Server 2008 Client Isolation
Hi, Freunde
lange nicht gehört Wahrscheinlich weil alles funktioniert hat ;)
habe einen Windows Server 2008 R2 RAS VPN Netzwerk mit ca. 300 xp Clients aufgebaut.
funktioniert ok doch anscheinend (sicher) gibt es böse User die sich von einen Client auf einen anderen Client verbinden. Dazu würde ich gerne alles sperren und nur bestimmte Ports freilassen auch innerhalb des VPN´s
Adresspool Clients 10.10.10.50 bis 10.10.12.254 (RAS Server hat 10.10.10.50)
habe 4 besondere Clients mit statischer IP 10.10.10.1 - 10.10.10.2 - 10.10.10.3 - 10.10.10.4
Aufgabe: ich muss sicherstellen das sich die Clients aus dem RAS DHCP Pool NICHT sehen (like Router Option: Client Isolation) aber alle auf die 4 besonderen Clients per paar bestimmter Port´s zugreifen können
srv2008 ist kein DC....vielleicht ein virtuelles Linux aufsetzen das die Aufgabe übernimmt ???
Bin für jede Anregung dankbar
mfG
Dax
lange nicht gehört Wahrscheinlich weil alles funktioniert hat ;)
habe einen Windows Server 2008 R2 RAS VPN Netzwerk mit ca. 300 xp Clients aufgebaut.
funktioniert ok doch anscheinend (sicher) gibt es böse User die sich von einen Client auf einen anderen Client verbinden. Dazu würde ich gerne alles sperren und nur bestimmte Ports freilassen auch innerhalb des VPN´s
Adresspool Clients 10.10.10.50 bis 10.10.12.254 (RAS Server hat 10.10.10.50)
habe 4 besondere Clients mit statischer IP 10.10.10.1 - 10.10.10.2 - 10.10.10.3 - 10.10.10.4
Aufgabe: ich muss sicherstellen das sich die Clients aus dem RAS DHCP Pool NICHT sehen (like Router Option: Client Isolation) aber alle auf die 4 besonderen Clients per paar bestimmter Port´s zugreifen können
srv2008 ist kein DC....vielleicht ein virtuelles Linux aufsetzen das die Aufgabe übernimmt ???
Bin für jede Anregung dankbar
mfG
Dax
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 302916
Url: https://administrator.de/forum/server-2008-client-isolation-302916.html
Ausgedruckt am: 23.12.2024 um 15:12 Uhr
6 Kommentare
Neuester Kommentar
Hi,
Gruß
Zitat von @dax4fun:
habe einen Windows Server 2008 R2 RAS VPN Netzwerk mit ca. 300 xp Clients aufgebaut.
Stimmen die Zahlen wirklich?habe einen Windows Server 2008 R2 RAS VPN Netzwerk mit ca. 300 xp Clients aufgebaut.
einen Client auf einen anderen Client verbinden.
Was sind denn das für Clients, das so etwas überhaupt möglich ist?Gruß
Sorry - ich verstehe das noch immer nicht ganz. Wenn ich einen Rechner aufsetzte - auch XP - dann kann da erst einmal keiner drauf zugreifen. Warum ist das bei euch anders und warum versuchst du das jetzt auf Netzwerkebene zu ändern, anstatt die Clients richtig zu konfigurieren?
Zitat von @dax4fun:
ja die Rechner sind POS ohne Tastatur nur Barcode Scanner somit habe ich das Problem nicht mit dem Enduser sondern mit Angreifern die z.B. einen Trojaner, Remote Software aufsetzen durch USB Sticks
Eure Sicherheit hinkt woanders: Wieso kann bei euch jemand unbemerkt an einem POS-System rumfingern?ja die Rechner sind POS ohne Tastatur nur Barcode Scanner somit habe ich das Problem nicht mit dem Enduser sondern mit Angreifern die z.B. einen Trojaner, Remote Software aufsetzen durch USB Sticks
Bestätigt wurde es das es Remote geschieht, und Ziel des ganzen ist es Daten in der Datenbank zu ändern um in weiteren Distanzen zu Geld zu kommen.
Bestätigt? Das heißt, ihr habt das Problem schon?Dadurch das keine Tastatur, muss ich Autologin aktivieren
auch mit einem Barcodescanner kann man Passwörter eingeben!und die Software die drauf rennt verlangt admin Rechte.
Ist zwar ###e, aber dann geb doch nur der Software die Rechte. Deswegen muss ja noch lange nicht der angemeldete Benutzer Adminrechte habenmit dieser Client Isolation: könnte der Angreifer nur zum Server kommen und nicht auf andere Clients.
Kann man machen (auch wenn es meiner Meinung nach sinnlos ist). Nur setzt du da meiner Meinung nach viel zu spät beim Thema Sicherheit an!weil jetzt ist es so wenn er einen Rechner knackt kann er auf alle 300 Standort zugreifen und sein unwesen treiben
Das wird er aber in jedem Fall können. Nur weil die Kommunikation zwischen den Clients verbieten willst, heißt es ja noch lange nicht, das ein Angreifer sich nicht von einem Client auf die Zentrale und von da wieder auf einen weiteren Client verbinden kann...Du versuchst dich in falscher Sicherheit zu wiegen! Das was du vor hast reicht nicht einmal ansatzweise als effektiver Schutz.