baru79
Goto Top

Internetzugriff nur für an der Domäne angemeldete Benutzer gestatten

Hallo,

wir haben hier ein kleines privates Netzwerk 192.168.0.0/24 mit einem Windows Server 2008 (DC), der unter anderem als Gateway ins Internet arbeitet. Bis jetzt werden die IPs vom DHCP-Server verteilt. Leider sind einige Netzwerkdosen frei zugänglich, so dass jede Person ohne jegliche Autorisierung Zugriff aufs Internet hätte. Dies wollen wir nun unterdrücken und den Internetzugriff nur für Benutzer freigeben, die sich an der Domäne angemeldet haben.
Wie könnte man sowas realisiern, ist das überhaupt möglich? Entweder Mithilfe der Firewall oder Netzwerkrichtlinien? Da wir noch blutige Anfänger im Bereich Windows Server sind, wollte ich fragen, ob dies überhaupt möglich ist. Wenn ja, nach welchen Stichwörtern soll man suchen. Sind für jeden Hinweis dankbar.

Bastian

Content-ID: 88491

Url: https://administrator.de/contentid/88491

Ausgedruckt am: 23.11.2024 um 03:11 Uhr

T-Virus
T-Virus 26.05.2008 um 19:51:33 Uhr
Goto Top
Hallo,

Ich denke das ist mehr eine Grundsatz- als eine Technische Lösbarkeits Frage
Was würde dich mehr beunruhigen die tatsache das jemand dein Internet benutzt
oder deine Domain "übernimmt".
In Zeiten von FlatRate würde ich mir erst darüber gedanken machen wenn plötzlich
das Internet zu langsam wird.
An deiner Stelle wäre meine Prio1 Netzwerk von Intern absichern
Ports abschalten, Mac Adress beschränkung ab und an mal mit Sniffer drüberschauen...
Prio0 Router oder noch besser Firewall vor den DC und alles blocken bis auf die Ports die du wirklich brauchst.

Zur Technischen lösbarkeit... ISA Server, Squid Proxy mit Passwort

LG
education
education 26.05.2008 um 20:13:54 Uhr
Goto Top
hm so ganz einfach glaube ich ist das nicht zumindest nicht mit bordeigenen mitteln..

was du machen könntest wäre das gw nicht per dhcp zu verteilen sondern per script nur müste da bei allen die lan verbindung gleich heisen.

http://support.21byte.de/showthread.html?t=710

ansonsten da du deinen DC als GW nutzt würde ich einen ISA Server verwenden bzw zumindest einen proxy und die einstellungen des proxy per gruppenrichtlinie verteilen.
Dani
Dani 26.05.2008 um 20:38:35 Uhr
Goto Top
Hi Basti,
also es ist möglich. Der Knoten ist die Proxysoftware. Da gibt es verschiedene Ausführungen - Linux, Windows, Hardware....
Ich denke in deinem Fall soll es für Windows sein und die Software am Besten "free". Da kann ich dir Squid empfehlen. Squid gibt es sowohl für Linxu als auch für Windows. Auth an der Domäne sollte kein Problem darstellen. Zur Not brauchst eben noch ne echte (phy. oder virtuell) Linuxbüchse mit Debian am Einfachsten.

@T-Virus
In Zeiten von FlatRate würde ich mir erst darüber gedanken machen wenn plötzlich
das Internet zu langsam wird.
Meinst du Firmen setzen Proxies zum Spass ein. Muss ich mal unseren IT-Chef vorschlagen:"Hey Timo, wir haben doch ne 5GBit Flatate. Da brauchen wir doch kein Proxy mehr". face-wink Ein Proxy kann auch als Firewall dienen nicht vergessen. Es kommt immer drauf an, wie man das Netzwerk aufbauen möchte. Da gibt es viele mögliche Lösungen. Ist auch immer einer Sache des Geldes und wie sicher es sein muss. Das GW der Clients ist gleich die IP-Adresse des Proxyservers.

Ports abschalten
Stecker ziehn am Switch..ist eben blöd, wenn ein auth. Person die Dose kurz nutzen möchte. Da empfehle ich den IAS von M$. Anleitungen / Link dazu, findest über die Suche bzw. schau mal bei mir im Profil bzw. bei aqui.

Mac Adress beschränkung
Geht bei den einfachen Routern nur fürs WLAN. Alle anderen Gräte wären dann "management".

Prio0 Router oder noch besser Firewall vor den DC und alles blocken bis auf die Ports die du wirklich brauchst.
Es geht auch noch einfacher... WIndows Server 2008 bringt die Funktion NAP mit sich. Sprich ein Computer muss bestimmte Kriterien erfüllen, damit er Zugriff auf den Server erhält. Am Anfang ist es nicht ganz trivial aber mit der Zeit hat man den Dreh raus.


Gruß
Dani
T-Virus
T-Virus 26.05.2008 um 22:36:26 Uhr
Goto Top
Dani, sehr schön beschrieben kann man nicht klagen!
Hört sich an als würde dein Beitrag aus einem M$ Prospekt stammen.

Ja in der IT ist immer alles eine Kostenfrage...
Lieber keine 300€ für einen Router mit Firewall bezahlen,
Lieber kein Backup system, Lieber keinen manageable Switch da machen wir doch lieber alles
auf einem System und verwenden eben die lächerlichen 200 Std um es zu konfigurieren.

Beim Schach verwendest du auch nicht deinen König als Bauern
und ein Volvo hat auch einen Airbag selbst wenn es ein "Panzer" ist.
Fakt is Firewall DC MSwitch ist die vernünftigste Konfiguration den Rest
kannst du immer noch machen. Ansonten kannst du dich gleich auf das nächsten Exploid freuen

Nochmal mich Persönlich würde die Tatsache das jemand einfach so in mein Netzwerk kommt
mehr schocken als der Internettraffic der dadurch entstehen könnte.

Über den Rest können wir ja bei einem Kaffee sprechen ;)
T-Virus
T-Virus 26.05.2008 um 22:54:32 Uhr
Goto Top
Baru ich hab noch einen netten Artikel für dich gefunden
http://www.tecchannel.de/server/windows/1758677/index7.html