3
Windows LAN o. Netzwerkkarte nur aktivieren bei bestimmten Subnetzen o. IP-Bereichen ? RADIUS ?
Hallo,
aktuell erlaube ich den Rechnern im Netzwerk (Widows XP und Windows 7) den Zugriff über einfache MAC Authorisierung am RADIUS (freeradius2 auf pfsense).
Je nach MAC Adresse werden die Clients in das entsprechende VLAN gehoben. Kennt der RADIUS die MAC Adresse nicht, dann hebt der Switch die Clients in ein sogenanntes Gastnetzwerk.
Das Ganze funktioniert wie gewünscht.
Alle Rechner befinden sich NICHT in einer Domäne, das heisst, ich habe keine Möglichkeit über GPOs etwas zu ändern und zu konfigurieren.
Meine Frage lautet:
Wie kann ich mit Windows XP/7 und/oder RADIUS gewähren, dass diese Clients nur eine Netzwerkverbindung aufbauen können, wenn diese sich an meinem Netzwerk befinden?
Bsp: Mein Netzwerk hat diverse Subnetze/VLANs aus dem Bereich 172.17.0.0/16
Nimmt nun jemand sein Gerät zu Hause am Netzwerk in Betrieb (Bsp: 192.168.1.0/24) dann möchte ich, dass der Zugriff nicht möglich ist.
Gibt es hierfür eine Lösung die ihr mir empfehlen könnt ?
Als AntiVirus Lösung nutze ich Kaspersky Workstation (läuft aus und die Nachfolgeversion lautet wohl Endpoint Security 8) - kann ich eventuell hierrüber Subnetze definieren, an denen der Zugriff erlaubt ist und sonstigen Verkehr blocken ?
Den Kaspersky Administration Server habe ich mir nur kurz angeschaut, aber noch nicht implementiert. Wäre es hiermit möglich, die Zugriffe zu steuern und vor allem Veränderungen durch den Anwender mittels Passwort zu verhindern ? (Kaspersky Konfiguration vor Veränderungen mit Passwort schützen - gibt es glaube ich als Option)?
Ich finde zu dieser Problematik gerade keine Lösung, auch fehlen mir Stichworte und Techniken, in die ich mich einlesen könnte. Ich hoffe deswegen, dass ihr mich unterstützen könnt, mir Ratschläge geben und/oder eventuell praktikable Alternativen anbieten könnt
Vielen Dank im Voraus!
aktuell erlaube ich den Rechnern im Netzwerk (Widows XP und Windows 7) den Zugriff über einfache MAC Authorisierung am RADIUS (freeradius2 auf pfsense).
Je nach MAC Adresse werden die Clients in das entsprechende VLAN gehoben. Kennt der RADIUS die MAC Adresse nicht, dann hebt der Switch die Clients in ein sogenanntes Gastnetzwerk.
Das Ganze funktioniert wie gewünscht.
Alle Rechner befinden sich NICHT in einer Domäne, das heisst, ich habe keine Möglichkeit über GPOs etwas zu ändern und zu konfigurieren.
Meine Frage lautet:
Wie kann ich mit Windows XP/7 und/oder RADIUS gewähren, dass diese Clients nur eine Netzwerkverbindung aufbauen können, wenn diese sich an meinem Netzwerk befinden?
Bsp: Mein Netzwerk hat diverse Subnetze/VLANs aus dem Bereich 172.17.0.0/16
Nimmt nun jemand sein Gerät zu Hause am Netzwerk in Betrieb (Bsp: 192.168.1.0/24) dann möchte ich, dass der Zugriff nicht möglich ist.
Gibt es hierfür eine Lösung die ihr mir empfehlen könnt ?
Als AntiVirus Lösung nutze ich Kaspersky Workstation (läuft aus und die Nachfolgeversion lautet wohl Endpoint Security 8) - kann ich eventuell hierrüber Subnetze definieren, an denen der Zugriff erlaubt ist und sonstigen Verkehr blocken ?
Den Kaspersky Administration Server habe ich mir nur kurz angeschaut, aber noch nicht implementiert. Wäre es hiermit möglich, die Zugriffe zu steuern und vor allem Veränderungen durch den Anwender mittels Passwort zu verhindern ? (Kaspersky Konfiguration vor Veränderungen mit Passwort schützen - gibt es glaube ich als Option)?
Ich finde zu dieser Problematik gerade keine Lösung, auch fehlen mir Stichworte und Techniken, in die ich mich einlesen könnte. Ich hoffe deswegen, dass ihr mich unterstützen könnt, mir Ratschläge geben und/oder eventuell praktikable Alternativen anbieten könnt
Vielen Dank im Voraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 197294
Url: https://administrator.de/contentid/197294
Printed on: April 27, 2024 at 01:04 o'clock
3 Comments
Latest comment
Hallo,
habe die Clients bei Dir im Firmen LAN statische Adressen? Ansonsten wird es etwas schwer festzustellen, ob der Rechner in einem anderen Netzwerk war.
Was Du z.B. machen könnest, wäre via Firewall alle priv. Netze außer die Firmennetze zu verbieten, aber auch dies kann umgangen werden, wenn jemand ein entsprechenden IP-Kreis zu hause hat.
Gruß
habe die Clients bei Dir im Firmen LAN statische Adressen? Ansonsten wird es etwas schwer festzustellen, ob der Rechner in einem anderen Netzwerk war.
Was Du z.B. machen könnest, wäre via Firewall alle priv. Netze außer die Firmennetze zu verbieten, aber auch dies kann umgangen werden, wenn jemand ein entsprechenden IP-Kreis zu hause hat.
Gruß
Hallo mayjalin,
danke für deine Rückmeldung. Statische IP-Adressen haben die PCs nicht.
An die Firewall dachte ich - genauso wie du - auch. Wenn ich eben nur das private Netz aus der Firma zulasse und am Heimnetz für gewöhnlich ein anderes Subnetz genutzt wird, dann wäre der Verkehr geblockt.
Natürlich hast du recht, hat jeman zu Hause das gleiche Subnetz wie in der Firma, würde das funktionieren und mein Schutz umgangen werden. Es wäre also keine 100% Lösung, es würde aber zumindest erst einmal dazu dienen die Personen abzuschrecken und ein bischen Schutz ist besser als gar keiner - zumindest für 90% der Anwender
Erschwerend kommt hinzu, dass manche Personen sich mit Administratorrechten am PC anmelden können und dürfen. Die Windows Firewall kann ich also nicht verwenden, ebenso vermutlich auch keine anderen Windows Optionen. Deswegen war die Überlegung auf ein alternatives Produkt wie Kaspersky zurückzugreifen, da ich diese Einstellungen separat schützen kann und wir das sowieso als AntiViren Schutz nutzen und somit keine extra Kosten entstehen.
danke für deine Rückmeldung. Statische IP-Adressen haben die PCs nicht.
An die Firewall dachte ich - genauso wie du - auch. Wenn ich eben nur das private Netz aus der Firma zulasse und am Heimnetz für gewöhnlich ein anderes Subnetz genutzt wird, dann wäre der Verkehr geblockt.
Natürlich hast du recht, hat jeman zu Hause das gleiche Subnetz wie in der Firma, würde das funktionieren und mein Schutz umgangen werden. Es wäre also keine 100% Lösung, es würde aber zumindest erst einmal dazu dienen die Personen abzuschrecken und ein bischen Schutz ist besser als gar keiner - zumindest für 90% der Anwender
Erschwerend kommt hinzu, dass manche Personen sich mit Administratorrechten am PC anmelden können und dürfen. Die Windows Firewall kann ich also nicht verwenden, ebenso vermutlich auch keine anderen Windows Optionen. Deswegen war die Überlegung auf ein alternatives Produkt wie Kaspersky zurückzugreifen, da ich diese Einstellungen separat schützen kann und wir das sowieso als AntiViren Schutz nutzen und somit keine extra Kosten entstehen.
Hallo,
also wir machen das folgendermaßen bei uns der Firma:
Auf den Clients ist ein VPN Client installiert, der eine Firewall integriert hat. Diese erlaubt lediglich den Traffic zu userem VPN Gateway und den Traffic in unserem LAN. Diese Firewall wird bei jeder einwahl aktuallisiert und der Anwender hat keine Möglichkeit diese abzuschalten. Auch nicht als Administrator
--> Checkpoint SecuRemote/SecureClient
also wir machen das folgendermaßen bei uns der Firma:
Auf den Clients ist ein VPN Client installiert, der eine Firewall integriert hat. Diese erlaubt lediglich den Traffic zu userem VPN Gateway und den Traffic in unserem LAN. Diese Firewall wird bei jeder einwahl aktuallisiert und der Anwender hat keine Möglichkeit diese abzuschalten. Auch nicht als Administrator
--> Checkpoint SecuRemote/SecureClient