colisspo
Goto Top

Interneteinschränkung anhand MAC-Adresse der Clients

Moin,
folgendes Szenario habe ich vor mir: Serverumgebung mit 28 Clients, 8 davon im Büro, 20 im Lager. Die Serverumgebung ist ein HyperV auf nem 2012R2, der AD und Exchange sind separat als VMs installiert. Jedenfalls ist es so, das die Jungs im Lager relativ häufig im Internet surfen anstatt zu arbeiten - eine Art "Kindersicherung" muss her. Man könnte jetzt sagen "Droht doch mit einer Abmahnung o.ä. Konsequenzen!" Stimmt, aber leider ist von der GeFü eine entsprechende IT-seitige Umsetzung gewünsct. Es gibt lediglich 2,3 Websites auf die zugegriffen werden müssen, der Rest kann unzugänglich bleiben.
Ich habe das Ganze mit der FritzBox (7490) Kindersicherung + Whitelist versucht, die funktioniert jedoch nur mit IP-Adressen. Da die Rechner aus firmeninternen Gründen keine festen IPs haben dürfen/sollen, möchte ich lieber über die MAC-Adresse der Clients eine Beschränkung vornehmen, was laut dem Internet mit der Fritzbox aber nur mit WLAN funktioniert, nicht mit LAN-Geräten.

Jetzt meine Frage: Wie kann ich am einfachsten einen LAN-MAC-Adress-Filter aufziehen, der bis auf wenige Ausnahmen sämtliche Internetadressen sperrt? Gäbe es eine Möglichkeit über eine Gruppenrichtlinie?

Content-ID: 337948

Url: https://administrator.de/forum/interneteinschraenkung-anhand-mac-adresse-der-clients-337948.html

Ausgedruckt am: 25.12.2024 um 02:12 Uhr

jhinrichs
jhinrichs 16.05.2017 um 15:59:22 Uhr
Goto Top
Moin,

ich würde einen filternden Proxy (z. B. mit squid+squidguard) einrichten, mit entsprechender Protokollierung (dabei arbeitsrechtliche Vorschriften beachten!).

Grüße
Colisspo
Colisspo 16.05.2017 um 16:09:21 Uhr
Goto Top
Hi jhinrichs,

danke für deine schnelle Antwort. Der Tipp an sich ist gut, jedoch kennt sich bei uns leider niemand mit Linux aus. Habe für Squid folgende Anleitung gefunden: http://linuxpitstop.com/install-squid-squidguard-and-block-websites-usi ...
Dort ist von einer Blacklist die Rede, bin mir jetzt unsicher ob das auch mit einer Whitelist geht.
Hat eventuell noch jemand einen anderen Vorschlag, der vielleicht mit windowseigenen Bordmitteln funktioniert?
Kraemer
Kraemer 16.05.2017 um 16:16:55 Uhr
Goto Top
Moin,

Zitat von @Colisspo:
Ich habe das Ganze mit der FritzBox (7490) Kindersicherung + Whitelist versucht, die funktioniert jedoch nur mit IP-Adressen.
Von der FritzBox-Lösung halte ich in einer Firma überhaupt nichts

Da die Rechner aus firmeninternen Gründen keine festen IPs haben dürfen/sollen,
kein Problem - nutze DHCP-Reservierungen. Dann kannst du vermutlich auch mit der Kindersicherung was erreichen

Gruß
Pjordorf
Pjordorf 16.05.2017 um 16:17:31 Uhr
Goto Top
Hallo,

Zitat von @Colisspo:
kennt sich bei uns leider niemand mit Linux aus.
Gibts auch für Windows. http://wiki.squid-cache.org/SquidFaq/BinaryPackages#Windows

Hat eventuell noch jemand einen anderen Vorschlag, der vielleicht mit windowseigenen Bordmitteln funktioniert?
Geht nicht und GPOs tuns auch nicht.
https://steelmon.wordpress.com/2009/11/22/setting-up-a-strict-whitelist- ...

Nutze doch die Macht von Google und belest euch..

Gruß,
Peter
Lochkartenstanzer
Lochkartenstanzer 16.05.2017 aktualisiert um 16:18:00 Uhr
Goto Top
Zitat von @Colisspo:

Der Tipp an sich ist gut, jedoch kennt sich bei uns leider niemand mit Linux aus.

Das ist kein Hinderungsgrund und so viel schwieriger ist das auch nicht.

Abgesehen davon läuft squid auch unter windows.

lks
Lochkartenstanzer
Lochkartenstanzer 16.05.2017 aktualisiert um 16:23:53 Uhr
Goto Top
Zitat von @Colisspo:

Ich habe das Ganze mit der FritzBox (7490) Kindersicherung + Whitelist versucht, die funktioniert jedoch nur mit IP-Adressen.


"Fritzbox-Firewall" ist Murks. In einer Firma definitiv.

Du solltest es lieber mit einer pfsense nach aquis Anleitung "Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät versuchen. Die kann auch nach MAC-Adressen filtern.

Alternativ könntest du einen 30€-Mikrotik-Router nehmen, wenn der Preis das Argument ist. allerdings ist da die Bedienung "nicht trivial".

lks
ChriBo
ChriBo 16.05.2017 um 21:22:57 Uhr
Goto Top
Hi,
pfsense [...] Die kann auch nach MAC-Adressen filtern.
klär mich bitte mal auf wo und wie das machbar ist.
(indirekt über feste Zuordnung MAC -> IP durch DHCP ist kein filtern ach MAC Adresse).

CH
ChriBo
ChriBo 16.05.2017, aktualisiert am 17.05.2017 um 08:37:31 Uhr
Goto Top
Hi,
ein direktes "filtern" auf einem Router bzw. Firewall nach MAC Adressen ist prinzipiell nicht möglich.
MAC Adressen sind OSI Layer 2, während Firewalls und Router auf Layer 3 und höher filtern.
-
Eine Lösung geht nur über "Helper" :
- Proxy mit Username/Passwort und entsprechende Regeln
- GroupPolicy bzw. IEAK z.B hier
- bessere Firewall bzw. Router plus statische IPs per fester Zuordnung plus entsprechende Regeln.
- ggf. Filtern auf einem Switch.


CH
132895
132895 17.05.2017 aktualisiert um 08:05:08 Uhr
Goto Top
ein direktes "filtern" auf einem Router bzw. Firewall nach MAC Adressen ist prinzipiell nicht möglich.
Ja, nee is klaa, mach ich nur selbst schon Jahre lang ..., Mikrotik z.B.:
/ip firewall filter add action=drop chain=forward src-mac-address=XX:XX:XX:XX:XX:XX

Also Blödsinn diese Aussage!

Gruß
ChriBo
ChriBo 17.05.2017 um 08:39:43 Uhr
Goto Top
Also Blödsinn diese Aussage!
Leider ja !
Wissen ist korrigiert.

CH
Lochkartenstanzer
Lochkartenstanzer 17.05.2017 aktualisiert um 08:59:29 Uhr
Goto Top
Zitat von @ChriBo:

Hi,
pfsense [...] Die kann auch nach MAC-Adressen filtern.
klär mich bitte mal auf wo und wie das machbar ist.
(indirekt über feste Zuordnung MAC -> IP durch DHCP ist kein filtern ach MAC Adresse).



Du kannst in der pfsense mit pfctl passende filter setzen, nachdem du die ethernetpakete getagged hast.

Ob man das wirklich tun will, ist wieder ein anderer Punkt. Da würde ich dann doch die Mikrotiks vorziehen.


lks
ashnod
ashnod 17.05.2017 aktualisiert um 09:14:32 Uhr
Goto Top
Zitat von @Colisspo:
Jetzt meine Frage: Wie kann ich am einfachsten einen LAN-MAC-Adress-Filter aufziehen, der bis auf wenige Ausnahmen sämtliche Internetadressen sperrt? Gäbe es eine Möglichkeit über eine Gruppenrichtlinie?

Moin ..

Ich habe aktuell zwar grade keine FB zu Verfügung.

Meiner Meinung nach funktioniert das aber MAC-basiert im LAN und WLAN

siehe auch https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...

Zudem glaube ich mich zu erinnern das es eine Software gibt die man auf dem PC installieren kann und die mit dem Regelwerk interagiert.

Sofern ich das finde reiche ich das nach.

VG
Ashnod

Edit: hier die Software: FRITZ!Box Kindersicherung / 04.02.03
brammer
brammer 17.05.2017 um 17:11:05 Uhr
Goto Top
Hallo,

Generell bezweifel ich mal ob ein MAC Adressen Filter Sinn macht!

MAC address Spoofing => damit ist die Mac Adresse in 10 min geändert und dann ist der im Netz...

Branmer
Lochkartenstanzer
Lochkartenstanzer 17.05.2017 um 17:19:32 Uhr
Goto Top
Zitat von @brammer:

Generell bezweifel ich mal ob ein MAC Adressen Filter Sinn macht!

MAC address Spoofing => damit ist die Mac Adresse in 10 min geändert und dann ist der im Netz...


Naja, generell ist eimn zulassen/ablehen anhand der MAC oder der IP-Adresse immer davon abhänghig, ob der betreffende gut- oder bösartig ist. gegen mutwilliges Spoofing hjilft nur Authentifikation. Gegen gutmütige Kisten, an denen keiner sitzt, der mutwillig IP- oder MAC-Adressen ändern will/kann reicht so ein Filter. Wenn man sich gegen MAC-Spoofing & Co. wapnen will, muß man ernsthaft über 802.11X nachdenken.

Es ist also wie immer davon abhängig, von welcher Bedrohungslage man ausgeht.

lks
Pjordorf
Pjordorf 17.05.2017 um 17:36:22 Uhr
Goto Top
Hallo,

Zitat von @Lochkartenstanzer:
Es ist also wie immer davon abhängig, von welcher Bedrohungslage man ausgeht.
Da wird dir jeder ernsthafte IT Admin / Sicherheitsbeauftragter etc. recht geben. Aber leider ist es so das immer mehr Admins ein "Ich will das, soll kein Aufwand bedeuten, darf nichts kosten, ich will mich nicht einarbeiten, es muss jetzt sein" von sich geben bzw. deutlich anzeigen. Du siehst ja, die Antworten ist der TO immer noch Schuldig und auch er hat einfach akzeptiert das der Chef es so will (keine feste IPs im LAN - dafür aber lieber per MAC einen heidenzirkus veranstalten). da kann man den TO eigentlich nur noch dazu raten an allen Rechner die GW leer zu lassen oder eine nicht benutze / falsche IP dort einzutragen... Viele wollen wegen des mehraufwands gar nicht hinterfragen warum etwas zu sein soll. In Facebook und Co. sagt ja auch immer einer was und wo abgeht - der rest ist ja follower... face-smile (Der Smiley soll etwas entschärfen, aber lustig ist es in der tat nicht).

Gruß,
Peter
Colisspo
Colisspo 18.05.2017 um 08:35:41 Uhr
Goto Top
Eine akute Bedrohungslage gibt es nicht, es soll die MAs wie gesagt lediglich daran hindern zu surfen, mehr nicht.
Habe das ganze jetzt erstmal über die Fritzbox gelöst. Ist zwar nicht besonders schön, tut aber seinen Dienst. Ob die Jungs die dort arbeiten das nötige Knowhow besitzen irgendwie dazwischenzufummeln bezweifle ich zwar, möglich ist aber alles. Ich werde mir die einzelnen Vorschläge hier mal genau ansehen und schauen, was davon die passendste Lösung ist. Das Ganze kann erstmal als gelöst markiert werden. Danke für die Vorschläge!