roman78
Goto Top

Unterbinden, dass ein Benutzer eine Netzwerkverbindung aufbauen darf

Wir haben bei uns 2 Arten von Laptops in Nutzung. Einmal sogenannte "Externe", diese dürfen überall ins Internet aber nicht in die Domäne. Dann die "Internen", diese dürfen nur in der Domäne genutzt werden aber außerhalb nur Offline. Nun hält sich da nicht jeder dran. Ich will nun unterbinden, dass diese "Domänen" Geräte eine Netzwerk (RJ45), noch eine WLAN Verbindung, bis auf die von uns eingerichteten erstellt werden dürfen.

Was ist hier die praktikabelste Lösung? Ich haben mal kurz gesucht, aber nichts in dieser Richtung finden können.

Content-ID: 22703699020

Url: https://administrator.de/forum/unterbinden-dass-ein-benutzer-eine-netzwerkverbindung-aufbauen-darf-22703699020.html

Ausgedruckt am: 30.12.2024 um 18:12 Uhr

NordicMike
NordicMike 01.08.2024 um 15:16:38 Uhr
Goto Top
Ob das so einfach geht? Ich lass mich gerne belehren. Zumindest löst man das normalerweise mit der Firewall. Während die internen Laptops im internen Netzwerk ihr Domännetzwerk finden, stellt sich auch die Firewall um auf das Profil "Domänenprofil", im Domänenprofil ist dann vieles erlaubt.

Wenn diese Laptops dann im Internet Caffee angesteckt oder an einem öffentlichen Hotspot angemeldet werden, stellt sich die Firewall um auf "Öffentliches" Profil. In diesem Profil ist dann fast nichts mehr erlaubt.

Zumindest muss dann noch VPN erlaubt sein, damit sich die Laptops in die Firma verbinden können.

Fremde Laptops im Firmennetzwerk kannst du nur unterbinden, wenn du die Switchports mit z.B. einem "MAC based authentication" versiehst (es gibt auch andere Methoden auf dem NPS bzw Radius, weil MAC Adressen lassen sich auch ändern). Du kannst sie dann bei fehlerhafter Authentisierung in ein VLAN schicken, wo sie nur Zugriff ins Internet haben.
niraxx
niraxx 01.08.2024 um 15:59:31 Uhr
Goto Top
Theoretisch könntest du den internen Laptops auch feste IPs verpassen.
Dann kommen sie intern ins Netz, extern gehts nicht. (Außer sie stöpseln sich irgendwo an, wo der IP-Bereich gleich ist, Router und DNS-Server IP-Adressen müssten dann auch noch passen).

Solange die User keine lokalen Adminrechte haben, können sie ihre IP-Adressen auch nicht anpassen.

Ist aber auch keine "schöne" Lösung...
Hubert.N
Hubert.N 01.08.2024 aktualisiert um 16:09:14 Uhr
Goto Top
Moin

Zitat von @NordicMike:
Während die internen Laptops im internen Netzwerk ihr Domännetzwerk finden, stellt sich auch die Firewall um auf das Profil "Domänenprofil", im Domänenprofil ist dann vieles erlaubt.
Wenn diese Laptops dann im Internet Caffee angesteckt oder an einem öffentlichen Hotspot angemeldet werden, stellt sich die Firewall um auf "Öffentliches" Profil. In diesem Profil ist dann fast nichts mehr erlaubt.

.. das sollte aber doch eigentlich schon die Lösung sein?! Die Firewall auf den Geräten so konfigurieren, dass nur im Domänennetzwerk Netzwerkkommunikation möglich ist.

Gruß
mbehrens
mbehrens 01.08.2024 um 16:54:40 Uhr
Goto Top
Zitat von @Roman78:

Nun hält sich da nicht jeder dran. Ich will nun unterbinden, dass diese "Domänen" Geräte eine Netzwerk (RJ45), noch eine WLAN Verbindung, bis auf die von uns eingerichteten erstellt werden dürfen.

"Will" oder "soll"?

Da braucht es doch gar keinen technischen Ansatz. Gerät sperren/einbehalten, und nach Abmahnung über HR wieder aushändigen.
huaweinetwork
huaweinetwork 01.08.2024 um 17:16:41 Uhr
Goto Top
Zitat von @niraxx:

Theoretisch könntest du den internen Laptops auch feste IPs verpassen.
Dann kommen sie intern ins Netz, extern gehts nicht. (Außer sie stöpseln sich irgendwo an, wo der IP-Bereich gleich ist, Router und DNS-Server IP-Adressen müssten dann auch noch passen).

Solange die User keine lokalen Adminrechte haben, können sie ihre IP-Adressen auch nicht anpassen.

Ist aber auch keine "schöne" Lösung...

Wäre auch meine Idee gewesen.
heavenscent
heavenscent 02.08.2024 aktualisiert um 07:19:05 Uhr
Goto Top
Schau mal:
https://www.boc.de/watchguard-info-portal/2023/10/howto-erzwingen-einer- ...

Auch wenn du kein Watchguard VPN nutzt ist diese Anleitung in analoger Weise umsetzbar.
Roman78
Roman78 02.08.2024 um 07:42:37 Uhr
Goto Top
Zitat von @NordicMike:

Ob das so einfach geht? Ich lass mich gerne belehren. Zumindest löst man das normalerweise mit der Firewall. Während die internen Laptops im internen Netzwerk ihr Domännetzwerk finden, stellt sich auch die Firewall um auf das Profil "Domänenprofil", im Domänenprofil ist dann vieles erlaubt.

Wenn diese Laptops dann im Internet Caffee angesteckt oder an einem öffentlichen Hotspot angemeldet werden, stellt sich die Firewall um auf "Öffentliches" Profil. In diesem Profil ist dann fast nichts mehr erlaubt.

Zumindest muss dann noch VPN erlaubt sein, damit sich die Laptops in die Firma verbinden können.


Interne Laptops sollen ja überhaupt keine Verbindung aufbauen dürfen. Die dürfen außerhalb der Domäne nur offline arbeiten. Aber ich werde mal mit der Lokalen Firewall spielen. Eventuell kann man die soweit zuballern, dass nichts mehr geht.
Michi91
Michi91 02.08.2024 aktualisiert um 08:13:19 Uhr
Goto Top
Der Ansatz mit den sehr restriktiven Firewallregeln funktioniert vermutlich sehr gut. Einfach das öffentliche Profil daran hindern zu surfen, schon haben die User kein Bock mehr.

Ansonsten würde ich mein Glück mal über die Wired bzw Wireless Network (IEEE 802.11) GPO Policies versuchen.
Hubert.N
Hubert.N 02.08.2024 um 10:15:19 Uhr
Goto Top
Zitat von @Roman78:
Dann die "Internen", diese dürfen nur in der Domäne genutzt werden aber außerhalb nur Offline.

... von VPN etc. war hier nie die Rede. Wenn "außerhalb nur Offline", dann einfach eine "Deny-All-Regel" auf die Firewall setzen und fertig.
Roman78
Roman78 02.08.2024 um 10:59:08 Uhr
Goto Top
Zitat von @Hubert.N:

Zitat von @Roman78:
Dann die "Internen", diese dürfen nur in der Domäne genutzt werden aber außerhalb nur Offline.

... von VPN etc. war hier nie die Rede. Wenn "außerhalb nur Offline", dann einfach eine "Deny-All-Regel" auf die Firewall setzen und fertig.

Eine Deny-All-Regel habe ich jetzt mal auf Öffentlich und Privates Netzwerk gesetzt. Funktioniert wunderbar, es baut überhaupt keine Verbindung auf. Allerdings bekommt es auch in der Domäne keine IP mehr. Heißt der müsste dann eine feste bekommen.
Michi91
Michi91 02.08.2024 aktualisiert um 11:09:33 Uhr
Goto Top
Versuch doch vielleicht erstmal eine abgeschwächte Deny-Regel... die üblichen "Internet-Ports" wie 80,443, SMTP,IMAP etc. blockieren... Manuelle IP-Pflege ist doch Murks...
Hubert.N
Hubert.N 02.08.2024 um 11:49:30 Uhr
Goto Top
Zitat von @Roman78:
Allerdings bekommt es auch in der Domäne keine IP mehr. Heißt der müsste dann eine feste bekommen.

Ups.. Ach ja... UDP Port 68 muss natürlich für DHCP funktionieren
ThePinky777
ThePinky777 05.08.2024 um 16:38:16 Uhr
Goto Top
und kannst ja auch deine Internen IP Bereich freischalten... damit machst du auch nix kaputt.
wenn du nicht gerade 192.168.0.0/24 als Firmennetzwerk hast face-smile
Roman78
Roman78 15.08.2024 um 13:22:51 Uhr
Goto Top
Stimmt. Dann kommen die Leute nur auf Amazon... wir haben - jetzt haltet euch fest - 52 als erstes Oktett.