Zuggriffskontrolle für BYOD-Geräte
Hallo zusammen,
wir möchten ein WLAN für zwei externe MAs einrichten, damit diese ins Internet können. Der Zugriff auf den Server soll aber nicht möglich sein. Dies könnte ich über VLANs einrichten. Aber im gleichen Raum können die beiden externen MAs auch ein LAN-Kabel anschließen und können den Zugriff auf den Server versuchen. Diesen Zugriff kann ich nicht sperren, da kleine Firma mit zwei Büroräumen, Switches stehen auf dem Tisch. Jeder kann ein LAN-Kabel anschließen.
Daher war die Überlegung allen Rechnern(auf Ebene der MAC-Adresse), die auf den Server(ein SBS2011) zugreifen dürfen, die Erlaubnis zu erteilen, allen anderen haben per Voreinstellung keinen Zugriff. Gibt es evtl. eine Software dafür, die auf dem Server installiert werden kann oder eine andere Lösung?
Danke schon mal vorab.
Robert
wir möchten ein WLAN für zwei externe MAs einrichten, damit diese ins Internet können. Der Zugriff auf den Server soll aber nicht möglich sein. Dies könnte ich über VLANs einrichten. Aber im gleichen Raum können die beiden externen MAs auch ein LAN-Kabel anschließen und können den Zugriff auf den Server versuchen. Diesen Zugriff kann ich nicht sperren, da kleine Firma mit zwei Büroräumen, Switches stehen auf dem Tisch. Jeder kann ein LAN-Kabel anschließen.
Daher war die Überlegung allen Rechnern(auf Ebene der MAC-Adresse), die auf den Server(ein SBS2011) zugreifen dürfen, die Erlaubnis zu erteilen, allen anderen haben per Voreinstellung keinen Zugriff. Gibt es evtl. eine Software dafür, die auf dem Server installiert werden kann oder eine andere Lösung?
Danke schon mal vorab.
Robert
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 217936
Url: https://administrator.de/contentid/217936
Ausgedruckt am: 22.11.2024 um 17:11 Uhr
7 Kommentare
Neuester Kommentar
Benutzt du denn keine Domäne?!
Die E-MAs werden sicherlich keine Rechner haben, die eurer Domäne angehören und über ACLs kann du den Zugriff auf den Server einschränken.
Deine Idee mit den MAC Adressen kannst du sonst auch mit nem Radius umsetzten. Ich bis jetzt zwar war nur die WLan Zugriffe über den Radius geregelt... ich denke aber, dass es auch über lang möglich ist...
Die E-MAs werden sicherlich keine Rechner haben, die eurer Domäne angehören und über ACLs kann du den Zugriff auf den Server einschränken.
Deine Idee mit den MAC Adressen kannst du sonst auch mit nem Radius umsetzten. Ich bis jetzt zwar war nur die WLan Zugriffe über den Radius geregelt... ich denke aber, dass es auch über lang möglich ist...
Hallo,
Switch Port der schon mittels MAC Adresse authentifiziert wurde anschließen und dann eben auch
an Eurer Netzwerk bzw. den Server ran!
Also einen kleinen Netzwerkschrank kaufen und alles einbauen und den kann man dann einfach verschließen
das wäre am einfachsten! Am besten wäre allerdings ein eigener Server- oder Netzwerkraum wo niemand ran kann.
Anders wird das wohl auch nichts werden denn wenn man physischen Zugriff auf das Netzwerk hat dann ist das wohl
immer so eine Sache mit der Sicherheit.
Gruß
Dobby
Daher war die Überlegung allen Rechnern(auf Ebene der MAC-Adresse), die auf den Server(ein SBS2011) zugreifen dürfen, die Erlaubnis zu erteilen, allen anderen haben per Voreinstellung keinen Zugriff.
Und wenn einer der externen einen dummen Switch oder HUB mitbringt dann kann er den ja doch an einenSwitch Port der schon mittels MAC Adresse authentifiziert wurde anschließen und dann eben auch
an Eurer Netzwerk bzw. den Server ran!
Also einen kleinen Netzwerkschrank kaufen und alles einbauen und den kann man dann einfach verschließen
das wäre am einfachsten! Am besten wäre allerdings ein eigener Server- oder Netzwerkraum wo niemand ran kann.
Anders wird das wohl auch nichts werden denn wenn man physischen Zugriff auf das Netzwerk hat dann ist das wohl
immer so eine Sache mit der Sicherheit.
Gruß
Dobby
Am besten und wasserdichtesten für die Fa. richtest du das mit einem WLAN Hotspot ein:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Entweder mit Einmal Passwörtern (Voucher) oder Mac Passthrough wenn man denen vertrauen kann.
Den Zugriff kann man rechssicher (Störerhaftung) mit einem kleinen Syslog Server überwachen wie z.B. dem_hier.
Um nochmehr Geld zu sparen kannst du das mit einem kleinen 35 Euro Hotspot Router machen wie dem Mikrotik RB 750.
Der leistet genau das was die obige FW leistet allerdings ohne die Option der Einmalpasswörter.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Entweder mit Einmal Passwörtern (Voucher) oder Mac Passthrough wenn man denen vertrauen kann.
Den Zugriff kann man rechssicher (Störerhaftung) mit einem kleinen Syslog Server überwachen wie z.B. dem_hier.
Um nochmehr Geld zu sparen kannst du das mit einem kleinen 35 Euro Hotspot Router machen wie dem Mikrotik RB 750.
Der leistet genau das was die obige FW leistet allerdings ohne die Option der Einmalpasswörter.