14
Unterbinden, dass ein Benutzer eine Netzwerkverbindung aufbauen darf
Wir haben bei uns 2 Arten von Laptops in Nutzung. Einmal sogenannte "Externe", diese dürfen überall ins Internet aber nicht in die Domäne. Dann die "Internen", diese dürfen nur in der Domäne genutzt werden aber außerhalb nur Offline. Nun hält sich da nicht jeder dran. Ich will nun unterbinden, dass diese "Domänen" Geräte eine Netzwerk (RJ45), noch eine WLAN Verbindung, bis auf die von uns eingerichteten erstellt werden dürfen.
Was ist hier die praktikabelste Lösung? Ich haben mal kurz gesucht, aber nichts in dieser Richtung finden können.
Was ist hier die praktikabelste Lösung? Ich haben mal kurz gesucht, aber nichts in dieser Richtung finden können.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 22703699020
Url: https://administrator.de/contentid/22703699020
Ausgedruckt am: 21.11.2024 um 13:11 Uhr
14 Kommentare
Neuester Kommentar
Ob das so einfach geht? Ich lass mich gerne belehren. Zumindest löst man das normalerweise mit der Firewall. Während die internen Laptops im internen Netzwerk ihr Domännetzwerk finden, stellt sich auch die Firewall um auf das Profil "Domänenprofil", im Domänenprofil ist dann vieles erlaubt.
Wenn diese Laptops dann im Internet Caffee angesteckt oder an einem öffentlichen Hotspot angemeldet werden, stellt sich die Firewall um auf "Öffentliches" Profil. In diesem Profil ist dann fast nichts mehr erlaubt.
Zumindest muss dann noch VPN erlaubt sein, damit sich die Laptops in die Firma verbinden können.
Fremde Laptops im Firmennetzwerk kannst du nur unterbinden, wenn du die Switchports mit z.B. einem "MAC based authentication" versiehst (es gibt auch andere Methoden auf dem NPS bzw Radius, weil MAC Adressen lassen sich auch ändern). Du kannst sie dann bei fehlerhafter Authentisierung in ein VLAN schicken, wo sie nur Zugriff ins Internet haben.
Wenn diese Laptops dann im Internet Caffee angesteckt oder an einem öffentlichen Hotspot angemeldet werden, stellt sich die Firewall um auf "Öffentliches" Profil. In diesem Profil ist dann fast nichts mehr erlaubt.
Zumindest muss dann noch VPN erlaubt sein, damit sich die Laptops in die Firma verbinden können.
Fremde Laptops im Firmennetzwerk kannst du nur unterbinden, wenn du die Switchports mit z.B. einem "MAC based authentication" versiehst (es gibt auch andere Methoden auf dem NPS bzw Radius, weil MAC Adressen lassen sich auch ändern). Du kannst sie dann bei fehlerhafter Authentisierung in ein VLAN schicken, wo sie nur Zugriff ins Internet haben.
Theoretisch könntest du den internen Laptops auch feste IPs verpassen.
Dann kommen sie intern ins Netz, extern gehts nicht. (Außer sie stöpseln sich irgendwo an, wo der IP-Bereich gleich ist, Router und DNS-Server IP-Adressen müssten dann auch noch passen).
Solange die User keine lokalen Adminrechte haben, können sie ihre IP-Adressen auch nicht anpassen.
Ist aber auch keine "schöne" Lösung...
Dann kommen sie intern ins Netz, extern gehts nicht. (Außer sie stöpseln sich irgendwo an, wo der IP-Bereich gleich ist, Router und DNS-Server IP-Adressen müssten dann auch noch passen).
Solange die User keine lokalen Adminrechte haben, können sie ihre IP-Adressen auch nicht anpassen.
Ist aber auch keine "schöne" Lösung...
Moin
.. das sollte aber doch eigentlich schon die Lösung sein?! Die Firewall auf den Geräten so konfigurieren, dass nur im Domänennetzwerk Netzwerkkommunikation möglich ist.
Gruß
Zitat von @NordicMike:
Während die internen Laptops im internen Netzwerk ihr Domännetzwerk finden, stellt sich auch die Firewall um auf das Profil "Domänenprofil", im Domänenprofil ist dann vieles erlaubt.
Wenn diese Laptops dann im Internet Caffee angesteckt oder an einem öffentlichen Hotspot angemeldet werden, stellt sich die Firewall um auf "Öffentliches" Profil. In diesem Profil ist dann fast nichts mehr erlaubt.
Während die internen Laptops im internen Netzwerk ihr Domännetzwerk finden, stellt sich auch die Firewall um auf das Profil "Domänenprofil", im Domänenprofil ist dann vieles erlaubt.
Wenn diese Laptops dann im Internet Caffee angesteckt oder an einem öffentlichen Hotspot angemeldet werden, stellt sich die Firewall um auf "Öffentliches" Profil. In diesem Profil ist dann fast nichts mehr erlaubt.
.. das sollte aber doch eigentlich schon die Lösung sein?! Die Firewall auf den Geräten so konfigurieren, dass nur im Domänennetzwerk Netzwerkkommunikation möglich ist.
Gruß
1
Zitat von @Roman78:
Nun hält sich da nicht jeder dran. Ich will nun unterbinden, dass diese "Domänen" Geräte eine Netzwerk (RJ45), noch eine WLAN Verbindung, bis auf die von uns eingerichteten erstellt werden dürfen.
"Will" oder "soll"?
Da braucht es doch gar keinen technischen Ansatz. Gerät sperren/einbehalten, und nach Abmahnung über HR wieder aushändigen.
Zitat von @niraxx:
Theoretisch könntest du den internen Laptops auch feste IPs verpassen.
Dann kommen sie intern ins Netz, extern gehts nicht. (Außer sie stöpseln sich irgendwo an, wo der IP-Bereich gleich ist, Router und DNS-Server IP-Adressen müssten dann auch noch passen).
Solange die User keine lokalen Adminrechte haben, können sie ihre IP-Adressen auch nicht anpassen.
Ist aber auch keine "schöne" Lösung...
Theoretisch könntest du den internen Laptops auch feste IPs verpassen.
Dann kommen sie intern ins Netz, extern gehts nicht. (Außer sie stöpseln sich irgendwo an, wo der IP-Bereich gleich ist, Router und DNS-Server IP-Adressen müssten dann auch noch passen).
Solange die User keine lokalen Adminrechte haben, können sie ihre IP-Adressen auch nicht anpassen.
Ist aber auch keine "schöne" Lösung...
Wäre auch meine Idee gewesen.
Schau mal:
https://www.boc.de/watchguard-info-portal/2023/10/howto-erzwingen-einer- ...
Auch wenn du kein Watchguard VPN nutzt ist diese Anleitung in analoger Weise umsetzbar.
https://www.boc.de/watchguard-info-portal/2023/10/howto-erzwingen-einer- ...
Auch wenn du kein Watchguard VPN nutzt ist diese Anleitung in analoger Weise umsetzbar.
Zitat von @NordicMike:
Ob das so einfach geht? Ich lass mich gerne belehren. Zumindest löst man das normalerweise mit der Firewall. Während die internen Laptops im internen Netzwerk ihr Domännetzwerk finden, stellt sich auch die Firewall um auf das Profil "Domänenprofil", im Domänenprofil ist dann vieles erlaubt.
Wenn diese Laptops dann im Internet Caffee angesteckt oder an einem öffentlichen Hotspot angemeldet werden, stellt sich die Firewall um auf "Öffentliches" Profil. In diesem Profil ist dann fast nichts mehr erlaubt.
Zumindest muss dann noch VPN erlaubt sein, damit sich die Laptops in die Firma verbinden können.
Ob das so einfach geht? Ich lass mich gerne belehren. Zumindest löst man das normalerweise mit der Firewall. Während die internen Laptops im internen Netzwerk ihr Domännetzwerk finden, stellt sich auch die Firewall um auf das Profil "Domänenprofil", im Domänenprofil ist dann vieles erlaubt.
Wenn diese Laptops dann im Internet Caffee angesteckt oder an einem öffentlichen Hotspot angemeldet werden, stellt sich die Firewall um auf "Öffentliches" Profil. In diesem Profil ist dann fast nichts mehr erlaubt.
Zumindest muss dann noch VPN erlaubt sein, damit sich die Laptops in die Firma verbinden können.
Interne Laptops sollen ja überhaupt keine Verbindung aufbauen dürfen. Die dürfen außerhalb der Domäne nur offline arbeiten. Aber ich werde mal mit der Lokalen Firewall spielen. Eventuell kann man die soweit zuballern, dass nichts mehr geht.
Der Ansatz mit den sehr restriktiven Firewallregeln funktioniert vermutlich sehr gut. Einfach das öffentliche Profil daran hindern zu surfen, schon haben die User kein Bock mehr.
Ansonsten würde ich mein Glück mal über die Wired bzw Wireless Network (IEEE 802.11) GPO Policies versuchen.
Ansonsten würde ich mein Glück mal über die Wired bzw Wireless Network (IEEE 802.11) GPO Policies versuchen.
Zitat von @Roman78:
Dann die "Internen", diese dürfen nur in der Domäne genutzt werden aber außerhalb nur Offline.
Dann die "Internen", diese dürfen nur in der Domäne genutzt werden aber außerhalb nur Offline.
... von VPN etc. war hier nie die Rede. Wenn "außerhalb nur Offline", dann einfach eine "Deny-All-Regel" auf die Firewall setzen und fertig.
Zitat von @Hubert.N:
... von VPN etc. war hier nie die Rede. Wenn "außerhalb nur Offline", dann einfach eine "Deny-All-Regel" auf die Firewall setzen und fertig.
Zitat von @Roman78:
Dann die "Internen", diese dürfen nur in der Domäne genutzt werden aber außerhalb nur Offline.
Dann die "Internen", diese dürfen nur in der Domäne genutzt werden aber außerhalb nur Offline.
... von VPN etc. war hier nie die Rede. Wenn "außerhalb nur Offline", dann einfach eine "Deny-All-Regel" auf die Firewall setzen und fertig.
Eine Deny-All-Regel habe ich jetzt mal auf Öffentlich und Privates Netzwerk gesetzt. Funktioniert wunderbar, es baut überhaupt keine Verbindung auf. Allerdings bekommt es auch in der Domäne keine IP mehr. Heißt der müsste dann eine feste bekommen.
Versuch doch vielleicht erstmal eine abgeschwächte Deny-Regel... die üblichen "Internet-Ports" wie 80,443, SMTP,IMAP etc. blockieren... Manuelle IP-Pflege ist doch Murks...
Zitat von @Roman78:
Allerdings bekommt es auch in der Domäne keine IP mehr. Heißt der müsste dann eine feste bekommen.
Allerdings bekommt es auch in der Domäne keine IP mehr. Heißt der müsste dann eine feste bekommen.
Ups.. Ach ja... UDP Port 68 muss natürlich für DHCP funktionieren
1
und kannst ja auch deine Internen IP Bereich freischalten... damit machst du auch nix kaputt.
wenn du nicht gerade 192.168.0.0/24 als Firmennetzwerk hast
wenn du nicht gerade 192.168.0.0/24 als Firmennetzwerk hast
Stimmt. Dann kommen die Leute nur auf Amazon... wir haben - jetzt haltet euch fest - 52 als erstes Oktett.
