bender1220
Goto Top

Zugang zum Netzwerk nur firmeninternen Computern gewähren

Hallo Freunde,
folgende Problemstellung:

Im Unternehmen haben wir ein WLAN Netzerk aufgebaut das völlig getrennt vom Firmennetzwerk ist. Der Grund dafür ist das wir
aus Sicherheitsgründen Besuchern unseres Unternehmens keinen Zugriff mehr in unser Netzwerk geben möchten. Diese sollten
stattdessen das WLAN System benutzen um sich zu verbinden.

Es gibt nun in allen Besprechungsräumen Möglichkeiten sich ans Firmennetzwerk anzuschließen. Wir möchten verhindern das wenn
sich jemand anschließt er auch eine Verbindung bekommt.

Wir wollen die Leute praktisch zwingen das WALN zu benutzen.

Lösungsansatz:
Ich könnte mir gut vorstellen daß das Problem über den DHCP Server lösbar wäre ?!
Mann könnte zum Beispiel nur Rechnern mit einer bestimmten MAC Adresse ein IP zuweisen und
anderen nicht. Ich hab aber leider keine Ahnung ob oder wie das funktionieren könnte.
Dafür müsste man ja eine MAC Adress Liste irgendwo hinterlegen können.

Bin für jede Hilfe dankbar !

Gruß face-smile

Content-ID: 113684

Url: https://administrator.de/forum/zugang-zum-netzwerk-nur-firmeninternen-computern-gewaehren-113684.html

Ausgedruckt am: 23.12.2024 um 16:12 Uhr

aqui
aqui 11.04.2009 um 10:58:13 Uhr
Goto Top
Ja, das würde theoretisch gehen. Die MAC Adressen werden im DHCP Server hinterlegt.
Diese Lösung hat aber einen entscheidenden Nachteil: Sie verhindert nicht das sich Benutzer eine statische IP vergeben und dann fröhlich in eurem Netzwerk ihr Unwesen treiben. Letztlich also eine dilettantische Feigenblatt Lösung die niemals das erreicht was du eigentlich willst..

Es geht aber viel einfacher und zudem noch komfortabler:
Du schaltest auf deinem Switch an diesen Ports einfach eine 802.1x Authentifizierung ein und gut ist.

Du kannst dann entweder auf diesen Ports nach Mac Adressen filtern oder nach Benutzernamen oder wenn du ganz paranoid bist auch mit beidem.
Wenn du es richtig komfortabel konfigurierst, dann nimmst du für euren Gast WLAN Zugang diese Lösung:


und authentifizierst die Benutzer über einen externen Radius Server (Freeradius oder MS IAS).
Bei allen Benutzern die an Kupferports keine authentifiziere Mac Adresse oder Usernamen haben oder eine Gast Benutzernamen angeben werden an dem Port mit einer dynamischen VLAN Zuweisung in genau das VLAN gesetzt auf dem auch dein vom Firmennetz getrenntes Gast WLAN intergirert ist.
Man nennt das eine sog. Gummizellen Lösung, das Besucher ohne Authentifizierung dynamisch in ein VLAN gesetzt werden wo sie nichts anrichten können.

So hast du eine saubere Lösung und die Kupferports der Besprechungsräume kannst du intelligent in so ein Konzept mit einbeziehen.
Eine gängige und weit verbreitete Lösung die sich im Handumdrehen umsetzen lässt !
SarekHL
SarekHL 11.04.2009 um 10:58:32 Uhr
Goto Top
Ich könnte mir gut vorstellen daß das Problem über den DHCP Server lösbar wäre ?!
Mann könnte zum Beispiel nur Rechnern mit einer bestimmten MAC Adresse ein IP zuweisen und anderen nicht.

Jein. Man könnte Rechnern mit einer bestimmten MAC-Adresse eine bestimmte IP-Adresse zuweise (nennt sich "Reservierung") und andere aus einem Pool bedienen. Da könnte man also unterschiedliche IP-Bereiche zuweisen.

Aber:

1. Ist das sehr aufwendig, man muß für jede MAC eine Reservierung anlegen
2. kann man die IP-Adresse am PC ja auch manuell konfigurieren und umgeht damit das System


Schon sicherer wäre es, einen Router zu verwenden, der bei unbekannten MAC-Adressen den Zugriff verweigert. Dann werden die Datenpakete einfach nicht ins Hauptnetz weitergeleitet.

Aber: MAC-Adressen kann man manipulieren


So richtig sicher wird es wohl nur, wenn sich Rechner im Netzwerk mit einem Zertifikat authentifizieren müssen ...
aqui
aqui 11.04.2009 um 11:07:16 Uhr
Goto Top
Nein, mit 802.1x Port Authentifizierung und Benutzernamen ist das auch sicher möglich, siehe oben.
Den Aufwand mit Zertifikaten muss man nicht machen. Wäre auch kontraproduktiv, da Zertifikate immer gerätebezogen sind. Das wäre dann bei Besucher PC und Laptops unsinnig und zu aufwendig da Zertifikate raufzubringen zumal sie sich vermutlich nirgendwo einloggen in ein Unternehmensnetzwerk (wie auch oben...) und das dadurch manuell erfolgen müsste....
SarekHL
SarekHL 11.04.2009 um 11:12:35 Uhr
Goto Top
Wäre auch kontraproduktiv, da Zertifikate immer gerätebezogen sind. Das wäre dann bei Besucher PC und Laptops unsinnig und zu aufwendig da Zertifikate raufzubringen zumal sie sich vermutlich nirgendwo einloggen in ein Unternehmensnetzwerk

Ich habe die Fragestellung eher so verstanden, daß in dem Besprechungszimmer kabelgebundene LAN-Anschlüsse sind und verhindert werden soll, daß die Besucher sich per Netzwerkkabel dort anschließen.

Stattdessen sollen sie das wLAN nehmen. Daß sie sich dort auch legitimieren müssen, habe ich in bender's Frage nicht stehen sehen ...
aqui
aqui 11.04.2009 um 11:18:50 Uhr
Goto Top
OK, dann ist die ganze Diskussion und der gesamte Thread hier überflüssig, denn dann löst auch ein Zertifikat logischerweise das Problem nicht !

Die Lösung ist dann so banal wie einfach:
Man setzt dann alle diese Ports in den Besprechungsräumen am Switch auf Shutdown oder noch einfacher: Patcht sie auf dem Patchpanel nicht auf einen aktiven Switch port !
Mit anderen Worten man legt einfach diese Ports tot !

Auf diese allereinfachste Lösung ist Bender1220 sicher selber schon gekommen...(hoffentlich ?!)
SarekHL
SarekHL 11.04.2009 um 11:20:47 Uhr
Goto Top
Mit anderen Worten man legt einfach diese Ports tot !

Die Lösung ist so banal, daß ich davon ausgegangen bin, daß das aus irgendeinem Grund nicht erwünscht ist. Vielleicht, weil dort ab und zu mal FIRMENnotebooks angeschlossen werden. Die sollen ja dürfen ....
bender1220
bender1220 11.04.2009 um 11:55:39 Uhr
Goto Top
Richitig face-smile
Mitarbeiter sollen sich natürlich Verbinden können. Es geht wirklich nur um Besucher.

Der Lösungsvorschlag mit der 802.1x Auth. gefällt mir sehr gut. Ausreichen würde sicher auch einfach die vorgeschlagene Reservierung aber ich möchte ja nicht jede Adresse reservieren müssen. Deshalb mein Ansatz mit einer Liste. Aber wo lässt sich am DHCP schon eine Liste einbinden.

Bezüglich M0n0wall hab ich schon eine Lösung.
Das beschrieben WLAN System ist ähmlich konfiguriert. Statt M0n0wall benutze ich einen HP Router der diese Funktion
schon mitbringt. Die Rezeption stellt dem Besucher einen Voucher aus und schon kann er innerhalb eines bestimmten Zeitramens ins Internet.

So dann werd ich mal sehen wie das mit der 802.1x Auth so funktioniert face-smile

Danke für die schnellen Antworten !


Gruß -Bender1220-
dog
dog 11.04.2009 um 16:12:37 Uhr
Goto Top
Da möchte ich nur noch kurz anmerken, dass 802.1x in kabelgebundenen Netzwerken bestimmte Sicherheitslücken hat (bedingt durch die Technik). Sicherer wäre hier ein VPN. Aber wenn eure Besucher nicht grade IT-Profis sind tut's 802.1x auch face-smile

Grüße

Max
aqui
aqui 12.04.2009 um 11:27:54 Uhr
Goto Top
@dog
Wie kommst du auf solche Behauptung ?? Kann es sein das du hier etwas verwechselst ???
802.1x hat nichts (oder nur bedingt) mit Verschlüsselung oder VPNs zu tun !!!
Es ist lediglich eine Port Authentifizierung nichts anderes, KEINE VPN Funktion !
Ggf. solltest du das hier besser nochmal nachlesen:
http://de.wikipedia.org/wiki/IEEE_802.1X

Diese Auth. wird mit dem EAP Protokoll gemacht zu dem derzeit keinerlei Exploits bekannt sind. (Es wird ja auch in WLANs bei WPA 2 zum Schlüsselaustausch verwendet !!)

802.1x ist da absolut sicher. Da ist nichts bedingt durch die Technik unsicher !
Auch IT Profis benutzen gerade deshalb .1x wenns um Port Sicherheit geht !
dog
dog 12.04.2009 um 14:27:26 Uhr
Goto Top
802.1x hat in Wired-Netzwerken ein großes Problem: Es ist portbasiert.
Dadurch kann man es recht leicht umgehen wenn man folgendes Szenario hat:

In einer Firma werden Locked-Down-PCs und Switches mit 802.1x verwendet.
Die PCs melden sich beim Start am Switch an, der gibt den Port frei.
Wenn nun aber jemand einfach einen Hub zwischen Domänen-PC und Switch steckt und dort sein Laptop anschließt, schließlich noch die MAC-ID umbiegt hat man Zugriff auf das Netzwerk ohne ein Passwort wissen zu müssen. Für den Switch ist dieser Identitätswechsel nicht erkennbar, da es keinen Port-Disconnect und keinen Wechsel der MAC-IDs gibt - die einzelnen Pakete authentifiziert 802.1x ja eben nicht.

Q: http://blogs.technet.com/steve_lamb/archive/2004/11/20/267076.aspx

Dieses Problem kann man mit VPN umgehen, wenn man erstmal alle Rechner in ein Dummy-Netzwerk mit dem VPN-Gateway schmeißt bei dem sich dann die Domänen-PCs anmelden.
Natürlich muss man dann sicherstellen, dass die VPN-Anmeldedaten nicht geklaut werden können - Man muss sich aber die Frage stellen, ob der Aufwand wirklich gerechtfertigt ist.

Grüße

Max