Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zugriff auf das Netzwerk selbst beschränken

Frage Sicherheit

Mitglied: diemilz

diemilz (Level 1) - Jetzt verbinden

02.12.2008, aktualisiert 03.12.2008, 6169 Aufrufe, 8 Kommentare

Ich administriere aktuell eine Berufsschule und wir planen ein neues Netzwerk. Mein Problem hört sich bestimmt doch sehr kompliziert an, ich versuche es mal so einfach wie möglich zu erklären.

Wir planen bei uns ein neues Netzwerk auf der Basis von Windows Server 2008, welches auf mehr Sicherheit und Stabilität ausgelegt ist. Dabei möchte ich auch realisieren, dass nur Rechner, die von mir explizit freigeschaltet werden, Zugang zum Netzwerk bekommen (Zugriff auf Server, Drucker, Internet, etc.). Unsere Schule hat rund 1400 Schüler, von denen etwa schätzungsweise 400 ein eigenes Laptop besitzen.

Das ganze soll dann so aussehen:
Wenn ein PC oder ein Laptop ins LAN angeschlossen wird, soll überprüft werden, ob bestimmte eindeutige Eigenschaften des Systems (z.B. die MAC-Adresse) in einer Whitelist vorhanden sind. Ist das der Fall, bekommt der Rechner eine IP zugewiesen und hat dann Zugriff auf das Netz. Ist dies nicht der Fall, bekommt er keine IP und hat auch keinen Zugriff, aber selbst wenn er sich eine IP von Hand einstellt, hat er keinen Zugriff. Wie kann ich das realisieren?

Für Zugriff über WLAN habe ich bereits eine Lösung gefunden, die aber noch nicht perfekt ist. Ich habe Access-Points von Linksys (den WAP2000), die ich über RADIUS anspreche (NAP-Server in Windows Server 2008). Die Benutzer authentifizieren sich mit ihrem normalen Benutzernamen und ihrem Passwort (WPA(2)-Enterprise). Nur möchte ich die Anmeldedaten gerne an die MAC-Adresse koppeln, aber anscheinend ist das im NAP-Server nicht möglich. Wie kann ich sicherstellen, dass das sich anmeldende Laptop auch wirklich das ist, für was es sich ausgibt? Die Möglichkeit von Zertifikaten habe ich auch im Auge, aber ich habe damit schon rumexperimentiert und kriege das nicht zum Laufen? Gibt es da ein HowTo für solche Fälle?

Wir haben an der Schule hier zwei CISCO-Experten, die CCNA Instructors sind. Wir verfügen über zwei CISCO Catalyst WG3560 TS-S Switche, die als Backbone der beiden großen Abteilungen dienen. Kann man die zur Authentifizierung verwenden und wenn ja wie?

Ich habe das Google-Orakel und die Suche hier schon bemüht, aber ich finde meist nur Themen über Zugriffsbeschränkungen auf Windows-Freigaben oder ich hab nicht richtig geschaut.

Ich hoffe, ihr könnt mir weiterhelfen und ich habe euch mit meiner Problematik nicht erschreckt. Ich bin auch noch nicht der erfahrenste Administrator, da ich letztes Jahr erst meine Ausbildung abgeschlossen habe.
Mitglied: harald21
02.12.2008 um 09:41 Uhr
Hallo,

die Cisco-Switche kannst du verwenden, um sicherzustellen, das auch mit manueller IP-Adresse kein Netzzugriff möglich ist (Stichwort: port security). Mit Windows allein läßt sich so etwas nicht realisieren.
Details findest du hier:
http://articles.techrepublic.com.com/5100-10878_11-6123047.html
http://www.itsyourip.com/cisco/configure-cisco-port-security-on-switche ...

mfg
Harald
Bitte warten ..
Mitglied: Kosh
02.12.2008 um 09:59 Uhr
Ein Schubs in die richtige Richtung:
http://de.wikipedia.org/wiki/802.1x

Aktuellere Managebare Switches können das durchgehend.
Nachteil dabei: Alle Switches in eurem Unternehmen müssen diese Authentifizierungsmethode unterstützen, sonst machts wenig Sinn.
Bitte warten ..
Mitglied: diemilz
02.12.2008 um 12:39 Uhr
Die Lösung mit den Cisco Switchen gefällt mir besser, da wir nicht durchgehend managebare Switche haben. Das Thema 802.1x hatte ich nämlich auch im Visier und setze es zum Teil für den Zugriff per WLAN ein. In den Artikeln zu Port Security steht aber nichts dazu drin, ob ich die MAC-Adressen nur pro Port oder allgemein zulassen kann. Denn ich glaube nicht, dass 132 MAC-Adressen pro Port ausreichen werden. Besser wäre es, wenn ich die MAC-Adressen allgemein in den Layer-3-Switch eintragen könnte, sodass diese auf allen Ports zugelassen ist. Wäre das möglich?
Bitte warten ..
Mitglied: aqui
02.12.2008 um 18:03 Uhr
Nein, das ist nicht möglich denn der L3 Switch forwardet ja nicht auf MAC Basis sondern auf IP Basis.
Macs gelten immer nur in einer per VLAN Basis...

Sollten deine CCNA Instructors eigentlich wie aus der Pistole geschossen wissen !
Auch verwunderlich das sie dir zum Thema Port Security scheinbar gar nichts gesagt haben....
Bitte warten ..
Mitglied: diemilz
03.12.2008 um 14:52 Uhr
Doch, haben sie, nachdem ich sie darauf hingewiesen habe. Anscheinend wird dieses Thema erst im CCNA 4 durchgenommen und die unterrichten aufgrund der mangelnden Zeit nur CCNA 1 und 2. Natürlich wissen sie es nicht mehr ganz auswendig, logisch, wenn man damit nicht jeden Tag zu tun hat.

Ich will ja nur, dass ich in einer Whitelist festlegen kann, welche PCs zugreifen dürfen. Diese Whitelist soll im Prinzip für den kompletten Server gelten, nicht für einzelne Ports. Ist das realisierbar?
Bitte warten ..
Mitglied: aqui
03.12.2008 um 15:17 Uhr
Auch ohne Cisco CC*** Marketing Schnickschnack und Pseudo Titeln sollte man sowas wissen, denn das können natürlich auch alle anderen Hersteller am Markt mit gleichem Umfang, Performance und zu erheblich geringeren Kosten !!!

Am besten löst du sowas mit zentraler MAC Authentifikation über einen Radius Server. Hat dann aber den Nachteil für dich das du die Macs einmal zentral pflegen musst.
Sonst bleibt dir nur 802.1x Authentifikation mit Username/Passwort oder Zertifikaten...
Für letzteres müssen deine Switches aber mitspielen (Features)

Fürs WLAN bietet sich dann auch eine CP Lösung an für Gäste und Benutzer die man ebenfalls über den Radius laufen lassen kann wie z.B. sowas...

http://www.administrator.de/WLAN_oder_LAN_Gastzugang_einrichten_mit_ein ...
Bitte warten ..
Mitglied: DerWoWusste
21.12.2008 um 14:19 Uhr
Was ich bei den überflogenen Antworten jetzt noch nicht entdeckt habe, war einzugehen auf die Domänenfunktion selbst. Die Doäne bzw. Domänenzugehörigkeit ist doch schon die Sicherheitsgrenze, die Du suchst. Ist in der Domäne eine Resource für "Jeder" freigegeben, heißt das eben nicht weltweit jeder, sondern jeder Domänenbenutzer.
Suchst Du nach "expliziter Freischaltung", so denke ich an Domänenzugehörigkeit:ja/nein.
Auch mit NAP bist Du sicher auf der richtigen Spur, da kann ich aber keine großen Erfahrungen weitergeben.
Bitte warten ..
Mitglied: muratkec
11.06.2009 um 10:52 Uhr
das gleiche problem hatten wir in unserer firma dann haben wir angefangen das Program Active Directory Management zu benutzen dadurch können wir jeden pc denn wir wollen auf die whitelist anlegen und jederzeit kontrolieren .
kannst du dir über Windows Server 2003 Administration Tools Pack instalieren .
das einziege problem was du haben würdest ist das du dann alle pc einfügen musst geht aber ca. 30 sekunden
Bitte warten ..
Ähnliche Inhalte
Windows Server
RDP Verbindung Zugriffe beschränken
Frage von tokra11Windows Server7 Kommentare

Hi zusammen, habe hier einen Win2012R2 Server auf welchem verschiedene Webanwendungen laufen. In der letzten Zeit habe ich erschreckend ...

Windows Server
Printserver - Zugriff auf Freigabe beschränken
Frage von sartoriWindows Server2 Kommentare

Hallo zusammen Wir haben einen Microsoft Print-Server (2012) in unserem Netzwerk installiert. Wenn ich nun im Windows Explorer mit ...

Server
Htaccess Zugriff auf Webseite über DDNS-FQDN beschränken
gelöst Frage von keine-ahnungServer4 Kommentare

Moin in's Rund, mal eine Frage an die, die sich in webservern und htaccess besser auskennen als ich also ...

Windows Server
RDP Zugriff auf einen Terminalserver auf bestimmte Clients zu beschränken ?
gelöst Frage von johanna-pWindows Server7 Kommentare

Hallo, gibt es eine Möglichkeit den RDP Zugriff auf einen Terminalserver auf bestimmte Clients zu beschränken ? Ich habe ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Necur-Botnet soll Erpressungstrojaner Scarab massenhaft verbreiten

Information von BassFishFox vor 11 StundenErkennung und -Abwehr

12,5 Millionen Spam-Mails aus einem Bot-Netz mit 6 Millionen Computern? Eigentlich eine schwache Leistung. Die Erpresser setzen dabei auf ...

Microsoft

Nadeldrucker-Problem unter Windows - Microsoft liefert Updates

Information von BassFishFox vor 12 StundenMicrosoft

Hat ja nicht lange gedauert. Nachdem die November-Updates für Windows 7, 8.1 und 10 zahlreiche Nadeldrucker lahmgelegt hatten, stellt ...

Linux

Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde

Information von Frank vor 20 StundenLinux14 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 1 TagBatch & Shell9 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Heiß diskutierte Inhalte
Windows Server
Kann man im KMS nachschauen , wieviele Clients den Key in Anspruch genommen haben
gelöst Frage von rainergugusWindows Server15 Kommentare

Hallo, wir haben einen KMS Windows 10 Key. Dieser ist ja W7 kompatibel. Aber unser Windows 7 Pool registriert ...

Router & Routing
Zwei Netzwerke erstellen
Frage von bunteblumeRouter & Routing14 Kommentare

Hallo Zusammen, Ich möchte gerne ein backup von einem bestimmten Folder welcher auf dem Server regelmässig synchronisiert wird auf ...

Linux
Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde
Information von FrankLinux14 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Off Topic
Fachkräftemangel in Deutschland? - Talentschmiede schreibt alle 2 Tage die gleichen Stellen aus
Frage von Penny.CilinOff Topic12 Kommentare

Hallo, haben wir in Deutschland Fachkräftemangel? Die Talentschmiede schreibt gefühlt alle zwei Tage dieselben Stellen aus. Und das schon ...