Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zugriff auf das Netzwerk selbst beschränken

Frage Sicherheit

Mitglied: diemilz

diemilz (Level 1) - Jetzt verbinden

02.12.2008, aktualisiert 03.12.2008, 5843 Aufrufe, 8 Kommentare

Ich administriere aktuell eine Berufsschule und wir planen ein neues Netzwerk. Mein Problem hört sich bestimmt doch sehr kompliziert an, ich versuche es mal so einfach wie möglich zu erklären.

Wir planen bei uns ein neues Netzwerk auf der Basis von Windows Server 2008, welches auf mehr Sicherheit und Stabilität ausgelegt ist. Dabei möchte ich auch realisieren, dass nur Rechner, die von mir explizit freigeschaltet werden, Zugang zum Netzwerk bekommen (Zugriff auf Server, Drucker, Internet, etc.). Unsere Schule hat rund 1400 Schüler, von denen etwa schätzungsweise 400 ein eigenes Laptop besitzen.

Das ganze soll dann so aussehen:
Wenn ein PC oder ein Laptop ins LAN angeschlossen wird, soll überprüft werden, ob bestimmte eindeutige Eigenschaften des Systems (z.B. die MAC-Adresse) in einer Whitelist vorhanden sind. Ist das der Fall, bekommt der Rechner eine IP zugewiesen und hat dann Zugriff auf das Netz. Ist dies nicht der Fall, bekommt er keine IP und hat auch keinen Zugriff, aber selbst wenn er sich eine IP von Hand einstellt, hat er keinen Zugriff. Wie kann ich das realisieren?

Für Zugriff über WLAN habe ich bereits eine Lösung gefunden, die aber noch nicht perfekt ist. Ich habe Access-Points von Linksys (den WAP2000), die ich über RADIUS anspreche (NAP-Server in Windows Server 2008). Die Benutzer authentifizieren sich mit ihrem normalen Benutzernamen und ihrem Passwort (WPA(2)-Enterprise). Nur möchte ich die Anmeldedaten gerne an die MAC-Adresse koppeln, aber anscheinend ist das im NAP-Server nicht möglich. Wie kann ich sicherstellen, dass das sich anmeldende Laptop auch wirklich das ist, für was es sich ausgibt? Die Möglichkeit von Zertifikaten habe ich auch im Auge, aber ich habe damit schon rumexperimentiert und kriege das nicht zum Laufen? Gibt es da ein HowTo für solche Fälle?

Wir haben an der Schule hier zwei CISCO-Experten, die CCNA Instructors sind. Wir verfügen über zwei CISCO Catalyst WG3560 TS-S Switche, die als Backbone der beiden großen Abteilungen dienen. Kann man die zur Authentifizierung verwenden und wenn ja wie?

Ich habe das Google-Orakel und die Suche hier schon bemüht, aber ich finde meist nur Themen über Zugriffsbeschränkungen auf Windows-Freigaben oder ich hab nicht richtig geschaut.

Ich hoffe, ihr könnt mir weiterhelfen und ich habe euch mit meiner Problematik nicht erschreckt. Ich bin auch noch nicht der erfahrenste Administrator, da ich letztes Jahr erst meine Ausbildung abgeschlossen habe.
Mitglied: harald21
02.12.2008 um 09:41 Uhr
Hallo,

die Cisco-Switche kannst du verwenden, um sicherzustellen, das auch mit manueller IP-Adresse kein Netzzugriff möglich ist (Stichwort: port security). Mit Windows allein läßt sich so etwas nicht realisieren.
Details findest du hier:
http://articles.techrepublic.com.com/5100-10878_11-6123047.html
http://www.itsyourip.com/cisco/configure-cisco-port-security-on-switche ...

Mit freundlichen Grüßen
Harald
Bitte warten ..
Mitglied: Kosh
02.12.2008 um 09:59 Uhr
Ein Schubs in die richtige Richtung:
http://de.wikipedia.org/wiki/802.1x

Aktuellere Managebare Switches können das durchgehend.
Nachteil dabei: Alle Switches in eurem Unternehmen müssen diese Authentifizierungsmethode unterstützen, sonst machts wenig Sinn.
Bitte warten ..
Mitglied: diemilz
02.12.2008 um 12:39 Uhr
Die Lösung mit den Cisco Switchen gefällt mir besser, da wir nicht durchgehend managebare Switche haben. Das Thema 802.1x hatte ich nämlich auch im Visier und setze es zum Teil für den Zugriff per WLAN ein. In den Artikeln zu Port Security steht aber nichts dazu drin, ob ich die MAC-Adressen nur pro Port oder allgemein zulassen kann. Denn ich glaube nicht, dass 132 MAC-Adressen pro Port ausreichen werden. Besser wäre es, wenn ich die MAC-Adressen allgemein in den Layer-3-Switch eintragen könnte, sodass diese auf allen Ports zugelassen ist. Wäre das möglich?
Bitte warten ..
Mitglied: aqui
02.12.2008 um 18:03 Uhr
Nein, das ist nicht möglich denn der L3 Switch forwardet ja nicht auf MAC Basis sondern auf IP Basis.
Macs gelten immer nur in einer per VLAN Basis...

Sollten deine CCNA Instructors eigentlich wie aus der Pistole geschossen wissen !
Auch verwunderlich das sie dir zum Thema Port Security scheinbar gar nichts gesagt haben....
Bitte warten ..
Mitglied: diemilz
03.12.2008 um 14:52 Uhr
Doch, haben sie, nachdem ich sie darauf hingewiesen habe. Anscheinend wird dieses Thema erst im CCNA 4 durchgenommen und die unterrichten aufgrund der mangelnden Zeit nur CCNA 1 und 2. Natürlich wissen sie es nicht mehr ganz auswendig, logisch, wenn man damit nicht jeden Tag zu tun hat.

Ich will ja nur, dass ich in einer Whitelist festlegen kann, welche PCs zugreifen dürfen. Diese Whitelist soll im Prinzip für den kompletten Server gelten, nicht für einzelne Ports. Ist das realisierbar?
Bitte warten ..
Mitglied: aqui
03.12.2008 um 15:17 Uhr
Auch ohne Cisco CC*** Marketing Schnickschnack und Pseudo Titeln sollte man sowas wissen, denn das können natürlich auch alle anderen Hersteller am Markt mit gleichem Umfang, Performance und zu erheblich geringeren Kosten !!!

Am besten löst du sowas mit zentraler MAC Authentifikation über einen Radius Server. Hat dann aber den Nachteil für dich das du die Macs einmal zentral pflegen musst.
Sonst bleibt dir nur 802.1x Authentifikation mit Username/Passwort oder Zertifikaten...
Für letzteres müssen deine Switches aber mitspielen (Features)

Fürs WLAN bietet sich dann auch eine CP Lösung an für Gäste und Benutzer die man ebenfalls über den Radius laufen lassen kann wie z.B. sowas...

http://www.administrator.de/WLAN_oder_LAN_Gastzugang_einrichten_mit_ein ...
Bitte warten ..
Mitglied: DerWoWusste
21.12.2008 um 14:19 Uhr
Was ich bei den überflogenen Antworten jetzt noch nicht entdeckt habe, war einzugehen auf die Domänenfunktion selbst. Die Doäne bzw. Domänenzugehörigkeit ist doch schon die Sicherheitsgrenze, die Du suchst. Ist in der Domäne eine Resource für "Jeder" freigegeben, heißt das eben nicht weltweit jeder, sondern jeder Domänenbenutzer.
Suchst Du nach "expliziter Freischaltung", so denke ich an Domänenzugehörigkeit:ja/nein.
Auch mit NAP bist Du sicher auf der richtigen Spur, da kann ich aber keine großen Erfahrungen weitergeben.
Bitte warten ..
Mitglied: muratkec
11.06.2009 um 10:52 Uhr
das gleiche problem hatten wir in unserer firma dann haben wir angefangen das Program Active Directory Management zu benutzen dadurch können wir jeden pc denn wir wollen auf die whitelist anlegen und jederzeit kontrolieren .
kannst du dir über Windows Server 2003 Administration Tools Pack instalieren .
das einziege problem was du haben würdest ist das du dann alle pc einfügen musst geht aber ca. 30 sekunden
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Router & Routing
Zugriff auf Netzwerk ohne public-IP (14)

Frage von tr1plx zum Thema Router & Routing ...

Windows Server
Kein Zugriff auf Netzwerk-Unterordner - trotz Berechtigung?! (4)

Frage von ordi303 zum Thema Windows Server ...

LAN, WAN, Wireless
Kein Zugriff im Netzwerk auf externe Festplatte (2)

Frage von achklein zum Thema LAN, WAN, Wireless ...

Vmware
gelöst Neu-erstelltes VMware Guest System bekommt kein Zugriff aufs Netzwerk (10)

Frage von DenverCoder9 zum Thema Vmware ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Router & Routing
gelöst Empfehlung günstiges ADSL2+ nur Modem (10)

Frage von TimMayer zum Thema Router & Routing ...

Server-Hardware
Lenovo Server System X 3650 M5 Festplatten (9)

Frage von Hendrik2586 zum Thema Server-Hardware ...