extremistensepp
Goto Top

Netzwerk gegen Fremdrechner absichern

hallo

ich habe ein kleines problem mit einem netzwerk in einer bildungseinrichtung...

es ist eine windows 2003 R2 TS domäne bei der sich die benutzer per thin-client einloggen und arbeiten.
leider gibt es in dem netzwerk 2 WLAN router über welche die schüler (es ist ein internat) in ihrer freizeit unbeufsichtigt zugang haben mit ihren privaten notebooks oder rechnern.
das führt natürlich dazu, dass selbige sich über das WLAN einloggen und ihre fileshare-software anwerfen um sich umfangreiche raubkopiesammlungen anzulegen und somit auch die leitung auslasten.

auf dem server läuft ein DHCP welcher die thin-clients (und auch die PCs der lehrer) mit IP-adressen versorgt.
es kommt des weiteren ständig zu adresskonflikten weil irgendwelche privaten rechner mit fest eingetragener IP im netzwerk sind...

die DHCPs der Router und Accesspoints sind natürlich deaktiviert aber langsam kommt es mir so vor als würde irgend ein scherzkeks manchmal einen DHCP anwerfen um konflikte zu verursachen.

mir fehlt jedenfalls die nötige kontrolle um zu verhindern, dass sich jeder schüler privat einfach zugang verschafft und 24/7 irgendwelche downloadstations laufen lässt und meinen DHCP beeinflusst.


wie lässt sich diese situation verbessern?
mir wäre eine server-seitige lösung am liebsten...


danke im voraus face-smile

Content-ID: 114873

Url: https://administrator.de/contentid/114873

Ausgedruckt am: 25.11.2024 um 14:11 Uhr

ottscho
ottscho 28.04.2009 um 15:47:08 Uhr
Goto Top
wie wäre es mit einem Subnetz für die PC's welche per WLAN Verbunden werden?
ExtremistenSepp
ExtremistenSepp 28.04.2009 um 15:49:41 Uhr
Goto Top
ich habe leider keine kontrolle und auch keinen zugriff auf die privaten pcs der schüler... das wlan ist ja eben zu diesem zweck eingerichtet worden, dass die schüler nach dem unterricht
surfen können usw. die können also ihr notebook so konfigurieren wie sie wollen und beeinträchtigen durch unsachgemäße einstellung den prodktivbetrieb
godlie
godlie 28.04.2009 um 16:06:17 Uhr
Goto Top
Hm als erstes mal per VLAN die 2 voneinander komplett abschotten
und dann noch nen router dazwischen hängen sodass die in einem eigenen "netzwerk" ihren Unsinn treiben können.
wie wärs mit der lösung?
ToxicTosh
ToxicTosh 28.04.2009 um 16:08:17 Uhr
Goto Top
Ich würde mit ner IP-Cop arbeiten. Das Wlan bekommt einen extra Adressbereich und Netzwerkkarte.
Dann würde ich die Ports sperren und mit einem http-Filter alle Seiten sperren, auf die die Kids nicht gehen dürfen face-smile
Damit sollten die meisten schonmal abgeschreckt werden.
Was das dhcp Problem angeht, was sagen denn die Logs des Servers? Reichen die IP-Adressen vielleicht nicht aus?
Wenn sie ausreichen sollten, so kann es gut möglich sein, dass ein Schüler auf seinem Notebook einen dhcp Server laufen lässt um sie zu ärgern. Das Problem wäre aber mit der Trennung der Netze auch vorbei, dann kann der Schüler höchstens noch seine Mitschüler mit dem 2. dhcp ärgern.
Hoffe ich konnte ein wenig helfen.
Gruß
St-Andreas
St-Andreas 28.04.2009 um 16:10:26 Uhr
Goto Top
Zitat von @ExtremistenSepp:
ich habe leider keine kontrolle und auch keinen zugriff auf die
privaten pcs der schüler... das wlan ist ja eben zu diesem zweck
eingerichtet worden, dass die schüler nach dem unterricht
surfen können usw. die können also ihr notebook so
konfigurieren wie sie wollen und beeinträchtigen durch
unsachgemäße einstellung den prodktivbetrieb

Also das die Schüler überhaupt die Möglichkeit haben den Produktivbetrieb zu stören deutet schonmal auf eine unsachgemässe Einrichtung des Netzwerkes hin.

Du möchtest eine Serverseitige Lösung und Du möchtest/kannst die privaten PCs der Schüler nicht beeinflussen?
Dann trenn doch bitte einfach beide Netzwerke, da die beiden Netzwerke schlicht nichts mit einander zu tun haben

Dazu richtest Du ein Subnetz für die Schüler (Netz S)ein und eines für Eure produktive Umgebung (Netz P).

Beide Netzwerke hängst Du an den Router der dann für das Netz S den DHCP stellt. Netz P hat ja offensichtlich einen Server der dann für das Netz P den DHCP etc. stellt.

Falls Du die Bandbreite nicht komplett dem Netz S überlassen möchtest kannst Du natürlich die DSL-Bandbreite auch zu einem gewissen Prozentsatz für Netz P reservieren.

All das setzt allerdings vorraus das Du gewisse Grundkenntnisse von Netzwerken und Netzwerkprotokollen hast. Ausserdem wird nicht jeder Router die notwendigen Vorraussetzungen haben.
ANGER77
ANGER77 28.04.2009 um 16:12:22 Uhr
Goto Top
Dann nimm dir doch einfach einen ManagementSwitch und gib da die MAC Adressen ein die Zugriff haben sollen und dann bekommen die anderen keinen Zugriff mehr.^^

Gruß Enrico
ExtremistenSepp
ExtremistenSepp 28.04.2009 um 16:14:29 Uhr
Goto Top
VLAN wäre bestimmt eine gute lösung allerdings bezweifle ich, dass sich das mit dem vorhandenen routern verwirklichen lässt. sind recht günstige exemplare...

es ist auch schon ein squid proxy im netzwerk der verhindert dass böse seiten angeschaut werden face-smile

was den adressbereich angeht kann ich sicher sagen dass er ausreichend ist.
die netzwerke kann ich nicht so einfach trennen weil sie sonst nicht mehr ins internet kommen... oder wie sollte ich da vorgehen?
ToxicTosh
ToxicTosh 28.04.2009 um 16:19:24 Uhr
Goto Top
Ins Internet kommen die Rechner trotzdem alle, sie werden ja dann dementsprechend von der Firewall geroutet.
Ich denke am einfachsten kannst du das wirklich mit einer IP-Cop realisieren.
Da gibt es gute Dokumentationen zu und sie ist kostenlos.
Ausserdem ist sie recht stabil und leicht über ein Webinterface zu konfigurieren.
Wenn du natürlich in der Linuxkonsole fit bist, dann ist das natürlich immer die schönere Lösung face-smile

In der neuen Version gibt es sogar extra Einstellungen für öffentliche Wlans, damit verhindert wird, dass sie auf die anderen Netze zugreifen können.
ExtremistenSepp
ExtremistenSepp 04.05.2009 um 16:42:59 Uhr
Goto Top
Danke für die Hilfe, es wurde nun eine MAC-Adressenfilterung bei den Accesspoints eingerichtet.
Der Kunde möchte die Anschaffungskosten eines VLAN-fähigen Switches auf diesem Wege umgehen.