Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zugang zum Netzwerk nur firmeninternen Computern gewähren

Frage Microsoft Windows Server

Mitglied: bender1220

bender1220 (Level 1) - Jetzt verbinden

11.04.2009, aktualisiert 10:05 Uhr, 4373 Aufrufe, 10 Kommentare

Hallo Freunde,
folgende Problemstellung:

Im Unternehmen haben wir ein WLAN Netzerk aufgebaut das völlig getrennt vom Firmennetzwerk ist. Der Grund dafür ist das wir
aus Sicherheitsgründen Besuchern unseres Unternehmens keinen Zugriff mehr in unser Netzwerk geben möchten. Diese sollten
stattdessen das WLAN System benutzen um sich zu verbinden.

Es gibt nun in allen Besprechungsräumen Möglichkeiten sich ans Firmennetzwerk anzuschließen. Wir möchten verhindern das wenn
sich jemand anschließt er auch eine Verbindung bekommt.

Wir wollen die Leute praktisch zwingen das WALN zu benutzen.

Lösungsansatz:
Ich könnte mir gut vorstellen daß das Problem über den DHCP Server lösbar wäre ?!
Mann könnte zum Beispiel nur Rechnern mit einer bestimmten MAC Adresse ein IP zuweisen und
anderen nicht. Ich hab aber leider keine Ahnung ob oder wie das funktionieren könnte.
Dafür müsste man ja eine MAC Adress Liste irgendwo hinterlegen können.

Bin für jede Hilfe dankbar !

Gruß
Mitglied: aqui
11.04.2009 um 10:58 Uhr
Ja, das würde theoretisch gehen. Die MAC Adressen werden im DHCP Server hinterlegt.
Diese Lösung hat aber einen entscheidenden Nachteil: Sie verhindert nicht das sich Benutzer eine statische IP vergeben und dann fröhlich in eurem Netzwerk ihr Unwesen treiben. Letztlich also eine dilettantische Feigenblatt Lösung die niemals das erreicht was du eigentlich willst..

Es geht aber viel einfacher und zudem noch komfortabler:
Du schaltest auf deinem Switch an diesen Ports einfach eine 802.1x Authentifizierung ein und gut ist.

Du kannst dann entweder auf diesen Ports nach Mac Adressen filtern oder nach Benutzernamen oder wenn du ganz paranoid bist auch mit beidem.
Wenn du es richtig komfortabel konfigurierst, dann nimmst du für euren Gast WLAN Zugang diese Lösung:

http://www.administrator.de/WLAN_oder_LAN_Gastzugang_einrichten_mit_ein ...

und authentifizierst die Benutzer über einen externen Radius Server (Freeradius oder MS IAS).
Bei allen Benutzern die an Kupferports keine authentifiziere Mac Adresse oder Usernamen haben oder eine Gast Benutzernamen angeben werden an dem Port mit einer dynamischen VLAN Zuweisung in genau das VLAN gesetzt auf dem auch dein vom Firmennetz getrenntes Gast WLAN intergirert ist.
Man nennt das eine sog. Gummizellen Lösung, das Besucher ohne Authentifizierung dynamisch in ein VLAN gesetzt werden wo sie nichts anrichten können.

So hast du eine saubere Lösung und die Kupferports der Besprechungsräume kannst du intelligent in so ein Konzept mit einbeziehen.
Eine gängige und weit verbreitete Lösung die sich im Handumdrehen umsetzen lässt !
Bitte warten ..
Mitglied: SarekHL
11.04.2009 um 10:58 Uhr
Ich könnte mir gut vorstellen daß das Problem über den DHCP Server lösbar wäre ?!
Mann könnte zum Beispiel nur Rechnern mit einer bestimmten MAC Adresse ein IP zuweisen und anderen nicht.

Jein. Man könnte Rechnern mit einer bestimmten MAC-Adresse eine bestimmte IP-Adresse zuweise (nennt sich "Reservierung") und andere aus einem Pool bedienen. Da könnte man also unterschiedliche IP-Bereiche zuweisen.

Aber:

1. Ist das sehr aufwendig, man muß für jede MAC eine Reservierung anlegen
2. kann man die IP-Adresse am PC ja auch manuell konfigurieren und umgeht damit das System


Schon sicherer wäre es, einen Router zu verwenden, der bei unbekannten MAC-Adressen den Zugriff verweigert. Dann werden die Datenpakete einfach nicht ins Hauptnetz weitergeleitet.

Aber: MAC-Adressen kann man manipulieren


So richtig sicher wird es wohl nur, wenn sich Rechner im Netzwerk mit einem Zertifikat authentifizieren müssen ...
Bitte warten ..
Mitglied: aqui
11.04.2009 um 11:07 Uhr
Nein, mit 802.1x Port Authentifizierung und Benutzernamen ist das auch sicher möglich, siehe oben.
Den Aufwand mit Zertifikaten muss man nicht machen. Wäre auch kontraproduktiv, da Zertifikate immer gerätebezogen sind. Das wäre dann bei Besucher PC und Laptops unsinnig und zu aufwendig da Zertifikate raufzubringen zumal sie sich vermutlich nirgendwo einloggen in ein Unternehmensnetzwerk (wie auch oben...) und das dadurch manuell erfolgen müsste....
Bitte warten ..
Mitglied: SarekHL
11.04.2009 um 11:12 Uhr
Wäre auch kontraproduktiv, da Zertifikate immer gerätebezogen sind. Das wäre dann bei Besucher PC und Laptops unsinnig und zu aufwendig da Zertifikate raufzubringen zumal sie sich vermutlich nirgendwo einloggen in ein Unternehmensnetzwerk

Ich habe die Fragestellung eher so verstanden, daß in dem Besprechungszimmer kabelgebundene LAN-Anschlüsse sind und verhindert werden soll, daß die Besucher sich per Netzwerkkabel dort anschließen.

Stattdessen sollen sie das wLAN nehmen. Daß sie sich dort auch legitimieren müssen, habe ich in bender's Frage nicht stehen sehen ...
Bitte warten ..
Mitglied: aqui
11.04.2009 um 11:18 Uhr
OK, dann ist die ganze Diskussion und der gesamte Thread hier überflüssig, denn dann löst auch ein Zertifikat logischerweise das Problem nicht !

Die Lösung ist dann so banal wie einfach:
Man setzt dann alle diese Ports in den Besprechungsräumen am Switch auf Shutdown oder noch einfacher: Patcht sie auf dem Patchpanel nicht auf einen aktiven Switch port !
Mit anderen Worten man legt einfach diese Ports tot !

Auf diese allereinfachste Lösung ist Bender1220 sicher selber schon gekommen...(hoffentlich ?!)
Bitte warten ..
Mitglied: SarekHL
11.04.2009 um 11:20 Uhr
Mit anderen Worten man legt einfach diese Ports tot !

Die Lösung ist so banal, daß ich davon ausgegangen bin, daß das aus irgendeinem Grund nicht erwünscht ist. Vielleicht, weil dort ab und zu mal FIRMENnotebooks angeschlossen werden. Die sollen ja dürfen ....
Bitte warten ..
Mitglied: bender1220
11.04.2009 um 11:55 Uhr
Richitig
Mitarbeiter sollen sich natürlich Verbinden können. Es geht wirklich nur um Besucher.

Der Lösungsvorschlag mit der 802.1x Auth. gefällt mir sehr gut. Ausreichen würde sicher auch einfach die vorgeschlagene Reservierung aber ich möchte ja nicht jede Adresse reservieren müssen. Deshalb mein Ansatz mit einer Liste. Aber wo lässt sich am DHCP schon eine Liste einbinden.

Bezüglich M0n0wall hab ich schon eine Lösung.
Das beschrieben WLAN System ist ähmlich konfiguriert. Statt M0n0wall benutze ich einen HP Router der diese Funktion
schon mitbringt. Die Rezeption stellt dem Besucher einen Voucher aus und schon kann er innerhalb eines bestimmten Zeitramens ins Internet.

So dann werd ich mal sehen wie das mit der 802.1x Auth so funktioniert

Danke für die schnellen Antworten !


Gruß -Bender1220-
Bitte warten ..
Mitglied: dog
11.04.2009 um 16:12 Uhr
Da möchte ich nur noch kurz anmerken, dass 802.1x in kabelgebundenen Netzwerken bestimmte Sicherheitslücken hat (bedingt durch die Technik). Sicherer wäre hier ein VPN. Aber wenn eure Besucher nicht grade IT-Profis sind tut's 802.1x auch

Grüße

Max
Bitte warten ..
Mitglied: aqui
12.04.2009 um 11:27 Uhr
@dog
Wie kommst du auf solche Behauptung ?? Kann es sein das du hier etwas verwechselst ???
802.1x hat nichts (oder nur bedingt) mit Verschlüsselung oder VPNs zu tun !!!
Es ist lediglich eine Port Authentifizierung nichts anderes, KEINE VPN Funktion !
Ggf. solltest du das hier besser nochmal nachlesen:
http://de.wikipedia.org/wiki/IEEE_802.1X

Diese Auth. wird mit dem EAP Protokoll gemacht zu dem derzeit keinerlei Exploits bekannt sind. (Es wird ja auch in WLANs bei WPA 2 zum Schlüsselaustausch verwendet !!)

802.1x ist da absolut sicher. Da ist nichts bedingt durch die Technik unsicher !
Auch IT Profis benutzen gerade deshalb .1x wenns um Port Sicherheit geht !
Bitte warten ..
Mitglied: dog
12.04.2009 um 14:27 Uhr
802.1x hat in Wired-Netzwerken ein großes Problem: Es ist portbasiert.
Dadurch kann man es recht leicht umgehen wenn man folgendes Szenario hat:

In einer Firma werden Locked-Down-PCs und Switches mit 802.1x verwendet.
Die PCs melden sich beim Start am Switch an, der gibt den Port frei.
Wenn nun aber jemand einfach einen Hub zwischen Domänen-PC und Switch steckt und dort sein Laptop anschließt, schließlich noch die MAC-ID umbiegt hat man Zugriff auf das Netzwerk ohne ein Passwort wissen zu müssen. Für den Switch ist dieser Identitätswechsel nicht erkennbar, da es keinen Port-Disconnect und keinen Wechsel der MAC-IDs gibt - die einzelnen Pakete authentifiziert 802.1x ja eben nicht.

Q: http://blogs.technet.com/steve_lamb/archive/2004/11/20/267076.aspx

Dieses Problem kann man mit VPN umgehen, wenn man erstmal alle Rechner in ein Dummy-Netzwerk mit dem VPN-Gateway schmeißt bei dem sich dann die Domänen-PCs anmelden.
Natürlich muss man dann sicherstellen, dass die VPN-Anmeldedaten nicht geklaut werden können - Man muss sich aber die Frage stellen, ob der Aufwand wirklich gerechtfertigt ist.

Grüße

Max
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Netzwerk
USB-Gerät ins Netzwerk (Domäne) einbinden (3)

Frage von griss0r zum Thema Windows Netzwerk ...

Monitoring
Netzwerk-Qualität Monitoring Toolempfehlung (8)

Frage von michmeie zum Thema Monitoring ...

Windows 10
Plötzlich kein Netzwerk mehr (13)

Frage von ZeroCool23 zum Thema Windows 10 ...

LAN, WAN, Wireless
gelöst Netzwerk funktioniert nur in eine Richtung mit Gigabit (28)

Frage von DrChiwago zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...