dax4fun
Goto Top

Server 2008 Client Isolation

Hi, Freunde

lange nicht gehört Wahrscheinlich weil alles funktioniert hat ;)

habe einen Windows Server 2008 R2 RAS VPN Netzwerk mit ca. 300 xp Clients aufgebaut.

funktioniert ok doch anscheinend (sicher) gibt es böse User die sich von einen Client auf einen anderen Client verbinden. Dazu würde ich gerne alles sperren und nur bestimmte Ports freilassen auch innerhalb des VPN´s

Adresspool Clients 10.10.10.50 bis 10.10.12.254 (RAS Server hat 10.10.10.50)

habe 4 besondere Clients mit statischer IP 10.10.10.1 - 10.10.10.2 - 10.10.10.3 - 10.10.10.4

Aufgabe: ich muss sicherstellen das sich die Clients aus dem RAS DHCP Pool NICHT sehen (like Router Option: Client Isolation) aber alle auf die 4 besonderen Clients per paar bestimmter Port´s zugreifen können

srv2008 ist kein DC....vielleicht ein virtuelles Linux aufsetzen das die Aufgabe übernimmt ???

Bin für jede Anregung dankbar

mfG
Dax

Content-ID: 302916

Url: https://administrator.de/forum/server-2008-client-isolation-302916.html

Ausgedruckt am: 23.12.2024 um 15:12 Uhr

127944
127944 27.04.2016 um 08:13:39 Uhr
Goto Top
Hi,


Zitat von @dax4fun:
habe einen Windows Server 2008 R2 RAS VPN Netzwerk mit ca. 300 xp Clients aufgebaut.
Stimmen die Zahlen wirklich?

einen Client auf einen anderen Client verbinden.
Was sind denn das für Clients, das so etwas überhaupt möglich ist?

Gruß
dax4fun
dax4fun 27.04.2016 um 11:14:08 Uhr
Goto Top
Ja die Zahlen stimmen

ganz normale windows xp sp3 workstations und jeder ist mit jedem verbunden
127944
127944 27.04.2016 um 11:17:42 Uhr
Goto Top
Zitat von @dax4fun:
ganz normale windows xp sp3 workstations und jeder ist mit jedem verbunden
Sorry - ich verstehe das noch immer nicht ganz. Wenn ich einen Rechner aufsetzte - auch XP - dann kann da erst einmal keiner drauf zugreifen. Warum ist das bei euch anders und warum versuchst du das jetzt auf Netzwerkebene zu ändern, anstatt die Clients richtig zu konfigurieren?
dax4fun
dax4fun 27.04.2016 um 14:10:13 Uhr
Goto Top
ahsooo

ja die Rechner sind POS ohne Tastatur nur Barcode Scanner somit habe ich das Problem nicht mit dem Enduser sondern mit Angreifern die z.B. einen Trojaner, Remote Software aufsetzen durch USB Sticks und dann von einen Standort zum anderen Standort ins VPN kommen.

Bestätigt wurde es das es Remote geschieht, und Ziel des ganzen ist es Daten in der Datenbank zu ändern um in weiteren Distanzen zu Geld zu kommen.

Dadurch das keine Tastatur, muss ich Autologin aktivieren und die Software die drauf rennt verlangt admin Rechte.

mit dieser Client Isolation: könnte der Angreifer nur zum Server kommen und nicht auf andere Clients.

weil jetzt ist es so wenn er einen Rechner knackt kann er auf alle 300 Standort zugreifen und sein unwesen treiben
127944
127944 27.04.2016 aktualisiert um 14:19:29 Uhr
Goto Top
Zitat von @dax4fun:
ja die Rechner sind POS ohne Tastatur nur Barcode Scanner somit habe ich das Problem nicht mit dem Enduser sondern mit Angreifern die z.B. einen Trojaner, Remote Software aufsetzen durch USB Sticks
Eure Sicherheit hinkt woanders: Wieso kann bei euch jemand unbemerkt an einem POS-System rumfingern?

Bestätigt wurde es das es Remote geschieht, und Ziel des ganzen ist es Daten in der Datenbank zu ändern um in weiteren Distanzen zu Geld zu kommen.
Bestätigt? Das heißt, ihr habt das Problem schon?

Dadurch das keine Tastatur, muss ich Autologin aktivieren
auch mit einem Barcodescanner kann man Passwörter eingeben!

und die Software die drauf rennt verlangt admin Rechte.
Ist zwar ###e, aber dann geb doch nur der Software die Rechte. Deswegen muss ja noch lange nicht der angemeldete Benutzer Adminrechte haben


mit dieser Client Isolation: könnte der Angreifer nur zum Server kommen und nicht auf andere Clients.
Kann man machen (auch wenn es meiner Meinung nach sinnlos ist). Nur setzt du da meiner Meinung nach viel zu spät beim Thema Sicherheit an!

weil jetzt ist es so wenn er einen Rechner knackt kann er auf alle 300 Standort zugreifen und sein unwesen treiben
Das wird er aber in jedem Fall können. Nur weil die Kommunikation zwischen den Clients verbieten willst, heißt es ja noch lange nicht, das ein Angreifer sich nicht von einem Client auf die Zentrale und von da wieder auf einen weiteren Client verbinden kann...

Du versuchst dich in falscher Sicherheit zu wiegen! Das was du vor hast reicht nicht einmal ansatzweise als effektiver Schutz.
dax4fun
dax4fun 27.04.2016 aktualisiert um 16:31:46 Uhr
Goto Top
Manche Rechner sind vorher von einer anderen Firma übernommen worden, ich hab alles was ich verdächtig fand gelöscht doch, da geht wieder das Spiel mit dem rumfingern los. Die Techniker bzw. alle die damit zu tun hatten haben Ahnung davon, darauf läuft noch Interbase 6 . Das Programm ist eine Entwicklung einer Firma die es nicht mehr gibt und Verwendet das Default Passwort von Interbase somit kann ich das auch nicht ändern. Es war nur ein beispiel USB Stick es gibt die Möglichkeit übers WLAN weil die Post tauscht einfach so den Router und lässt das WLAN offen.

Dann haben wir Microtik Router verwendet mit einer MAC Adressen Filterung damit Fremdrechner draußen bleiben dann ist der Angriff per VPN gekommen.

Ich hab auch versucht das Administrator Passwort alle 15 min zu ändern hat auch nicht geholfen, im Gegenteil beim abwürgen des Rechners ist das eingetragene default passwort in der Registry verloren gegangen und dann funktionierte das anmelden nicht mehr.

Die Standorte sind meistens in kleinere Ortschaften wo sich jeder kennt und natürlich die Schwester arbeitet auf der Kassa und wieso sollte sie nicht ihren Bruder der früher als Techniker in der Firma gearbeitet hat helfen und etwas dazuverdienen.....so in etwa schaut es aus

Ich hab mir jetzt einen neuen Server besorgt und würde jetzt alles Richtig machen und alle Rechner umsiedeln was soll ich tun ????