Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Server

GELÖST

Zugang zum Netzwerk nur firmeninternen Computern gewähren

Mitglied: bender1220

bender1220 (Level 1) - Jetzt verbinden

11.04.2009, aktualisiert 10:05 Uhr, 4395 Aufrufe, 10 Kommentare

Hallo Freunde,
folgende Problemstellung:

Im Unternehmen haben wir ein WLAN Netzerk aufgebaut das völlig getrennt vom Firmennetzwerk ist. Der Grund dafür ist das wir
aus Sicherheitsgründen Besuchern unseres Unternehmens keinen Zugriff mehr in unser Netzwerk geben möchten. Diese sollten
stattdessen das WLAN System benutzen um sich zu verbinden.

Es gibt nun in allen Besprechungsräumen Möglichkeiten sich ans Firmennetzwerk anzuschließen. Wir möchten verhindern das wenn
sich jemand anschließt er auch eine Verbindung bekommt.

Wir wollen die Leute praktisch zwingen das WALN zu benutzen.

Lösungsansatz:
Ich könnte mir gut vorstellen daß das Problem über den DHCP Server lösbar wäre ?!
Mann könnte zum Beispiel nur Rechnern mit einer bestimmten MAC Adresse ein IP zuweisen und
anderen nicht. Ich hab aber leider keine Ahnung ob oder wie das funktionieren könnte.
Dafür müsste man ja eine MAC Adress Liste irgendwo hinterlegen können.

Bin für jede Hilfe dankbar !

Gruß
Mitglied: aqui
11.04.2009 um 10:58 Uhr
Ja, das würde theoretisch gehen. Die MAC Adressen werden im DHCP Server hinterlegt.
Diese Lösung hat aber einen entscheidenden Nachteil: Sie verhindert nicht das sich Benutzer eine statische IP vergeben und dann fröhlich in eurem Netzwerk ihr Unwesen treiben. Letztlich also eine dilettantische Feigenblatt Lösung die niemals das erreicht was du eigentlich willst..

Es geht aber viel einfacher und zudem noch komfortabler:
Du schaltest auf deinem Switch an diesen Ports einfach eine 802.1x Authentifizierung ein und gut ist.

Du kannst dann entweder auf diesen Ports nach Mac Adressen filtern oder nach Benutzernamen oder wenn du ganz paranoid bist auch mit beidem.
Wenn du es richtig komfortabel konfigurierst, dann nimmst du für euren Gast WLAN Zugang diese Lösung:

http://www.administrator.de/WLAN_oder_LAN_Gastzugang_einrichten_mit_ein ...

und authentifizierst die Benutzer über einen externen Radius Server (Freeradius oder MS IAS).
Bei allen Benutzern die an Kupferports keine authentifiziere Mac Adresse oder Usernamen haben oder eine Gast Benutzernamen angeben werden an dem Port mit einer dynamischen VLAN Zuweisung in genau das VLAN gesetzt auf dem auch dein vom Firmennetz getrenntes Gast WLAN intergirert ist.
Man nennt das eine sog. Gummizellen Lösung, das Besucher ohne Authentifizierung dynamisch in ein VLAN gesetzt werden wo sie nichts anrichten können.

So hast du eine saubere Lösung und die Kupferports der Besprechungsräume kannst du intelligent in so ein Konzept mit einbeziehen.
Eine gängige und weit verbreitete Lösung die sich im Handumdrehen umsetzen lässt !
Bitte warten ..
Mitglied: SarekHL
11.04.2009 um 10:58 Uhr
Ich könnte mir gut vorstellen daß das Problem über den DHCP Server lösbar wäre ?!
Mann könnte zum Beispiel nur Rechnern mit einer bestimmten MAC Adresse ein IP zuweisen und anderen nicht.

Jein. Man könnte Rechnern mit einer bestimmten MAC-Adresse eine bestimmte IP-Adresse zuweise (nennt sich "Reservierung") und andere aus einem Pool bedienen. Da könnte man also unterschiedliche IP-Bereiche zuweisen.

Aber:

1. Ist das sehr aufwendig, man muß für jede MAC eine Reservierung anlegen
2. kann man die IP-Adresse am PC ja auch manuell konfigurieren und umgeht damit das System


Schon sicherer wäre es, einen Router zu verwenden, der bei unbekannten MAC-Adressen den Zugriff verweigert. Dann werden die Datenpakete einfach nicht ins Hauptnetz weitergeleitet.

Aber: MAC-Adressen kann man manipulieren


So richtig sicher wird es wohl nur, wenn sich Rechner im Netzwerk mit einem Zertifikat authentifizieren müssen ...
Bitte warten ..
Mitglied: aqui
11.04.2009 um 11:07 Uhr
Nein, mit 802.1x Port Authentifizierung und Benutzernamen ist das auch sicher möglich, siehe oben.
Den Aufwand mit Zertifikaten muss man nicht machen. Wäre auch kontraproduktiv, da Zertifikate immer gerätebezogen sind. Das wäre dann bei Besucher PC und Laptops unsinnig und zu aufwendig da Zertifikate raufzubringen zumal sie sich vermutlich nirgendwo einloggen in ein Unternehmensnetzwerk (wie auch oben...) und das dadurch manuell erfolgen müsste....
Bitte warten ..
Mitglied: SarekHL
11.04.2009 um 11:12 Uhr
Wäre auch kontraproduktiv, da Zertifikate immer gerätebezogen sind. Das wäre dann bei Besucher PC und Laptops unsinnig und zu aufwendig da Zertifikate raufzubringen zumal sie sich vermutlich nirgendwo einloggen in ein Unternehmensnetzwerk

Ich habe die Fragestellung eher so verstanden, daß in dem Besprechungszimmer kabelgebundene LAN-Anschlüsse sind und verhindert werden soll, daß die Besucher sich per Netzwerkkabel dort anschließen.

Stattdessen sollen sie das wLAN nehmen. Daß sie sich dort auch legitimieren müssen, habe ich in bender's Frage nicht stehen sehen ...
Bitte warten ..
Mitglied: aqui
11.04.2009 um 11:18 Uhr
OK, dann ist die ganze Diskussion und der gesamte Thread hier überflüssig, denn dann löst auch ein Zertifikat logischerweise das Problem nicht !

Die Lösung ist dann so banal wie einfach:
Man setzt dann alle diese Ports in den Besprechungsräumen am Switch auf Shutdown oder noch einfacher: Patcht sie auf dem Patchpanel nicht auf einen aktiven Switch port !
Mit anderen Worten man legt einfach diese Ports tot !

Auf diese allereinfachste Lösung ist Bender1220 sicher selber schon gekommen...(hoffentlich ?!)
Bitte warten ..
Mitglied: SarekHL
11.04.2009 um 11:20 Uhr
Mit anderen Worten man legt einfach diese Ports tot !

Die Lösung ist so banal, daß ich davon ausgegangen bin, daß das aus irgendeinem Grund nicht erwünscht ist. Vielleicht, weil dort ab und zu mal FIRMENnotebooks angeschlossen werden. Die sollen ja dürfen ....
Bitte warten ..
Mitglied: bender1220
11.04.2009 um 11:55 Uhr
Richitig
Mitarbeiter sollen sich natürlich Verbinden können. Es geht wirklich nur um Besucher.

Der Lösungsvorschlag mit der 802.1x Auth. gefällt mir sehr gut. Ausreichen würde sicher auch einfach die vorgeschlagene Reservierung aber ich möchte ja nicht jede Adresse reservieren müssen. Deshalb mein Ansatz mit einer Liste. Aber wo lässt sich am DHCP schon eine Liste einbinden.

Bezüglich M0n0wall hab ich schon eine Lösung.
Das beschrieben WLAN System ist ähmlich konfiguriert. Statt M0n0wall benutze ich einen HP Router der diese Funktion
schon mitbringt. Die Rezeption stellt dem Besucher einen Voucher aus und schon kann er innerhalb eines bestimmten Zeitramens ins Internet.

So dann werd ich mal sehen wie das mit der 802.1x Auth so funktioniert

Danke für die schnellen Antworten !


Gruß -Bender1220-
Bitte warten ..
Mitglied: dog
11.04.2009 um 16:12 Uhr
Da möchte ich nur noch kurz anmerken, dass 802.1x in kabelgebundenen Netzwerken bestimmte Sicherheitslücken hat (bedingt durch die Technik). Sicherer wäre hier ein VPN. Aber wenn eure Besucher nicht grade IT-Profis sind tut's 802.1x auch

Grüße

Max
Bitte warten ..
Mitglied: aqui
12.04.2009 um 11:27 Uhr
@dog
Wie kommst du auf solche Behauptung ?? Kann es sein das du hier etwas verwechselst ???
802.1x hat nichts (oder nur bedingt) mit Verschlüsselung oder VPNs zu tun !!!
Es ist lediglich eine Port Authentifizierung nichts anderes, KEINE VPN Funktion !
Ggf. solltest du das hier besser nochmal nachlesen:
http://de.wikipedia.org/wiki/IEEE_802.1X

Diese Auth. wird mit dem EAP Protokoll gemacht zu dem derzeit keinerlei Exploits bekannt sind. (Es wird ja auch in WLANs bei WPA 2 zum Schlüsselaustausch verwendet !!)

802.1x ist da absolut sicher. Da ist nichts bedingt durch die Technik unsicher !
Auch IT Profis benutzen gerade deshalb .1x wenns um Port Sicherheit geht !
Bitte warten ..
Mitglied: dog
12.04.2009 um 14:27 Uhr
802.1x hat in Wired-Netzwerken ein großes Problem: Es ist portbasiert.
Dadurch kann man es recht leicht umgehen wenn man folgendes Szenario hat:

In einer Firma werden Locked-Down-PCs und Switches mit 802.1x verwendet.
Die PCs melden sich beim Start am Switch an, der gibt den Port frei.
Wenn nun aber jemand einfach einen Hub zwischen Domänen-PC und Switch steckt und dort sein Laptop anschließt, schließlich noch die MAC-ID umbiegt hat man Zugriff auf das Netzwerk ohne ein Passwort wissen zu müssen. Für den Switch ist dieser Identitätswechsel nicht erkennbar, da es keinen Port-Disconnect und keinen Wechsel der MAC-IDs gibt - die einzelnen Pakete authentifiziert 802.1x ja eben nicht.

Q: http://blogs.technet.com/steve_lamb/archive/2004/11/20/267076.aspx

Dieses Problem kann man mit VPN umgehen, wenn man erstmal alle Rechner in ein Dummy-Netzwerk mit dem VPN-Gateway schmeißt bei dem sich dann die Domänen-PCs anmelden.
Natürlich muss man dann sicherstellen, dass die VPN-Anmeldedaten nicht geklaut werden können - Man muss sich aber die Frage stellen, ob der Aufwand wirklich gerechtfertigt ist.

Grüße

Max
Bitte warten ..
Ähnliche Inhalte
Informationsdienste
Firmeninternes Ticketsystem
gelöst Frage von NebuchadInformationsdienste7 Kommentare

Wir sind auf der Suche nach einem Ticketsystem was Firmenintern genutzt werden soll zu Kommunikation unter den einzelnen Abteilungen. ...

Vmware
Internet Zugang für virtuelles Netzwerk
gelöst Frage von erdmeloneVmware8 Kommentare

Hallo Zusammen, ich stehe jetzt seit Tagen vor einem Problem und solangsam verzweifel ich. Und zwar habe ich ein ...

Router & Routing
Handy-Hotspot als Zugang für ein gesamtes Netzwerk
gelöst Frage von PawluchaRouter & Routing24 Kommentare

Ich nutze für meinen Zugang ins Internet - kein Kabel-Internet, sondern - ausschließlich den WLAN-Hotspot meines Android Handies. Das ...

Instant Messaging
Firmeninterner Instant Messenger
Frage von itsmetimInstant Messaging5 Kommentare

Hallo zusammen, ich suche eine firmeninterne Instant Messaging-Lösung. Die Clients abreiten auf Serverdesktops (XenApp 6.5). Habt ihr Ideen oder ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...

Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall9 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen8 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...