16
Interneteinschränkung anhand MAC-Adresse der Clients
Moin,
folgendes Szenario habe ich vor mir: Serverumgebung mit 28 Clients, 8 davon im Büro, 20 im Lager. Die Serverumgebung ist ein HyperV auf nem 2012R2, der AD und Exchange sind separat als VMs installiert. Jedenfalls ist es so, das die Jungs im Lager relativ häufig im Internet surfen anstatt zu arbeiten - eine Art "Kindersicherung" muss her. Man könnte jetzt sagen "Droht doch mit einer Abmahnung o.ä. Konsequenzen!" Stimmt, aber leider ist von der GeFü eine entsprechende IT-seitige Umsetzung gewünsct. Es gibt lediglich 2,3 Websites auf die zugegriffen werden müssen, der Rest kann unzugänglich bleiben.
Ich habe das Ganze mit der FritzBox (7490) Kindersicherung + Whitelist versucht, die funktioniert jedoch nur mit IP-Adressen. Da die Rechner aus firmeninternen Gründen keine festen IPs haben dürfen/sollen, möchte ich lieber über die MAC-Adresse der Clients eine Beschränkung vornehmen, was laut dem Internet mit der Fritzbox aber nur mit WLAN funktioniert, nicht mit LAN-Geräten.
Jetzt meine Frage: Wie kann ich am einfachsten einen LAN-MAC-Adress-Filter aufziehen, der bis auf wenige Ausnahmen sämtliche Internetadressen sperrt? Gäbe es eine Möglichkeit über eine Gruppenrichtlinie?
folgendes Szenario habe ich vor mir: Serverumgebung mit 28 Clients, 8 davon im Büro, 20 im Lager. Die Serverumgebung ist ein HyperV auf nem 2012R2, der AD und Exchange sind separat als VMs installiert. Jedenfalls ist es so, das die Jungs im Lager relativ häufig im Internet surfen anstatt zu arbeiten - eine Art "Kindersicherung" muss her. Man könnte jetzt sagen "Droht doch mit einer Abmahnung o.ä. Konsequenzen!" Stimmt, aber leider ist von der GeFü eine entsprechende IT-seitige Umsetzung gewünsct. Es gibt lediglich 2,3 Websites auf die zugegriffen werden müssen, der Rest kann unzugänglich bleiben.
Ich habe das Ganze mit der FritzBox (7490) Kindersicherung + Whitelist versucht, die funktioniert jedoch nur mit IP-Adressen. Da die Rechner aus firmeninternen Gründen keine festen IPs haben dürfen/sollen, möchte ich lieber über die MAC-Adresse der Clients eine Beschränkung vornehmen, was laut dem Internet mit der Fritzbox aber nur mit WLAN funktioniert, nicht mit LAN-Geräten.
Jetzt meine Frage: Wie kann ich am einfachsten einen LAN-MAC-Adress-Filter aufziehen, der bis auf wenige Ausnahmen sämtliche Internetadressen sperrt? Gäbe es eine Möglichkeit über eine Gruppenrichtlinie?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 337948
Url: https://administrator.de/contentid/337948
Ausgedruckt am: 22.11.2024 um 02:11 Uhr
16 Kommentare
Neuester Kommentar
Moin,
ich würde einen filternden Proxy (z. B. mit squid+squidguard) einrichten, mit entsprechender Protokollierung (dabei arbeitsrechtliche Vorschriften beachten!).
Grüße
ich würde einen filternden Proxy (z. B. mit squid+squidguard) einrichten, mit entsprechender Protokollierung (dabei arbeitsrechtliche Vorschriften beachten!).
Grüße
Hi jhinrichs,
danke für deine schnelle Antwort. Der Tipp an sich ist gut, jedoch kennt sich bei uns leider niemand mit Linux aus. Habe für Squid folgende Anleitung gefunden: http://linuxpitstop.com/install-squid-squidguard-and-block-websites-usi ...
Dort ist von einer Blacklist die Rede, bin mir jetzt unsicher ob das auch mit einer Whitelist geht.
Hat eventuell noch jemand einen anderen Vorschlag, der vielleicht mit windowseigenen Bordmitteln funktioniert?
danke für deine schnelle Antwort. Der Tipp an sich ist gut, jedoch kennt sich bei uns leider niemand mit Linux aus. Habe für Squid folgende Anleitung gefunden: http://linuxpitstop.com/install-squid-squidguard-and-block-websites-usi ...
Dort ist von einer Blacklist die Rede, bin mir jetzt unsicher ob das auch mit einer Whitelist geht.
Hat eventuell noch jemand einen anderen Vorschlag, der vielleicht mit windowseigenen Bordmitteln funktioniert?
Moin,
Gruß
Zitat von @Colisspo:
Ich habe das Ganze mit der FritzBox (7490) Kindersicherung + Whitelist versucht, die funktioniert jedoch nur mit IP-Adressen.
Von der FritzBox-Lösung halte ich in einer Firma überhaupt nichtsIch habe das Ganze mit der FritzBox (7490) Kindersicherung + Whitelist versucht, die funktioniert jedoch nur mit IP-Adressen.
Da die Rechner aus firmeninternen Gründen keine festen IPs haben dürfen/sollen,
kein Problem - nutze DHCP-Reservierungen. Dann kannst du vermutlich auch mit der Kindersicherung was erreichenGruß
Hallo,
Gibts auch für Windows. http://wiki.squid-cache.org/SquidFaq/BinaryPackages#Windows
https://steelmon.wordpress.com/2009/11/22/setting-up-a-strict-whitelist- ...
Nutze doch die Macht von Google und belest euch..
Gruß,
Peter
Gibts auch für Windows. http://wiki.squid-cache.org/SquidFaq/BinaryPackages#Windows
Hat eventuell noch jemand einen anderen Vorschlag, der vielleicht mit windowseigenen Bordmitteln funktioniert?
Geht nicht und GPOs tuns auch nicht.https://steelmon.wordpress.com/2009/11/22/setting-up-a-strict-whitelist- ...
Nutze doch die Macht von Google und belest euch..
Gruß,
Peter
Zitat von @Colisspo:
Der Tipp an sich ist gut, jedoch kennt sich bei uns leider niemand mit Linux aus.
Der Tipp an sich ist gut, jedoch kennt sich bei uns leider niemand mit Linux aus.
Das ist kein Hinderungsgrund und so viel schwieriger ist das auch nicht.
Abgesehen davon läuft squid auch unter windows.
lks
Zitat von @Colisspo:
Ich habe das Ganze mit der FritzBox (7490) Kindersicherung + Whitelist versucht, die funktioniert jedoch nur mit IP-Adressen.
Ich habe das Ganze mit der FritzBox (7490) Kindersicherung + Whitelist versucht, die funktioniert jedoch nur mit IP-Adressen.
"Fritzbox-Firewall" ist Murks. In einer Firma definitiv.
Du solltest es lieber mit einer pfsense nach aquis Anleitung "Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät versuchen. Die kann auch nach MAC-Adressen filtern.
Alternativ könntest du einen 30€-Mikrotik-Router nehmen, wenn der Preis das Argument ist. allerdings ist da die Bedienung "nicht trivial".
lks
Hi,
(indirekt über feste Zuordnung MAC -> IP durch DHCP ist kein filtern ach MAC Adresse).
CH
pfsense [...] Die kann auch nach MAC-Adressen filtern.
klär mich bitte mal auf wo und wie das machbar ist.(indirekt über feste Zuordnung MAC -> IP durch DHCP ist kein filtern ach MAC Adresse).
CH
Hi,
ein direktes "filtern" auf einem Router bzw. Firewall nach MAC Adressen ist prinzipiell nicht möglich.
MAC Adressen sind OSI Layer 2, während Firewalls und Router auf Layer 3 und höher filtern.
-
Eine Lösung geht nur über "Helper" :
- Proxy mit Username/Passwort und entsprechende Regeln
- GroupPolicy bzw. IEAK z.B hier
- bessere Firewall bzw. Router plus statische IPs per fester Zuordnung plus entsprechende Regeln.
- ggf. Filtern auf einem Switch.
CH
MAC Adressen sind OSI Layer 2, während Firewalls und Router auf Layer 3 und höher filtern.
-
Eine Lösung geht nur über "Helper" :
- Proxy mit Username/Passwort und entsprechende Regeln
- GroupPolicy bzw. IEAK z.B hier
- bessere Firewall bzw. Router plus statische IPs per fester Zuordnung plus entsprechende Regeln.
- ggf. Filtern auf einem Switch.
CH
ein direktes "filtern" auf einem Router bzw. Firewall nach MAC Adressen ist prinzipiell nicht möglich.
Ja, nee is klaa, mach ich nur selbst schon Jahre lang ..., Mikrotik z.B.:/ip firewall filter add action=drop chain=forward src-mac-address=XX:XX:XX:XX:XX:XXAlso Blödsinn diese Aussage!
Gruß
2Also Blödsinn diese Aussage!
Leider ja !Wissen ist korrigiert.
CH
Zitat von @ChriBo:
Hi,
(indirekt über feste Zuordnung MAC -> IP durch DHCP ist kein filtern ach MAC Adresse).
Hi,
pfsense [...] Die kann auch nach MAC-Adressen filtern.
klär mich bitte mal auf wo und wie das machbar ist.(indirekt über feste Zuordnung MAC -> IP durch DHCP ist kein filtern ach MAC Adresse).
Du kannst in der pfsense mit pfctl passende filter setzen, nachdem du die ethernetpakete getagged hast.
Ob man das wirklich tun will, ist wieder ein anderer Punkt. Da würde ich dann doch die Mikrotiks vorziehen.
lks
Zitat von @Colisspo:
Jetzt meine Frage: Wie kann ich am einfachsten einen LAN-MAC-Adress-Filter aufziehen, der bis auf wenige Ausnahmen sämtliche Internetadressen sperrt? Gäbe es eine Möglichkeit über eine Gruppenrichtlinie?
Jetzt meine Frage: Wie kann ich am einfachsten einen LAN-MAC-Adress-Filter aufziehen, der bis auf wenige Ausnahmen sämtliche Internetadressen sperrt? Gäbe es eine Möglichkeit über eine Gruppenrichtlinie?
Moin ..
Ich habe aktuell zwar grade keine FB zu Verfügung.
Meiner Meinung nach funktioniert das aber MAC-basiert im LAN und WLAN
siehe auch https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
Zudem glaube ich mich zu erinnern das es eine Software gibt die man auf dem PC installieren kann und die mit dem Regelwerk interagiert.
Sofern ich das finde reiche ich das nach.
VG
Ashnod
Edit: hier die Software: FRITZ!Box Kindersicherung / 04.02.03
Hallo,
Generell bezweifel ich mal ob ein MAC Adressen Filter Sinn macht!
MAC address Spoofing => damit ist die Mac Adresse in 10 min geändert und dann ist der im Netz...
Branmer
Generell bezweifel ich mal ob ein MAC Adressen Filter Sinn macht!
MAC address Spoofing => damit ist die Mac Adresse in 10 min geändert und dann ist der im Netz...
Branmer
Zitat von @brammer:
Generell bezweifel ich mal ob ein MAC Adressen Filter Sinn macht!
MAC address Spoofing => damit ist die Mac Adresse in 10 min geändert und dann ist der im Netz...
Generell bezweifel ich mal ob ein MAC Adressen Filter Sinn macht!
MAC address Spoofing => damit ist die Mac Adresse in 10 min geändert und dann ist der im Netz...
Naja, generell ist eimn zulassen/ablehen anhand der MAC oder der IP-Adresse immer davon abhänghig, ob der betreffende gut- oder bösartig ist. gegen mutwilliges Spoofing hjilft nur Authentifikation. Gegen gutmütige Kisten, an denen keiner sitzt, der mutwillig IP- oder MAC-Adressen ändern will/kann reicht so ein Filter. Wenn man sich gegen MAC-Spoofing & Co. wapnen will, muß man ernsthaft über 802.11X nachdenken.
Es ist also wie immer davon abhängig, von welcher Bedrohungslage man ausgeht.
lks
Hallo,
(Der Smiley soll etwas entschärfen, aber lustig ist es in der tat nicht).
Gruß,
Peter
Zitat von @Lochkartenstanzer:
Es ist also wie immer davon abhängig, von welcher Bedrohungslage man ausgeht.
Da wird dir jeder ernsthafte IT Admin / Sicherheitsbeauftragter etc. recht geben. Aber leider ist es so das immer mehr Admins ein "Ich will das, soll kein Aufwand bedeuten, darf nichts kosten, ich will mich nicht einarbeiten, es muss jetzt sein" von sich geben bzw. deutlich anzeigen. Du siehst ja, die Antworten ist der TO immer noch Schuldig und auch er hat einfach akzeptiert das der Chef es so will (keine feste IPs im LAN - dafür aber lieber per MAC einen heidenzirkus veranstalten). da kann man den TO eigentlich nur noch dazu raten an allen Rechner die GW leer zu lassen oder eine nicht benutze / falsche IP dort einzutragen... Viele wollen wegen des mehraufwands gar nicht hinterfragen warum etwas zu sein soll. In Facebook und Co. sagt ja auch immer einer was und wo abgeht - der rest ist ja follower... Es ist also wie immer davon abhängig, von welcher Bedrohungslage man ausgeht.
(Der Smiley soll etwas entschärfen, aber lustig ist es in der tat nicht).Gruß,
Peter
Eine akute Bedrohungslage gibt es nicht, es soll die MAs wie gesagt lediglich daran hindern zu surfen, mehr nicht.
Habe das ganze jetzt erstmal über die Fritzbox gelöst. Ist zwar nicht besonders schön, tut aber seinen Dienst. Ob die Jungs die dort arbeiten das nötige Knowhow besitzen irgendwie dazwischenzufummeln bezweifle ich zwar, möglich ist aber alles. Ich werde mir die einzelnen Vorschläge hier mal genau ansehen und schauen, was davon die passendste Lösung ist. Das Ganze kann erstmal als gelöst markiert werden. Danke für die Vorschläge!
Habe das ganze jetzt erstmal über die Fritzbox gelöst. Ist zwar nicht besonders schön, tut aber seinen Dienst. Ob die Jungs die dort arbeiten das nötige Knowhow besitzen irgendwie dazwischenzufummeln bezweifle ich zwar, möglich ist aber alles. Ich werde mir die einzelnen Vorschläge hier mal genau ansehen und schauen, was davon die passendste Lösung ist. Das Ganze kann erstmal als gelöst markiert werden. Danke für die Vorschläge!
