informatiksurfing
Goto Top

Nur einen Netzwerkzugriff gewähren

Hallo,

ich bräuchte mal Hilfe von jemanden.

Ich möchte das meine Clients sich nur noch mit einem Netzwerkverbinden. BSP Am Firmennetz per Kabel angebunden dann darf keine zweite Netzwerkverbindung erlaubt werden wenn man sich am Nächsten Switch mit einem zweiten Kabel anschließt an einem anderen Netz.

Mit Wlan eigetnlich das gleiche denke das hängt zsm. Ich meine dafür gäbe es eine GPO, wenn mir jemand auf die Sprünge helfen kann. Andere wege gerne auch

Content-ID: 668752

Url: https://administrator.de/forum/nur-einen-netzwerkzugriff-gewaehren-668752.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

13402570474
13402570474 14.10.2024 um 09:44:54 Uhr
Goto Top
Hallo,

dann darf keine zweite Netzwerkverbindung erlaubt werden wenn man sich am Nächsten Switch mit einem zweiten Kabel anschließt an einem anderen Netz.
Wie ist das genau zu verstehen?
  • Haben deine Clients/Rechner 2 NICs und die User stöppeln gerne 2 Netzwerkkabel in die Möhre?
  • Wenn der Rechner einmalig am Firmennetz angemeldet hat, dann darf der Rechner sich niemehr wo anders anmelden dürfen!?

Bitte mach das erstmal klar.

Danke + VG

Ahja:
Mit Wlan eigetnlich das gleiche denke das hängt zsm
Die Edit macht Dir das gerne wieder sauber..
informatiksurfing
informatiksurfing 14.10.2024 um 09:51:48 Uhr
Goto Top
Hey sry für die etwas löchrige Beschreibung.

Die Laptops dürfen und müssen sich dann wieder umhängen können.

Es ist um dir das Bildlich vorzuführen eine Labornetz Umgebung.

Und ich will und muss verhindern das sich die User an beide Netze dranstöpseln und so Arbeiten.

Also wenn Netzwerkverbindung da dann alle anderen unterbrechen wenn Netzwerk Verbindung nicht da dann mit allem Verbinden was geht. Bis wieder eine Verbindung greift.
kpunkt
kpunkt 14.10.2024 um 10:00:28 Uhr
Goto Top
Zitat von @informatiksurfing:

Die Laptops dürfen und müssen sich dann wieder umhängen können.

Aber das willst du doch verhindern?
13402570474
13402570474 14.10.2024 um 10:15:08 Uhr
Goto Top
Und ich will und muss verhindern das sich die User an beide Netze dranstöpseln und so Arbeiten.
Vielleicht ists mir zu viel Montag aber ich muss wieder nachfragen:

Es gibt 2 Netze in deinem Umfeld, ja?
Eine Laborumgebung und eine "andere" Umgebung, ja?

Die Laptops switchen ständig zwischen beiden Umgebungen hin und her, ja?

Reden wir hier von einem WLAN Netz und einem kabelgebundenen Netz? oder wie sieht das aus? 2x Kabel annem Laptop halte ich für unwahrscheinlich (aber wer weiß^^).

Werde aus deinem Getexte nicht wirklich schlau.. (könnte aber am Montag liegen)

Gruß
Penny.Cilin
Penny.Cilin 14.10.2024 um 10:54:25 Uhr
Goto Top
stacktrace 14.10.2024 um 10:15:08 Uhr

Und ich will und muss verhindern das sich die User an beide Netze dranstöpseln und so Arbeiten.
Vielleicht ists mir zu viel Montag aber ich muss wieder nachfragen:

Es gibt 2 Netze in deinem Umfeld, ja?
Eine Laborumgebung und eine "andere" Umgebung, ja?

Ich verstehe es so, daß es ein Labornetz und ein Produktivnetz gibt. Wenn ei Rechner im Labornetz verbunden ist, soll er nicht zeitgleich auch im Produktivnetz verbunden sein. - Macht Sinn.

Wenn es sich um ein Laptop / Notebook handelt, wird es schwieriger. Weil das Gerät ist ja transportabel. Somit kann das Gerät an beiden Netzen angeschlossen werden. Man könnte es an den Switchen mittels DENY-Regeln konfigurieren. Oder wie vom Beitragserstatter via GPO.


Gruss Penny.
kpunkt
kpunkt 14.10.2024 um 11:09:32 Uhr
Goto Top
Hm...man kann das wohl generell machen.
https://www.windowspro.de/wolfgang-sommergut/wlans-blockieren-zulassen-n ...
Ist zwar alles Wlan, müsste man halt für LAN auch machen.

Wär jetzt interessant, ob man das mit dem Taskmanager triggern kann, sodass man beim Erkennen einer Netzwerkverbindung ein Script losschicken kann. Oder eben auch, wenn keine Verbindung erkannt wird nd man da dann gesperrte Netze wieder freischalten kann.

Wär eigentlich mal interessant für ein Programmierprojekt.
informatiksurfing
informatiksurfing 14.10.2024 aktualisiert um 13:51:16 Uhr
Goto Top
hey so nach 100 Montagsmeetings und Teams runden kommen wir mal zum Thema.


In deiner Antwort hattest du doch soweit alles richtig verstandenface-smile

Nur das ich keine deny Regel will sondern es Per Client regeln will.

Da das Labornetz eine eigene Firewall hat und mir dann der Kollege auf seltsame Ideen kommt da die vollen Zugang auf diese haben.


Ich muss es schaffen Client seitig zuzumachen und JA wir haben auch Geräte mit mehreren Netzwerkkarten und LAptop muss halt Wlan/Lan seitig die Regel erstellt werden.


Beide Netze vorhanden Lan und WLan
em-pie
em-pie 14.10.2024 um 14:49:13 Uhr
Goto Top
Moin,

folgende Idee, die du dann mal prüfen müsstest:
wenn im Eventlog das Verbinden/ trennen der (Wifi)-Nic ersichtlich wird und auch, mit welchem Netz die sich verbunden haben, könnte man diese Event nutzen, um die NICs zu (de)aktivieren.

Du musst nur dafür sorgen, dass die LAN-NIC wieder aktiviet wird, wenn die Wifi-Verbindung getrennt wurde, sonst checkt Windows ja nicht, dass man per Kabel verbunden ist.
Das (De)Aktivieren wird dann per Taskscheduler geprüft und überwacht dann die passenden EventLog-Events
aqui
aqui 14.10.2024 aktualisiert um 17:25:22 Uhr
Goto Top
Der TO zäumt das Pferd von der falschen Seite auf! Das jeweilige Netzwerk muss doch vorgeben welche User es will bzw. erlaubt.
Das Zauberwort lautet 802.1x Netzwerk Security. Das kann heutzutage jeder popelige Switch oder WiFi Accesspoint. Damit lässt "das Netz" nur die User zu die in dem Netz arbeiten dürfen. Idealerweise weist man dem User dann auch dynamisch sein Netzwerk zu. Das ist der übliche Weg LANs und WLAN vor missbräulic hen benutzern abzusichern.
Das ist im Handumdrehen aufgesetzt und supportet heute fast jeder Baumarkt Switch. Alles weitere erklärt die dieses Forentutorial mit seinen weiterführenden Links. Lesen und verstehen... face-wink
kpunkt
kpunkt 15.10.2024 um 06:33:12 Uhr
Goto Top
Aber 802.1x lässt IMHO doch auch gleichzeitige Nutzung zweier Netzwerke zu.
Der User ist ja für Netz A und Netz B berechtigt. Nur muss die Verbindung zu Netz B unmöglich sein, wenn sich der User in Netz A einstöpselt und umgekehrt.

Ich glaub noch immer, dass der Weg über Tasks und netsh-scripts ein Lösungsansatz ist.
Könnte man theoretisch auch ohne Tasks machen, wenn man den Usern manuell auszuführende Skripte auf die Rechner klatscht. Sodass die User per Mausklick immer nur ein Netz offen haben. Stöpseln die um, müssen sie erst per Mausklick freigeben, dass das Netzwerk verfügbar wird.
Setzt natürlich voraus, dass die User wissen, wann sie welches Netz brauchen sollen.
aqui
aqui 15.10.2024 um 11:03:37 Uhr
Goto Top
Per se ja. Aber wenn MAB genutzt wird ist die Zugangskontrolle auf die Mac Adresse des Adapters festgelegt. Mit z.B. einer 2ten NIC die nicht erlaubt ist unterbindet man dann 2 aktive (oder mehr) Verbindungen. Die spezifische Netzwerk Zuweisung macht man dann über dynamische VLANs.
Ob man MAB dabei allein oder zusätzlich zu .1x nutzt ist dann eine Frage der Zugangspolicy.
Tasks wird sicher auch gehen nur ist ja der spezifische Aufwand und Handling etwas höher. Zumal man die Scripts auch vor Manipulation sichern muss. Aber wie immer gibt es ja mehrere Wege nach Rom und der TO kann sich den Schönsten für sich aussuchen! face-wink
wollekuj
wollekuj 16.10.2024 um 18:57:03 Uhr
Goto Top
Hallo,

vlt hilft die GPO "Minimize the number of simultaneous connections to the internet or a Windows Domain"

Computer Configuration\Administrative Templates\Network\Windows Connection Manager

Wenn ich die Anforderung richtig verstanden habe sollte das schon ausreichen. Ich habe damit eingestellt, wenn Laptops am Lan hängen dürfen Sie nicht parallel in einem Wlan sein.
ElmerAcmeee
ElmerAcmeee 17.10.2024 um 06:46:06 Uhr
Goto Top
Moin,
falls erlaubt, würde ich gerne eine Zusatzfrage hier anhängen.
Wir haben auch ein solches Konstrukt, wo Clients per Kabel in einem Maschinen-Netz und per WiFi im Firmen-Netz hängen.
Spricht denn "Security-technisch" hier etwas dagegen? (eigentlich nicht meine Baustelle, interessiert mich aber)
@to: was ist denn der Grund, bzw. die Bedenken, dass so nicht zu erlauben?
Danke und Gruß
aqui
aqui 17.10.2024 aktualisiert um 09:37:33 Uhr
Goto Top
Spricht denn "Security-technisch" hier etwas dagegen?
Ohne den Thread des TO jetzt zu kapern....
Wie soll man diese Frage zielführend beantworten wenn man die Security Policy eurer IT Netze gar nicht kennt und du dazu keinerlei Angaben machst?! face-sad Ganz besonders die des WiFi Netzes. Wenn dort produktionsrelevante Maschinen angebunden sind sollte das zu mindestens eine besonders sichere WPA2-EAP (WPA2-Enterprise) Verbindung sein und nichts mit statischen PSKs die nach 3 Tagen so oder so die ganze Welt kennt. LAN Ports sollten in dem Umfeld ebenso mit MAB oder .1x immer gesichert sein!
Zu all diesen Dingen machst du aber keinerlei sinnvolle Angaben so das eine Beurteilung so gut wie unmöglich ist ohne ins Kristallkugeln abzugleiten. Kannst du dir als Admin ja vermutlich auch selber denken...
ElmerAcmeee
ElmerAcmeee 17.10.2024 um 10:11:02 Uhr
Goto Top
Hallo,
jo - da bin ich wohl wirklich nicht tief genug im Thema drin...
Ich hätte dies als zwei verschiedene Themen gesehen.
Auch mit dynamischen VLANs per Dot1x, Zertifikat, MAC-based und Firewall, und was es sonst noch so alles gibt dazwischen: der User und das Gerät darf, soll und muss in beide Netze.
Gbit es einen security technischen Grund, dass man das nicht gleichzeitig sein sollte?
Gruß
aqui
aqui 17.10.2024 aktualisiert um 10:42:57 Uhr
Goto Top
der User und das Gerät darf, soll und muss in beide Netze.
Darum geht es per se ja auch gar nicht. Nur darum das an einem nicht gesicherten LAN oder WLAN (wozu auch PSK WLANs gehören) ja jeder Beliebige der physischen Zugang hat auch ungehindert Zugang zu diesen Netzen hat und sie ohne Hürde manipulieren und angreifen kann. Bei einem simplen PSK WLAN umso fataler, denn das Passwort kennt nach ein paar Tagen die gesamte Welt.
Darum geht es und damit generell um ein übliches Firmen Sicherheitskonzept was jede Firma logischerweise haben sollte und aus juristischen Gründen auch haben muss.
Technisch ist die Frage also schwer bis gar nicht zu beantworten, weil wieder Details für eine sachliche Beurteilung fehlen. face-sad
Eine zentrale Frage ist z.B. ob bei solchen Geräten das IP Forwarding aktiv ist. Damit hätte man dann zusätzlich zu den nicht gesicherten Zugängen noch eine Backdoor Route die potentiell beide Netze verbindet. Aus einem schwach bis gar nicht gesicherten WLAN bestünde dann ein Zugang in die LAN Segmente und vice versa. Auch ein fatales Security Loch zusätzlich zu den ungesicherten Zugängen in der Produktion.
ElmerAcmeee
ElmerAcmeee 17.10.2024 um 14:20:56 Uhr
Goto Top
Hallo,
stimme dir mit der Absicherung vollkommen zu! Habe das auch nie in Abrede gestellt. face-smile
Aber:
Zitat von @aqui:
der User und das Gerät darf, soll und muss in beide Netze.
Darum geht es per se ja auch gar nicht.
Doch, genau darum. Siehe initial Post des TO. Und wäre auch meine eigentliche Frage.

Auch wenn alle Ports Dot1X geschützt sind und das Wifi nur per Zertifikat und was sonst noch so alles möglich ist. Man befindet sich in zwei Netzen.

Ich frage mal anders: ist das in den Netzen die du betreust möglich? oder verhinderst du das?

Gruß und Sorry fürs Kapern (gerne die Antwort auch per PN) face-smile
ThePinky777
ThePinky777 18.10.2024 um 17:49:05 Uhr
Goto Top
Frage was für antivirensoftware setzt ihr ein?
z.B. Bei einigen wird die Firewall durch den Virenscanner gesteuert.

Man kann dann Rules bauen wenn Gateway die IP hat dann gilt die Rule.
Wenn Gateway die andere IP hat oder DNS Server mit der und der IP erreichbar oder der und der DNS Name auflösbar (was nur intern geht), dann gilt andere Rule und solche sachen.

Dann kann man 2 Rules machen und der Clients changed dynamisch seine lokale Firewall Rules....

Wir hatten das mal im Einsatz für im Office, oder eben ausserhalb des Firmen Netzes... Wenn ausserhalb dann war schicht im Schacht, ausser VPN einwahl nix erlaubt. und 3 Rule schaltete um wenn man mit VPN verbunden war...

Sowas sollte hier dann auch gehen sofern die AntiViren Software sowas beherrscht.
aqui
aqui 31.10.2024 um 11:52:19 Uhr
Goto Top
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?