Vorteile gegenüber freien Projekten.
Schau dir mal gateprotect an (www.gateprotect.de). Hier gibt es eine browserbasierende Userauthentication schon in den kleinen Appliances für kleines Geld.
Die Konfiguration ist extrem einfach und übersichtlich. Es gibt zum testen eine Trailversion unter (www.firewallshop24.de).
Ein weiteres sehr preiswertes System bietet Zyxel mit dem 4100v2. Hier gibt es sogar die Möglichkeit WLAN und einen Syslogserver einzubinden. Zyxel bietet für Interessenten eine kostenlose Leihstellung.
Ich wünsche dir weiterhin viel Erfolg beim Testen.
Gruß
Marc
Hi,
Auser Support welche noch? Bei Pfsense gibt es ein sehr aktives Forum.
Schau dir mal gateprotect an (www.gateprotect.de). Hier gibt es eine browserbasierende Userauthentication schon in den kleinen
Appliances für kleines Geld.
Da wir ein ESXi mit guter hardware laufen haben spielen kosten wegen Strom etc. keine Rolle und Pfsense macht die browserbasierte Userauthentication für lau.
Dito
Vielen Dank für deinen Vorschlag aber ich glaube wir sind mit dem Open source Projekt vollkommen zufrieden. Hab alles durchkonfiguriert, und in der Neuesten Version wären sogar Vouchers mit drin.
@aqui: Einfach genial deine Anleitung vielen Dank.
Gruß zurück
PJM
Diese bieten ja bekanntlich durchaus Vorteile gegenüber freien Projekten.
Auser Support welche noch? Bei Pfsense gibt es ein sehr aktives Forum.
Schau dir mal gateprotect an (www.gateprotect.de). Hier gibt es eine browserbasierende Userauthentication schon in den kleinen
Appliances für kleines Geld.
Da wir ein ESXi mit guter hardware laufen haben spielen kosten wegen Strom etc. keine Rolle und Pfsense macht die browserbasierte Userauthentication für lau.
Die Konfiguration ist extrem einfach und übersichtlich.
Dito
Vielen Dank für deinen Vorschlag aber ich glaube wir sind mit dem Open source Projekt vollkommen zufrieden. Hab alles durchkonfiguriert, und in der Neuesten Version wären sogar Vouchers mit drin.
@aqui: Einfach genial deine Anleitung vielen Dank.
Gruß
Gruß zurück
Marc
PJM
