colisspo
Goto Top

Interneteinschränkung anhand MAC-Adresse der Clients

Moin,
folgendes Szenario habe ich vor mir: Serverumgebung mit 28 Clients, 8 davon im Büro, 20 im Lager. Die Serverumgebung ist ein HyperV auf nem 2012R2, der AD und Exchange sind separat als VMs installiert. Jedenfalls ist es so, das die Jungs im Lager relativ häufig im Internet surfen anstatt zu arbeiten - eine Art "Kindersicherung" muss her. Man könnte jetzt sagen "Droht doch mit einer Abmahnung o.ä. Konsequenzen!" Stimmt, aber leider ist von der GeFü eine entsprechende IT-seitige Umsetzung gewünsct. Es gibt lediglich 2,3 Websites auf die zugegriffen werden müssen, der Rest kann unzugänglich bleiben.
Ich habe das Ganze mit der FritzBox (7490) Kindersicherung + Whitelist versucht, die funktioniert jedoch nur mit IP-Adressen. Da die Rechner aus firmeninternen Gründen keine festen IPs haben dürfen/sollen, möchte ich lieber über die MAC-Adresse der Clients eine Beschränkung vornehmen, was laut dem Internet mit der Fritzbox aber nur mit WLAN funktioniert, nicht mit LAN-Geräten.

Jetzt meine Frage: Wie kann ich am einfachsten einen LAN-MAC-Adress-Filter aufziehen, der bis auf wenige Ausnahmen sämtliche Internetadressen sperrt? Gäbe es eine Möglichkeit über eine Gruppenrichtlinie?

Content-Key: 337948

Url: https://administrator.de/contentid/337948

Printed on: May 22, 2024 at 23:05 o'clock

Member: jhinrichs
jhinrichs May 16, 2017 at 13:59:22 (UTC)
Goto Top
Moin,

ich würde einen filternden Proxy (z. B. mit squid+squidguard) einrichten, mit entsprechender Protokollierung (dabei arbeitsrechtliche Vorschriften beachten!).

Grüße
Member: Colisspo
Colisspo May 16, 2017 at 14:09:21 (UTC)
Goto Top
Hi jhinrichs,

danke für deine schnelle Antwort. Der Tipp an sich ist gut, jedoch kennt sich bei uns leider niemand mit Linux aus. Habe für Squid folgende Anleitung gefunden: http://linuxpitstop.com/install-squid-squidguard-and-block-websites-usi ...
Dort ist von einer Blacklist die Rede, bin mir jetzt unsicher ob das auch mit einer Whitelist geht.
Hat eventuell noch jemand einen anderen Vorschlag, der vielleicht mit windowseigenen Bordmitteln funktioniert?
Member: Kraemer
Kraemer May 16, 2017 at 14:16:55 (UTC)
Goto Top
Moin,

Zitat von @Colisspo:
Ich habe das Ganze mit der FritzBox (7490) Kindersicherung + Whitelist versucht, die funktioniert jedoch nur mit IP-Adressen.
Von der FritzBox-Lösung halte ich in einer Firma überhaupt nichts

Da die Rechner aus firmeninternen Gründen keine festen IPs haben dürfen/sollen,
kein Problem - nutze DHCP-Reservierungen. Dann kannst du vermutlich auch mit der Kindersicherung was erreichen

Gruß
Member: Pjordorf
Pjordorf May 16, 2017 at 14:17:31 (UTC)
Goto Top
Hallo,

Zitat von @Colisspo:
kennt sich bei uns leider niemand mit Linux aus.
Gibts auch für Windows. http://wiki.squid-cache.org/SquidFaq/BinaryPackages#Windows

Hat eventuell noch jemand einen anderen Vorschlag, der vielleicht mit windowseigenen Bordmitteln funktioniert?
Geht nicht und GPOs tuns auch nicht.
https://steelmon.wordpress.com/2009/11/22/setting-up-a-strict-whitelist- ...

Nutze doch die Macht von Google und belest euch..

Gruß,
Peter
Member: Lochkartenstanzer
Lochkartenstanzer May 16, 2017 updated at 14:18:00 (UTC)
Goto Top
Zitat von @Colisspo:

Der Tipp an sich ist gut, jedoch kennt sich bei uns leider niemand mit Linux aus.

Das ist kein Hinderungsgrund und so viel schwieriger ist das auch nicht.

Abgesehen davon läuft squid auch unter windows.

lks
Member: Lochkartenstanzer
Lochkartenstanzer May 16, 2017 updated at 14:23:53 (UTC)
Goto Top
Zitat von @Colisspo:

Ich habe das Ganze mit der FritzBox (7490) Kindersicherung + Whitelist versucht, die funktioniert jedoch nur mit IP-Adressen.


"Fritzbox-Firewall" ist Murks. In einer Firma definitiv.

Du solltest es lieber mit einer pfsense nach aquis Anleitung "Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät versuchen. Die kann auch nach MAC-Adressen filtern.

Alternativ könntest du einen 30€-Mikrotik-Router nehmen, wenn der Preis das Argument ist. allerdings ist da die Bedienung "nicht trivial".

lks
Member: ChriBo
ChriBo May 16, 2017 at 19:22:57 (UTC)
Goto Top
Hi,
pfsense [...] Die kann auch nach MAC-Adressen filtern.
klär mich bitte mal auf wo und wie das machbar ist.
(indirekt über feste Zuordnung MAC -> IP durch DHCP ist kein filtern ach MAC Adresse).

CH
Member: ChriBo
ChriBo May 16, 2017, updated at May 17, 2017 at 06:37:31 (UTC)
Goto Top
Hi,
ein direktes "filtern" auf einem Router bzw. Firewall nach MAC Adressen ist prinzipiell nicht möglich.
MAC Adressen sind OSI Layer 2, während Firewalls und Router auf Layer 3 und höher filtern.
-
Eine Lösung geht nur über "Helper" :
- Proxy mit Username/Passwort und entsprechende Regeln
- GroupPolicy bzw. IEAK z.B hier
- bessere Firewall bzw. Router plus statische IPs per fester Zuordnung plus entsprechende Regeln.
- ggf. Filtern auf einem Switch.


CH
Mitglied: 132895
132895 May 17, 2017 updated at 06:05:08 (UTC)
Goto Top
ein direktes "filtern" auf einem Router bzw. Firewall nach MAC Adressen ist prinzipiell nicht möglich.
Ja, nee is klaa, mach ich nur selbst schon Jahre lang ..., Mikrotik z.B.:
/ip firewall filter add action=drop chain=forward src-mac-address=XX:XX:XX:XX:XX:XX

Also Blödsinn diese Aussage!

Gruß
Member: ChriBo
ChriBo May 17, 2017 at 06:39:43 (UTC)
Goto Top
Also Blödsinn diese Aussage!
Leider ja !
Wissen ist korrigiert.

CH
Member: Lochkartenstanzer
Lochkartenstanzer May 17, 2017 updated at 06:59:29 (UTC)
Goto Top
Zitat von @ChriBo:

Hi,
pfsense [...] Die kann auch nach MAC-Adressen filtern.
klär mich bitte mal auf wo und wie das machbar ist.
(indirekt über feste Zuordnung MAC -> IP durch DHCP ist kein filtern ach MAC Adresse).



Du kannst in der pfsense mit pfctl passende filter setzen, nachdem du die ethernetpakete getagged hast.

Ob man das wirklich tun will, ist wieder ein anderer Punkt. Da würde ich dann doch die Mikrotiks vorziehen.


lks
Member: ashnod
ashnod May 17, 2017 updated at 07:14:32 (UTC)
Goto Top
Zitat von @Colisspo:
Jetzt meine Frage: Wie kann ich am einfachsten einen LAN-MAC-Adress-Filter aufziehen, der bis auf wenige Ausnahmen sämtliche Internetadressen sperrt? Gäbe es eine Möglichkeit über eine Gruppenrichtlinie?

Moin ..

Ich habe aktuell zwar grade keine FB zu Verfügung.

Meiner Meinung nach funktioniert das aber MAC-basiert im LAN und WLAN

siehe auch https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...

Zudem glaube ich mich zu erinnern das es eine Software gibt die man auf dem PC installieren kann und die mit dem Regelwerk interagiert.

Sofern ich das finde reiche ich das nach.

VG
Ashnod

Edit: hier die Software: FRITZ!Box Kindersicherung / 04.02.03
Member: brammer
brammer May 17, 2017 at 15:11:05 (UTC)
Goto Top
Hallo,

Generell bezweifel ich mal ob ein MAC Adressen Filter Sinn macht!

MAC address Spoofing => damit ist die Mac Adresse in 10 min geändert und dann ist der im Netz...

Branmer
Member: Lochkartenstanzer
Lochkartenstanzer May 17, 2017 at 15:19:32 (UTC)
Goto Top
Zitat von @brammer:

Generell bezweifel ich mal ob ein MAC Adressen Filter Sinn macht!

MAC address Spoofing => damit ist die Mac Adresse in 10 min geändert und dann ist der im Netz...


Naja, generell ist eimn zulassen/ablehen anhand der MAC oder der IP-Adresse immer davon abhänghig, ob der betreffende gut- oder bösartig ist. gegen mutwilliges Spoofing hjilft nur Authentifikation. Gegen gutmütige Kisten, an denen keiner sitzt, der mutwillig IP- oder MAC-Adressen ändern will/kann reicht so ein Filter. Wenn man sich gegen MAC-Spoofing & Co. wapnen will, muß man ernsthaft über 802.11X nachdenken.

Es ist also wie immer davon abhängig, von welcher Bedrohungslage man ausgeht.

lks
Member: Pjordorf
Pjordorf May 17, 2017 at 15:36:22 (UTC)
Goto Top
Hallo,

Zitat von @Lochkartenstanzer:
Es ist also wie immer davon abhängig, von welcher Bedrohungslage man ausgeht.
Da wird dir jeder ernsthafte IT Admin / Sicherheitsbeauftragter etc. recht geben. Aber leider ist es so das immer mehr Admins ein "Ich will das, soll kein Aufwand bedeuten, darf nichts kosten, ich will mich nicht einarbeiten, es muss jetzt sein" von sich geben bzw. deutlich anzeigen. Du siehst ja, die Antworten ist der TO immer noch Schuldig und auch er hat einfach akzeptiert das der Chef es so will (keine feste IPs im LAN - dafür aber lieber per MAC einen heidenzirkus veranstalten). da kann man den TO eigentlich nur noch dazu raten an allen Rechner die GW leer zu lassen oder eine nicht benutze / falsche IP dort einzutragen... Viele wollen wegen des mehraufwands gar nicht hinterfragen warum etwas zu sein soll. In Facebook und Co. sagt ja auch immer einer was und wo abgeht - der rest ist ja follower... face-smile (Der Smiley soll etwas entschärfen, aber lustig ist es in der tat nicht).

Gruß,
Peter
Member: Colisspo
Colisspo May 18, 2017 at 06:35:41 (UTC)
Goto Top
Eine akute Bedrohungslage gibt es nicht, es soll die MAs wie gesagt lediglich daran hindern zu surfen, mehr nicht.
Habe das ganze jetzt erstmal über die Fritzbox gelöst. Ist zwar nicht besonders schön, tut aber seinen Dienst. Ob die Jungs die dort arbeiten das nötige Knowhow besitzen irgendwie dazwischenzufummeln bezweifle ich zwar, möglich ist aber alles. Ich werde mir die einzelnen Vorschläge hier mal genau ansehen und schauen, was davon die passendste Lösung ist. Das Ganze kann erstmal als gelöst markiert werden. Danke für die Vorschläge!