Unterbinden, dass ein Benutzer eine Netzwerkverbindung aufbauen darf
Wir haben bei uns 2 Arten von Laptops in Nutzung. Einmal sogenannte "Externe", diese dürfen überall ins Internet aber nicht in die Domäne. Dann die "Internen", diese dürfen nur in der Domäne genutzt werden aber außerhalb nur Offline. Nun hält sich da nicht jeder dran. Ich will nun unterbinden, dass diese "Domänen" Geräte eine Netzwerk (RJ45), noch eine WLAN Verbindung, bis auf die von uns eingerichteten erstellt werden dürfen.
Was ist hier die praktikabelste Lösung? Ich haben mal kurz gesucht, aber nichts in dieser Richtung finden können.
Was ist hier die praktikabelste Lösung? Ich haben mal kurz gesucht, aber nichts in dieser Richtung finden können.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 22703699020
Url: https://administrator.de/forum/unterbinden-dass-ein-benutzer-eine-netzwerkverbindung-aufbauen-darf-22703699020.html
Ausgedruckt am: 30.12.2024 um 18:12 Uhr
14 Kommentare
Neuester Kommentar
Ob das so einfach geht? Ich lass mich gerne belehren. Zumindest löst man das normalerweise mit der Firewall. Während die internen Laptops im internen Netzwerk ihr Domännetzwerk finden, stellt sich auch die Firewall um auf das Profil "Domänenprofil", im Domänenprofil ist dann vieles erlaubt.
Wenn diese Laptops dann im Internet Caffee angesteckt oder an einem öffentlichen Hotspot angemeldet werden, stellt sich die Firewall um auf "Öffentliches" Profil. In diesem Profil ist dann fast nichts mehr erlaubt.
Zumindest muss dann noch VPN erlaubt sein, damit sich die Laptops in die Firma verbinden können.
Fremde Laptops im Firmennetzwerk kannst du nur unterbinden, wenn du die Switchports mit z.B. einem "MAC based authentication" versiehst (es gibt auch andere Methoden auf dem NPS bzw Radius, weil MAC Adressen lassen sich auch ändern). Du kannst sie dann bei fehlerhafter Authentisierung in ein VLAN schicken, wo sie nur Zugriff ins Internet haben.
Wenn diese Laptops dann im Internet Caffee angesteckt oder an einem öffentlichen Hotspot angemeldet werden, stellt sich die Firewall um auf "Öffentliches" Profil. In diesem Profil ist dann fast nichts mehr erlaubt.
Zumindest muss dann noch VPN erlaubt sein, damit sich die Laptops in die Firma verbinden können.
Fremde Laptops im Firmennetzwerk kannst du nur unterbinden, wenn du die Switchports mit z.B. einem "MAC based authentication" versiehst (es gibt auch andere Methoden auf dem NPS bzw Radius, weil MAC Adressen lassen sich auch ändern). Du kannst sie dann bei fehlerhafter Authentisierung in ein VLAN schicken, wo sie nur Zugriff ins Internet haben.
Theoretisch könntest du den internen Laptops auch feste IPs verpassen.
Dann kommen sie intern ins Netz, extern gehts nicht. (Außer sie stöpseln sich irgendwo an, wo der IP-Bereich gleich ist, Router und DNS-Server IP-Adressen müssten dann auch noch passen).
Solange die User keine lokalen Adminrechte haben, können sie ihre IP-Adressen auch nicht anpassen.
Ist aber auch keine "schöne" Lösung...
Dann kommen sie intern ins Netz, extern gehts nicht. (Außer sie stöpseln sich irgendwo an, wo der IP-Bereich gleich ist, Router und DNS-Server IP-Adressen müssten dann auch noch passen).
Solange die User keine lokalen Adminrechte haben, können sie ihre IP-Adressen auch nicht anpassen.
Ist aber auch keine "schöne" Lösung...
Moin
.. das sollte aber doch eigentlich schon die Lösung sein?! Die Firewall auf den Geräten so konfigurieren, dass nur im Domänennetzwerk Netzwerkkommunikation möglich ist.
Gruß
Zitat von @NordicMike:
Während die internen Laptops im internen Netzwerk ihr Domännetzwerk finden, stellt sich auch die Firewall um auf das Profil "Domänenprofil", im Domänenprofil ist dann vieles erlaubt.
Wenn diese Laptops dann im Internet Caffee angesteckt oder an einem öffentlichen Hotspot angemeldet werden, stellt sich die Firewall um auf "Öffentliches" Profil. In diesem Profil ist dann fast nichts mehr erlaubt.
Während die internen Laptops im internen Netzwerk ihr Domännetzwerk finden, stellt sich auch die Firewall um auf das Profil "Domänenprofil", im Domänenprofil ist dann vieles erlaubt.
Wenn diese Laptops dann im Internet Caffee angesteckt oder an einem öffentlichen Hotspot angemeldet werden, stellt sich die Firewall um auf "Öffentliches" Profil. In diesem Profil ist dann fast nichts mehr erlaubt.
.. das sollte aber doch eigentlich schon die Lösung sein?! Die Firewall auf den Geräten so konfigurieren, dass nur im Domänennetzwerk Netzwerkkommunikation möglich ist.
Gruß
Zitat von @Roman78:
Nun hält sich da nicht jeder dran. Ich will nun unterbinden, dass diese "Domänen" Geräte eine Netzwerk (RJ45), noch eine WLAN Verbindung, bis auf die von uns eingerichteten erstellt werden dürfen.
"Will" oder "soll"?
Da braucht es doch gar keinen technischen Ansatz. Gerät sperren/einbehalten, und nach Abmahnung über HR wieder aushändigen.
Zitat von @niraxx:
Theoretisch könntest du den internen Laptops auch feste IPs verpassen.
Dann kommen sie intern ins Netz, extern gehts nicht. (Außer sie stöpseln sich irgendwo an, wo der IP-Bereich gleich ist, Router und DNS-Server IP-Adressen müssten dann auch noch passen).
Solange die User keine lokalen Adminrechte haben, können sie ihre IP-Adressen auch nicht anpassen.
Ist aber auch keine "schöne" Lösung...
Theoretisch könntest du den internen Laptops auch feste IPs verpassen.
Dann kommen sie intern ins Netz, extern gehts nicht. (Außer sie stöpseln sich irgendwo an, wo der IP-Bereich gleich ist, Router und DNS-Server IP-Adressen müssten dann auch noch passen).
Solange die User keine lokalen Adminrechte haben, können sie ihre IP-Adressen auch nicht anpassen.
Ist aber auch keine "schöne" Lösung...
Wäre auch meine Idee gewesen.
Schau mal:
https://www.boc.de/watchguard-info-portal/2023/10/howto-erzwingen-einer- ...
Auch wenn du kein Watchguard VPN nutzt ist diese Anleitung in analoger Weise umsetzbar.
https://www.boc.de/watchguard-info-portal/2023/10/howto-erzwingen-einer- ...
Auch wenn du kein Watchguard VPN nutzt ist diese Anleitung in analoger Weise umsetzbar.
Zitat von @Roman78:
Dann die "Internen", diese dürfen nur in der Domäne genutzt werden aber außerhalb nur Offline.
Dann die "Internen", diese dürfen nur in der Domäne genutzt werden aber außerhalb nur Offline.
... von VPN etc. war hier nie die Rede. Wenn "außerhalb nur Offline", dann einfach eine "Deny-All-Regel" auf die Firewall setzen und fertig.
Zitat von @Roman78:
Allerdings bekommt es auch in der Domäne keine IP mehr. Heißt der müsste dann eine feste bekommen.
Allerdings bekommt es auch in der Domäne keine IP mehr. Heißt der müsste dann eine feste bekommen.
Ups.. Ach ja... UDP Port 68 muss natürlich für DHCP funktionieren