gelöst Den Zugriff von PC o Laptop für nur bestimmte IP-Netze Router ( per MAC) freigeben

Mitglied: CharlyBoard

CharlyBoard (Level 1) - Jetzt verbinden

21.09.2020 um 15:49 Uhr, 513 Aufrufe, 10 Kommentare

Hallo Zusammen,
ich habe folgende Anforderungen die ich realisieren muss.
Nehmen wir eine Firma an die ein internes sehr sicheres abgeschottetes IP-Netz besitzt. In diesem IP-Netz sind sehr viele PCs und Laptops in Benutzung. Die IP-Vergabe erfolgt per DHCP.
Nun gibt es aber auch viele Maschinen (eigener Standort und Router jedoch nicht am Internet) die verwaltet werden müssen. Nun geht der Mitarbeiter mit dem gleichen Laptop auch an die Maschinen ran und soll per DHCP eine IP-bekommen. Soweit ist dies auch kein Problem.
Nun soll aber verhindert werden das der Mitarbeiter den Laptop mit nach Hause nimmt und ggf. dort die gleiche Router-Konfiguration aufbaut und dann ebenfalls aus dem gleichen Netz eine IP-Bekommt und auf dem Laptop dann Schadsoftware oder andere Sachen eingeschleppt werden können.
Ich habe hier an Software gedacht die auf dem Laptop (Client) läuft und nur zentral in der Domain verwaltet werden kann, die dann wie eine Art Firewall bestimmt (vielleicht mit White List ) mit welchen Routern eine Verbindung aufgebaut werden darf. Da ein IP-Netz ja sehr schnell nachgebaut ist brauche ich hier eine Art Wächter der die vertrauenswürdigen Router verwaltet und den Zugang gewährt und keine anderen DHCP-Anfragen zuläst.
Mitglied: Uschade
21.09.2020 um 15:59 Uhr
Auch Hallo...

Ich versuch das mal zu übersetzen:

Du möchtest erreichen, dass die Mitarbeiter sich mit Firmenlaptops nur in der Firma am Firmennetzwerk anmelden können, richtig?

Grüße
Uwe
Bitte warten ..
Mitglied: support-it
21.09.2020, aktualisiert um 16:10 Uhr
Hallo!

Zitat von CharlyBoard:
Nun gibt es aber auch viele Maschinen (eigener Standort und Router jedoch nicht am Internet) die verwaltet werden müssen. Nun geht der Mitarbeiter mit dem gleichen Laptop auch an die Maschinen ran und soll per DHCP eine IP-bekommen. Soweit ist dies auch kein Problem.
Nun soll aber verhindert werden das der Mitarbeiter den Laptop mit nach Hause nimmt und ggf. dort die gleiche Router-Konfiguration aufbaut und dann ebenfalls aus dem gleichen Netz eine IP-Bekommt und auf dem Laptop dann Schadsoftware oder andere Sachen eingeschleppt werden können.

Hm?
Was hat eine Router-Konfig mit Schadsoftware zu tun?
Bitte warten ..
Mitglied: LeeX01
21.09.2020, aktualisiert um 16:08 Uhr
Nun soll aber verhindert werden das der Mitarbeiter den Laptop mit nach Hause nimmt ...

geht problemlos, nennt sich Dienstanweisung
Bitte warten ..
Mitglied: itisnapanto
21.09.2020 um 16:09 Uhr
Moin ,

Der IP Adressbereich hat doch mit Schadsoftware 0,0 zu tun . Wo soll dern Sinn dieses Konstruktes liegen?
Und warum sollte er diesen Laptop mit nach Hause nehmen?

Gruss
Bitte warten ..
Mitglied: Uschade
21.09.2020 um 16:14 Uhr
Leute, das ist doch egal, warum jemand nen Laptop mit nach Hause nehmen will, oder ob es da ne Dienstanweisung zu geben kann oder was auch immer.

So wie ich das sehe, will man sich hier einfach nur davor schützen, dass ggf. jemand so ein Notebook mit nach Hause nimmt und irgendwelche wilden Experimente veranstaltet.

Wäre allerdings auch gut, wenn der TO das mal so bestätigen würde oder berichtigen....

Grüße
Uwe
Bitte warten ..
Mitglied: LeeX01
21.09.2020 um 16:19 Uhr
Zitat von Uschade:

Leute, das ist doch egal, warum jemand nen Laptop mit nach Hause nehmen will, oder ob es da ne Dienstanweisung zu geben kann oder was auch immer.

So wie ich das sehe, will man sich hier einfach nur davor schützen, dass ggf. jemand so ein Notebook mit nach Hause nimmt und irgendwelche wilden Experimente veranstaltet.

Wäre allerdings auch gut, wenn der TO das mal so bestätigen würde oder berichtigen....

Grüße
Uwe

Ich weiß jetzt nicht was du für Firmen kennst aber normal ist das nicht üblich, dass jeder ungefragt irgendwelche Sachen aus der Firma trägt wie er Lust hat.
Bitte warten ..
Mitglied: Uschade
21.09.2020 um 16:22 Uhr
LeeX, ist nicht das Thema...lass gut sein...
Bitte warten ..
Mitglied: Doskias
LÖSUNG 21.09.2020 um 17:04 Uhr
Moin,

ich versuche dir mal deine Fragen zu beantworten OHNE auf die Sinnhaftigkeit einzugehen und Dinge wie Dienstanweisung zu erwähnen. Da haben die anderen ja schon genug zu geschrieben, was nicht weiter hilft

Zitat von CharlyBoard:

Hallo Zusammen,
ich habe folgende Anforderungen die ich realisieren muss.
Nehmen wir eine Firma an die ein internes sehr sicheres abgeschottetes IP-Netz besitzt. In diesem IP-Netz sind sehr viele PCs und Laptops in Benutzung. Die IP-Vergabe erfolgt per DHCP.
Nun gibt es aber auch viele Maschinen (eigener Standort und Router jedoch nicht am Internet) die verwaltet werden müssen. Nun geht der Mitarbeiter mit dem gleichen Laptop auch an die Maschinen ran und soll per DHCP eine IP-bekommen.

Hier wird es meiner Ansicht nach unsinnig. Wieso trennt ihr die Netze (offenbar) physisch voneinander, wenn es dann doch Laptop gibt die in beiden netzen sind? Wenn du hier einen Virus auf dem Laptop hast der noch unbemerkt ist, wandert dieser somit auch in dein Produktionsnetz. Das halte ich für wenig zielführend. Ich würde hier für die Verwaltung des Produktionsnetzwerkes separate Arbeitsstationen aufbauen und lediglich die daten transferieren. Ein Virus kann dann zwar noch über die Stationen übertragen werden (via USB, etc.) aber die Gefahr ist deutlich geringer als wenn ein "Netz-Fremdes" Notebook die ganze Zeit da drin hängt.

Soweit ist dies auch kein Problem.
Nun soll aber verhindert werden das der Mitarbeiter den Laptop mit nach Hause nimmt und ggf. dort die gleiche Router-Konfiguration aufbaut und dann ebenfalls aus dem gleichen Netz eine IP-Bekommt und auf dem Laptop dann Schadsoftware oder andere Sachen eingeschleppt werden können.

Wenn der Mitarbeiter den Laptop mit nach Hause nimmt, kannst du es kaum verhindern. Das Netzwerk weiß ja nicht ob es ein Heimnetzwerk ist oder dein Abgeschirmtes Produktionsnetzwerk. Der Rechner muss darüber hinaus ja die IP-Adresse in deiner Anforderung anpassen können. das erzwingen einer festen IP (egal wie) bringt dich an der Stelle auch nicht weiter, da es nicht den User abhält sein Netzwerk IP-technisch eurem anzupassen. Wenn du also sagst, du willst nur die IP-Adresse 10.x.x.x für das Notebook erlauben und der User hat zuhause 192.168.x.x, dann hindert es den User nicht sein Netzwerk zuhause auch auf 10.x.x.x umzustellen und schon greift deine Sicherung an der Stelle nicht.

Ich habe hier an Software gedacht die auf dem Laptop (Client) läuft und nur zentral in der Domain verwaltet werden kann, die dann wie eine Art Firewall bestimmt (vielleicht mit White List ) mit welchen Routern eine Verbindung aufgebaut werden darf. Da ein IP-Netz ja sehr schnell nachgebaut ist brauche ich hier eine Art Wächter der die vertrauenswürdigen Router verwaltet und den Zugang gewährt und keine anderen DHCP-Anfragen zulässt.

Wieso bringst du jetzt Router ins Spiel. Du brauchst doch ein Konzept ohne Router. Selbst wenn du so ein Tool hast, was du auf dem Client installierst und dann sagst, dass der Client nur in Verbindung mit einem auf dem DC installiertem Programm funktionieren sollte. Du hast zwei getrennte Netze, du würdest dich selbst aus einem aussperren.

Meine Tipps für dich:
1. Überlege ob die Vorgehensweise mit dem Laptop in beiden Netzen zu arbeiten sinnvoll ist oder ob dedizierte Arbeitsstationen sinnvoller sind. Ich kann die Abneigung verstehen, aber wir haben es genau so geregelt. Eben aus dem Grund, dass wir die Netztrennung nicht mit Mischgeräten aufheben wollen.

2. Wenn du das Konstrukt weiterfahren willst hier eine "Dirty" Lösung:
- Sperre die lokale Anmeldung am Laptop
- Sorge dafür, dass der User erst nach der Verarbeitung von Anmeldeskripten am Laptop arbeiten kann (gibt es eine GPO für)
- Schreibe ein Anmeldeskript (geplanter Task beim Anmelden des Benutzers), dass etwas aus beiden Netzen in denen Laptop sich anmelden soll Prüft. IP-Adresse, abgelegte Datei, etc. Wenn es nicht gefunden wird, fahre den Laptop mittels stop-computer einfach wieder runter.
- Deaktiviere (wenn nicht sowieso schon) USB- und Wechseldatenträger, damit der User nicht mit gewissen Tools deine Einstellungen umgeht.
- Der User darf keine Adminrechte (sollte eh niemand) auf dem Notebook haben, sonst kann er die geplanten Tasks deaktivieren
Die Lösung ist allerdings keinesfalls sicher, da es den User weiterhin nicht davon abhält die Umgebung nachzubauen und deinen Test dadurch ebenfalls erfolgreich zu bestehen, obwohl dies nicht der fall ist.

So. Ich hoffe ich konnte dir ein wenig helfen, wieso deine Anfrage nicht so viel Sinn ergibt, auch wenn der Wunsch nachvollziehbar ist. Und jetzt kommen wir zum Ende doch noch zu den unbeliebten Wort: Dienstanweisung und diese konsequent verfolgen
Bitte warten ..
Mitglied: itisnapanto
22.09.2020 um 08:10 Uhr
Zitat von Uschade:

Leute, das ist doch egal, warum jemand nen Laptop mit nach Hause nehmen will, oder ob es da ne Dienstanweisung zu geben kann oder was auch immer.

So wie ich das sehe, will man sich hier einfach nur davor schützen, dass ggf. jemand so ein Notebook mit nach Hause nimmt und irgendwelche wilden Experimente veranstaltet.

Wäre allerdings auch gut, wenn der TO das mal so bestätigen würde oder berichtigen....

Grüße
Uwe

Bei ner Dienstanweisung , soll er doch wahrscheinlich auch von zu Hause aus arbeiten können , da macht es doch null Sinn es gegen andere Netze zu sperren. Sichern gegen Unfug ?

- keine lokalen Adminrechte
- Antivirensystem mit blockieren von Wechselmedien / Webfilter usw.

Abfahrt.

Gruss
Bitte warten ..
Mitglied: CharlyBoard
22.09.2020 um 15:13 Uhr
Hallo zusammen,
ja das stimmt vielleicht bin ich nicht der beste im Sachverhalt darlegen oder zu umschreiben. "Doskias" hat es schon super noch mal zusammengefasst und verstanden was ich meinte. Und ja Dienstanweisung ist natürlich auch das richtige an der Stelle und dies existiert auch aber es halten sich halt nicht immer alle daran.
Soweit ich jetzt mal etwas weiter gelesen habe ist das Stichwort was mir weiterhelfen könnte "Friendly Net Detection" somit kann ich sicherstellen das sich das Flex-Gateway (was an der Maschine verbaut ist) nur meine definierten PCs-verbinden dürfen. Ich bin noch nicht voll umfänglich hier eingelesen aber das sollte die Lösung für mein Problem sein auch wenn es ein nicht gerade geringeren mehr-Aufwand bedeutet.

Vielen Dank für die ganzen Kommentare und Tips von Euch...
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Hyper-V Server vs Datacenter?
holliknolliQuestionWindows Server26 Comments

Hallo, hat jemand Erfahrung mit dem - kostenlosen - Hyper-V-Server? Ich meine, warum teure Lizenzen für Datacenter zahlen, wenn ...

Exchange Server
Zustellbestätigung deaktivieren
defiant01QuestionExchange Server12 Comments

Hallo, ich stehe vor der Aufgabe bei einem Postfach die Zustellbestätigung für eingehende Mails zu deaktivieren. Der User geht ...

LAN, WAN, Wireless
Spanning Tree Probleme
solved predator66QuestionLAN, WAN, Wireless12 Comments

Hallo, wir haben hier eigenartige Spanningtree Probleme, die wir zur Zeit nicht gelöst bekommen: New Root Port MAC ist ...

Peripherals
Kaufberatung 32" Monitor mit WQHD Auflösung
solved GrueneSosseMitSpeckQuestionPeripherals10 Comments

Ich wollt mir einen 32" Monitor als 16:9 zulegen, 2560x1440 Pixel (WQHD). muß kein Ultrawide mit 21:9 und curved ...

Notebook & Accessories
Business Support HP, Dell, Lenovo etc
fuzzyLogicQuestionNotebook & Accessories10 Comments

Moin, ich arbeite derzeit fast ausschließlich mit HP und frage mich wie es auf Support Baustelle bei anderen Herstellern ...

Security
Unbefugtes Öffnen zählt nicht als Einbruch
certifiedit.netTickerSecurity9 Comments

Moin, wenn wir das auf die IT übertragen dürfte kaum ein Einbruch etc unter Einbruch zu definieren sein, immerhin ...

Ähnliche Inhalte
Netzwerkgrundlagen

IP Kameras in zweitem Netz isolieren trotzdem Zugriff darauf?

gelöst morpheus2010FrageNetzwerkgrundlagen11 Kommentare

Hallo Gemeinde, meine Recherche ergab nur unspezifisches. Habe leider nur die Netzwerkgrundlagen drauf und brauch Hilfe für eine konkrete ...

Windows Server

Zugriff auf Netzwerkressourcen o. Dateien einschränken

gelöst Volvic92FrageWindows Server3 Kommentare

Hallo zusammen, durch den Angriff von einem Krypto-Trojaner möchten wir gerne die Sicherheit etwas anzeihen. Ein Gedanke ist mir ...

Microsoft Office

Word bestimmt Sprache selbst

gelöst honeybeeFrageMicrosoft Office1 Kommentar

Hallo, habe in Word 2016 ein nerviges Problem: Auf meinem Computer (Windows 10) sind zwei Sprachen installiert: Deutsch und ...

Windows Netzwerk

Laptop und Pc über 2tes Lan

gelöst FollyxFrageWindows Netzwerk8 Kommentare

Hallo, ich habe eine Workstation mit 2 x Lan. Das eine geht zum Router, das andere möchte ich mit ...

LAN, WAN, Wireless

Laptop Netzwerkkarte in normalen Desktop PC?

gelöst CamperGuyFrageLAN, WAN, Wireless12 Kommentare

Hallo Community, Ich habe vor einem halben Jahr meinen ersten Desktop zusammengebaut. Als WiFi Lösung habe ich einfach das ...

Netzwerkgrundlagen

Selbes IP-Netz mit unterschiedlichen Subnetzen

gelöst AcemachineFrageNetzwerkgrundlagen3 Kommentare

Hallo zusammen, ich bitte euch vorab um Nachsehen, da ich nicht DER Fachmann bin und meine Frage für den ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT