66027
Goto Top

Netzwerk gegen Fremdzugriff absichern, zwischen zwei physikalischen Standorten, EG und OG - Windows 2003 Domäneninfrastruktur

Hallo Zusammen!

Wir haben vor kurzem zusätzliche Räume zugewiesen bekommen, die allerdings im Obergeschoss des mehrstöckigen Gebäudes sind, während die eigentliche Firma im Erdgeschoss untergebracht ist. Problem ist, dass die neuen Räume oben nur besetzt sind, wenn die Leute aus dem Außendienst auch mal im Haus sind (Absperren von Bürotüren baulich bedingt auch nicht möglich). Was mir da Kopfschmerzen bereitet ist, wie hindere ich fremde Leute daran, sich bei Abwesenheit von Mitarbeitern sich einfach bei uns ins Netzwerk einzustöpseln?

Situation:
3 Windows 2003 Domänenkontroller im Erdgeschoss, Netzwerkgröße >= 150, automatische IP Zuweisung über DHCP, Firewall Gateway mit Proxy für Internetzugang, physikalische Netzwerkanbindung vom EG zum OG

Die mögliche Lösung der MAC-Filterung über den Switch ist mir bekannt, ist jedoch nicht umsetzbar, da wir als Beraterhaus von unseren Kunden die Notebooks gestellt bekommen und somit jede Woche ein anderes Notebook haben, was wir quasi freischalten müssten. Bei >= 100 Mitarbeitern ein unglaublicher Aufwand und somit nicht realisierbar.

Danke im Voraus für jede Hilfestellung.

Content-ID: 107928

Url: https://administrator.de/contentid/107928

Ausgedruckt am: 24.11.2024 um 14:11 Uhr

dog
dog 03.02.2009 um 13:54:18 Uhr
Goto Top
Deine drei Optionen:

a) Wie genannt: MAC-Filterung über Layer 2 Switches - unsicher
b) 802.1x mit RADIUS-Authentifizierung und Layer 2 Switches - Macht zwar bei WLAN sinn, bei verkabelten Netzwerken ist es aber relativ unsicher
c) VPN - teile die offenen Ports mit einem Switch extra ab und setze einen VPN-Router zwischen diesen Switch und normales Netzwerk - die sicherste Möglichkeit.

Wie du siehst - leicht umsetzbar ist keine von diesen Möglichkeiten:
a) geht für einen Switch zwar noch leicht, ist aber in 2 Minuten überlistet
b) ist zwar mit einem guten Layer 2 Switch leicht einzurichten, man braucht aber dank Microsofts total verpfrimelter Implementierung von RADIUS mindestens 5 Minuten pro Client um überhaupt zur Eingabemaske für Benutzername/Passwort zu kommen
c) ist am sichersten und am umständlichsten: hier muss idR noch auf jedem Client eine extra VPN-Clientsoftware installiert werden und die Einrichtung von VPNs war noch nie wirklich in 2 Klicken erledigt

Grüße

Max
Logan000
Logan000 03.02.2009 um 14:08:26 Uhr
Goto Top
Moin Moin

Was mir da Kopfschmerzen bereitet ist, wie hindere ich fremde Leute daran, sich bei Abwesenheit von Mitarbeitern sich einfach bei uns ins Netzwerk einzustöpseln?
Die Schmerzen kann ich verstehen. So wie ich das sehe hast du ohne Mac Filterung oder Reservierungen am DHCP keine Chance.

Aber mal ganz ehrlich:
Absperren von Bürotüren baulich bedingt auch nicht möglich
Ihr zahlt keine Miete sondern ihr bekommt Geld dafür das Ihr die Etage nutzt oder?

Gruß L.
aqui
aqui 03.02.2009 um 17:11:28 Uhr
Goto Top
Natürlich hast du noch eine andere Chance !!

1.) Wie bereits oben gesagt 802.1x mit Radius (ISA im Windows Server)
Oder
2.) Mit einem sog. Captive Portal (Webauthentifizierung)

Eine Lösungsbeschreibung (Tutorial) zu 2 findest du hier unter Netzwerke.
Bei 1. hilft das Handbuch deines LAN Switches !!
66027
66027 04.02.2009 um 11:31:45 Uhr
Goto Top
Die Idee mit VPN ist gut, hätte ich eigentlich selbst drauf kommen müssen. Eine VPN Struktur haben wir bereits, jeder unserer Außendienstmitarbeiter ist damit ausgestattet. Rein theoretisch dürfte es ausreichen, das OG mit einer Linux Kiste (IPTABLES, DHCP) vom EG abzuschotten und nur eingehende VPN Verbindungen zuzulassen.

Danke für den Denkanstoß, werde das gleich mal ausprobieren.
66027
66027 04.02.2009 um 11:33:38 Uhr
Goto Top
@logan

Sicherheit ist leider immer das Erste was über Bord geworfen wird, wenn gespart werden soll und nein, die Räumlichkeiten oben sind noch nicht mal billig. :/

Wie das Sprichwort schon sagt: Wo Geld fehlt, ist Fantasie gefragt!


@aqui

Das mit dem Captive Portal klingt auch gut, werde ich mir ebenfalls mal anschauen. Danke für den Tipp. face-smile