robertba
Goto Top

Zuggriffskontrolle für BYOD-Geräte

Hallo zusammen,

wir möchten ein WLAN für zwei externe MAs einrichten, damit diese ins Internet können. Der Zugriff auf den Server soll aber nicht möglich sein. Dies könnte ich über VLANs einrichten. Aber im gleichen Raum können die beiden externen MAs auch ein LAN-Kabel anschließen und können den Zugriff auf den Server versuchen. Diesen Zugriff kann ich nicht sperren, da kleine Firma mit zwei Büroräumen, Switches stehen auf dem Tisch. Jeder kann ein LAN-Kabel anschließen.
Daher war die Überlegung allen Rechnern(auf Ebene der MAC-Adresse), die auf den Server(ein SBS2011) zugreifen dürfen, die Erlaubnis zu erteilen, allen anderen haben per Voreinstellung keinen Zugriff. Gibt es evtl. eine Software dafür, die auf dem Server installiert werden kann oder eine andere Lösung?
Danke schon mal vorab.
Robert

Content-Key: 217936

Url: https://administrator.de/contentid/217936

Ausgedruckt am: 28.03.2024 um 23:03 Uhr

Mitglied: -ricardo-
-ricardo- 26.09.2013 um 17:05:19 Uhr
Goto Top
Benutzt du denn keine Domäne?!
Die E-MAs werden sicherlich keine Rechner haben, die eurer Domäne angehören und über ACLs kann du den Zugriff auf den Server einschränken.

Deine Idee mit den MAC Adressen kannst du sonst auch mit nem Radius umsetzten. Ich bis jetzt zwar war nur die WLan Zugriffe über den Radius geregelt... ich denke aber, dass es auch über lang möglich ist...
Mitglied: 108012
108012 26.09.2013 um 17:19:10 Uhr
Goto Top
Hallo,

Daher war die Überlegung allen Rechnern(auf Ebene der MAC-Adresse), die auf den Server(ein SBS2011) zugreifen dürfen, die Erlaubnis zu erteilen, allen anderen haben per Voreinstellung keinen Zugriff.
Und wenn einer der externen einen dummen Switch oder HUB mitbringt dann kann er den ja doch an einen
Switch Port der schon mittels MAC Adresse authentifiziert wurde anschließen und dann eben auch
an Eurer Netzwerk bzw. den Server ran!

Also einen kleinen Netzwerkschrank kaufen und alles einbauen und den kann man dann einfach verschließen
das wäre am einfachsten! Am besten wäre allerdings ein eigener Server- oder Netzwerkraum wo niemand ran kann.

Anders wird das wohl auch nichts werden denn wenn man physischen Zugriff auf das Netzwerk hat dann ist das wohl
immer so eine Sache mit der Sicherheit.

Gruß
Dobby
Mitglied: RobertBa
RobertBa 26.09.2013 um 17:44:24 Uhr
Goto Top
Hallo ricardo,
es gibt eine Domäne und die Rechner der EMAs gehören dieser nicht an. Nur leider arbeitet der Vertrieb mit einem Benutzerkonto und das Kennwort dafür wird schon mal über den Gang gerufen. Daher kann ein EMA auch auf den Server zugreifen, wenn er das Kabel ansteckt. Kann ich denn im Radius Server alle nicht erlaubten MAC-Adressen erst einmal ausschließen?
Mitglied: RobertBa
RobertBa 26.09.2013 um 17:47:33 Uhr
Goto Top
Hallo Dobby,
meine Idee war die MAC-Adresse der Rechner zuzulassen und nicht die eines Switchports.Da es keine richtige strukturierte Verkabelung gibt, sondern in jedem der beiden Büros einen Switch auf dem Tisch, entfällt der Vorschlag mit Netzwerkschrank bzw. Serverraum, leider.
Mitglied: aqui
aqui 26.09.2013 aktualisiert um 18:23:47 Uhr
Goto Top
Am besten und wasserdichtesten für die Fa. richtest du das mit einem WLAN Hotspot ein:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Entweder mit Einmal Passwörtern (Voucher) oder Mac Passthrough wenn man denen vertrauen kann.
Den Zugriff kann man rechssicher (Störerhaftung) mit einem kleinen Syslog Server überwachen wie z.B. dem_hier.
Um nochmehr Geld zu sparen kannst du das mit einem kleinen 35 Euro Hotspot Router machen wie dem Mikrotik RB 750.
Der leistet genau das was die obige FW leistet allerdings ohne die Option der Einmalpasswörter.
Mitglied: RobertBa
RobertBa 26.09.2013 um 18:36:06 Uhr
Goto Top
Danke, das werde ich mal anschauen. Bleibt nur noch die Frage, wie ich den Zugriff verhindern kann, wenn der EMA einfach ein LAN-Kabel am Switch anschließt.
Mitglied: Dani
Dani 26.09.2013 um 18:53:37 Uhr
Goto Top
Moin,
Bleibt nur noch die Frage, wie ich den Zugriff verhindern kann, wenn der EMA einfach ein LAN-Kabel am Switch anschließt.
Am einfachsten wäre Port-Security an Hand der MAC-Adresse. Müssen allerdings die Switche können. Ansonsten die leeren Ports evtl. deaktivieren?!


Grüße,
Dani