10
Den Zugriff von PC o Laptop für nur bestimmte IP-Netze Router ( per MAC) freigeben
Hallo Zusammen,
ich habe folgende Anforderungen die ich realisieren muss.
Nehmen wir eine Firma an die ein internes sehr sicheres abgeschottetes IP-Netz besitzt. In diesem IP-Netz sind sehr viele PCs und Laptops in Benutzung. Die IP-Vergabe erfolgt per DHCP.
Nun gibt es aber auch viele Maschinen (eigener Standort und Router jedoch nicht am Internet) die verwaltet werden müssen. Nun geht der Mitarbeiter mit dem gleichen Laptop auch an die Maschinen ran und soll per DHCP eine IP-bekommen. Soweit ist dies auch kein Problem.
Nun soll aber verhindert werden das der Mitarbeiter den Laptop mit nach Hause nimmt und ggf. dort die gleiche Router-Konfiguration aufbaut und dann ebenfalls aus dem gleichen Netz eine IP-Bekommt und auf dem Laptop dann Schadsoftware oder andere Sachen eingeschleppt werden können.
Ich habe hier an Software gedacht die auf dem Laptop (Client) läuft und nur zentral in der Domain verwaltet werden kann, die dann wie eine Art Firewall bestimmt (vielleicht mit White List ) mit welchen Routern eine Verbindung aufgebaut werden darf. Da ein IP-Netz ja sehr schnell nachgebaut ist brauche ich hier eine Art Wächter der die vertrauenswürdigen Router verwaltet und den Zugang gewährt und keine anderen DHCP-Anfragen zuläst.
ich habe folgende Anforderungen die ich realisieren muss.
Nehmen wir eine Firma an die ein internes sehr sicheres abgeschottetes IP-Netz besitzt. In diesem IP-Netz sind sehr viele PCs und Laptops in Benutzung. Die IP-Vergabe erfolgt per DHCP.
Nun gibt es aber auch viele Maschinen (eigener Standort und Router jedoch nicht am Internet) die verwaltet werden müssen. Nun geht der Mitarbeiter mit dem gleichen Laptop auch an die Maschinen ran und soll per DHCP eine IP-bekommen. Soweit ist dies auch kein Problem.
Nun soll aber verhindert werden das der Mitarbeiter den Laptop mit nach Hause nimmt und ggf. dort die gleiche Router-Konfiguration aufbaut und dann ebenfalls aus dem gleichen Netz eine IP-Bekommt und auf dem Laptop dann Schadsoftware oder andere Sachen eingeschleppt werden können.
Ich habe hier an Software gedacht die auf dem Laptop (Client) läuft und nur zentral in der Domain verwaltet werden kann, die dann wie eine Art Firewall bestimmt (vielleicht mit White List ) mit welchen Routern eine Verbindung aufgebaut werden darf. Da ein IP-Netz ja sehr schnell nachgebaut ist brauche ich hier eine Art Wächter der die vertrauenswürdigen Router verwaltet und den Zugang gewährt und keine anderen DHCP-Anfragen zuläst.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 606554
Url: https://administrator.de/contentid/606554
Printed on: April 19, 2024 at 13:04 o'clock
10 Comments
Latest comment
Auch Hallo...
Ich versuch das mal zu übersetzen:
Du möchtest erreichen, dass die Mitarbeiter sich mit Firmenlaptops nur in der Firma am Firmennetzwerk anmelden können, richtig?
Grüße
Uwe
Ich versuch das mal zu übersetzen:
Du möchtest erreichen, dass die Mitarbeiter sich mit Firmenlaptops nur in der Firma am Firmennetzwerk anmelden können, richtig?
Grüße
Uwe
Hallo!
Hm?
Was hat eine Router-Konfig mit Schadsoftware zu tun?
Zitat von @CharlyBoard:
Nun gibt es aber auch viele Maschinen (eigener Standort und Router jedoch nicht am Internet) die verwaltet werden müssen. Nun geht der Mitarbeiter mit dem gleichen Laptop auch an die Maschinen ran und soll per DHCP eine IP-bekommen. Soweit ist dies auch kein Problem.
Nun soll aber verhindert werden das der Mitarbeiter den Laptop mit nach Hause nimmt und ggf. dort die gleiche Router-Konfiguration aufbaut und dann ebenfalls aus dem gleichen Netz eine IP-Bekommt und auf dem Laptop dann Schadsoftware oder andere Sachen eingeschleppt werden können.
Nun gibt es aber auch viele Maschinen (eigener Standort und Router jedoch nicht am Internet) die verwaltet werden müssen. Nun geht der Mitarbeiter mit dem gleichen Laptop auch an die Maschinen ran und soll per DHCP eine IP-bekommen. Soweit ist dies auch kein Problem.
Nun soll aber verhindert werden das der Mitarbeiter den Laptop mit nach Hause nimmt und ggf. dort die gleiche Router-Konfiguration aufbaut und dann ebenfalls aus dem gleichen Netz eine IP-Bekommt und auf dem Laptop dann Schadsoftware oder andere Sachen eingeschleppt werden können.
Hm?
Was hat eine Router-Konfig mit Schadsoftware zu tun?
Nun soll aber verhindert werden das der Mitarbeiter den Laptop mit nach Hause nimmt ...
geht problemlos, nennt sich Dienstanweisung
Moin ,
Der IP Adressbereich hat doch mit Schadsoftware 0,0 zu tun . Wo soll dern Sinn dieses Konstruktes liegen?
Und warum sollte er diesen Laptop mit nach Hause nehmen?
Gruss
Der IP Adressbereich hat doch mit Schadsoftware 0,0 zu tun . Wo soll dern Sinn dieses Konstruktes liegen?
Und warum sollte er diesen Laptop mit nach Hause nehmen?
Gruss
Leute, das ist doch egal, warum jemand nen Laptop mit nach Hause nehmen will, oder ob es da ne Dienstanweisung zu geben kann oder was auch immer.
So wie ich das sehe, will man sich hier einfach nur davor schützen, dass ggf. jemand so ein Notebook mit nach Hause nimmt und irgendwelche wilden Experimente veranstaltet.
Wäre allerdings auch gut, wenn der TO das mal so bestätigen würde oder berichtigen....
Grüße
Uwe
So wie ich das sehe, will man sich hier einfach nur davor schützen, dass ggf. jemand so ein Notebook mit nach Hause nimmt und irgendwelche wilden Experimente veranstaltet.
Wäre allerdings auch gut, wenn der TO das mal so bestätigen würde oder berichtigen....
Grüße
Uwe
Zitat von @Uschade:
Leute, das ist doch egal, warum jemand nen Laptop mit nach Hause nehmen will, oder ob es da ne Dienstanweisung zu geben kann oder was auch immer.
So wie ich das sehe, will man sich hier einfach nur davor schützen, dass ggf. jemand so ein Notebook mit nach Hause nimmt und irgendwelche wilden Experimente veranstaltet.
Wäre allerdings auch gut, wenn der TO das mal so bestätigen würde oder berichtigen....
Grüße
Uwe
Leute, das ist doch egal, warum jemand nen Laptop mit nach Hause nehmen will, oder ob es da ne Dienstanweisung zu geben kann oder was auch immer.
So wie ich das sehe, will man sich hier einfach nur davor schützen, dass ggf. jemand so ein Notebook mit nach Hause nimmt und irgendwelche wilden Experimente veranstaltet.
Wäre allerdings auch gut, wenn der TO das mal so bestätigen würde oder berichtigen....
Grüße
Uwe
Ich weiß jetzt nicht was du für Firmen kennst aber normal ist das nicht üblich, dass jeder ungefragt irgendwelche Sachen aus der Firma trägt wie er Lust hat.
LeeX, ist nicht das Thema...lass gut sein...
Moin,
ich versuche dir mal deine Fragen zu beantworten OHNE auf die Sinnhaftigkeit einzugehen und Dinge wie Dienstanweisung zu erwähnen. Da haben die anderen ja schon genug zu geschrieben, was nicht weiter hilft
Hier wird es meiner Ansicht nach unsinnig. Wieso trennt ihr die Netze (offenbar) physisch voneinander, wenn es dann doch Laptop gibt die in beiden netzen sind? Wenn du hier einen Virus auf dem Laptop hast der noch unbemerkt ist, wandert dieser somit auch in dein Produktionsnetz. Das halte ich für wenig zielführend. Ich würde hier für die Verwaltung des Produktionsnetzwerkes separate Arbeitsstationen aufbauen und lediglich die daten transferieren. Ein Virus kann dann zwar noch über die Stationen übertragen werden (via USB, etc.) aber die Gefahr ist deutlich geringer als wenn ein "Netz-Fremdes" Notebook die ganze Zeit da drin hängt.
Soweit ist dies auch kein Problem.
Wenn der Mitarbeiter den Laptop mit nach Hause nimmt, kannst du es kaum verhindern. Das Netzwerk weiß ja nicht ob es ein Heimnetzwerk ist oder dein Abgeschirmtes Produktionsnetzwerk. Der Rechner muss darüber hinaus ja die IP-Adresse in deiner Anforderung anpassen können. das erzwingen einer festen IP (egal wie) bringt dich an der Stelle auch nicht weiter, da es nicht den User abhält sein Netzwerk IP-technisch eurem anzupassen. Wenn du also sagst, du willst nur die IP-Adresse 10.x.x.x für das Notebook erlauben und der User hat zuhause 192.168.x.x, dann hindert es den User nicht sein Netzwerk zuhause auch auf 10.x.x.x umzustellen und schon greift deine Sicherung an der Stelle nicht.
Wieso bringst du jetzt Router ins Spiel. Du brauchst doch ein Konzept ohne Router. Selbst wenn du so ein Tool hast, was du auf dem Client installierst und dann sagst, dass der Client nur in Verbindung mit einem auf dem DC installiertem Programm funktionieren sollte. Du hast zwei getrennte Netze, du würdest dich selbst aus einem aussperren.
Meine Tipps für dich:
1. Überlege ob die Vorgehensweise mit dem Laptop in beiden Netzen zu arbeiten sinnvoll ist oder ob dedizierte Arbeitsstationen sinnvoller sind. Ich kann die Abneigung verstehen, aber wir haben es genau so geregelt. Eben aus dem Grund, dass wir die Netztrennung nicht mit Mischgeräten aufheben wollen.
2. Wenn du das Konstrukt weiterfahren willst hier eine "Dirty" Lösung:
- Sperre die lokale Anmeldung am Laptop
- Sorge dafür, dass der User erst nach der Verarbeitung von Anmeldeskripten am Laptop arbeiten kann (gibt es eine GPO für)
- Schreibe ein Anmeldeskript (geplanter Task beim Anmelden des Benutzers), dass etwas aus beiden Netzen in denen Laptop sich anmelden soll Prüft. IP-Adresse, abgelegte Datei, etc. Wenn es nicht gefunden wird, fahre den Laptop mittels stop-computer einfach wieder runter.
- Deaktiviere (wenn nicht sowieso schon) USB- und Wechseldatenträger, damit der User nicht mit gewissen Tools deine Einstellungen umgeht.
- Der User darf keine Adminrechte (sollte eh niemand) auf dem Notebook haben, sonst kann er die geplanten Tasks deaktivieren
Die Lösung ist allerdings keinesfalls sicher, da es den User weiterhin nicht davon abhält die Umgebung nachzubauen und deinen Test dadurch ebenfalls erfolgreich zu bestehen, obwohl dies nicht der fall ist.
So. Ich hoffe ich konnte dir ein wenig helfen, wieso deine Anfrage nicht so viel Sinn ergibt, auch wenn der Wunsch nachvollziehbar ist. Und jetzt kommen wir zum Ende doch noch zu den unbeliebten Wort: Dienstanweisung und diese konsequent verfolgen
ich versuche dir mal deine Fragen zu beantworten OHNE auf die Sinnhaftigkeit einzugehen und Dinge wie Dienstanweisung zu erwähnen. Da haben die anderen ja schon genug zu geschrieben, was nicht weiter hilft
Zitat von @CharlyBoard:
Hallo Zusammen,
ich habe folgende Anforderungen die ich realisieren muss.
Nehmen wir eine Firma an die ein internes sehr sicheres abgeschottetes IP-Netz besitzt. In diesem IP-Netz sind sehr viele PCs und Laptops in Benutzung. Die IP-Vergabe erfolgt per DHCP.
Nun gibt es aber auch viele Maschinen (eigener Standort und Router jedoch nicht am Internet) die verwaltet werden müssen. Nun geht der Mitarbeiter mit dem gleichen Laptop auch an die Maschinen ran und soll per DHCP eine IP-bekommen.
Hallo Zusammen,
ich habe folgende Anforderungen die ich realisieren muss.
Nehmen wir eine Firma an die ein internes sehr sicheres abgeschottetes IP-Netz besitzt. In diesem IP-Netz sind sehr viele PCs und Laptops in Benutzung. Die IP-Vergabe erfolgt per DHCP.
Nun gibt es aber auch viele Maschinen (eigener Standort und Router jedoch nicht am Internet) die verwaltet werden müssen. Nun geht der Mitarbeiter mit dem gleichen Laptop auch an die Maschinen ran und soll per DHCP eine IP-bekommen.
Hier wird es meiner Ansicht nach unsinnig. Wieso trennt ihr die Netze (offenbar) physisch voneinander, wenn es dann doch Laptop gibt die in beiden netzen sind? Wenn du hier einen Virus auf dem Laptop hast der noch unbemerkt ist, wandert dieser somit auch in dein Produktionsnetz. Das halte ich für wenig zielführend. Ich würde hier für die Verwaltung des Produktionsnetzwerkes separate Arbeitsstationen aufbauen und lediglich die daten transferieren. Ein Virus kann dann zwar noch über die Stationen übertragen werden (via USB, etc.) aber die Gefahr ist deutlich geringer als wenn ein "Netz-Fremdes" Notebook die ganze Zeit da drin hängt.
Soweit ist dies auch kein Problem.
Nun soll aber verhindert werden das der Mitarbeiter den Laptop mit nach Hause nimmt und ggf. dort die gleiche Router-Konfiguration aufbaut und dann ebenfalls aus dem gleichen Netz eine IP-Bekommt und auf dem Laptop dann Schadsoftware oder andere Sachen eingeschleppt werden können.
Wenn der Mitarbeiter den Laptop mit nach Hause nimmt, kannst du es kaum verhindern. Das Netzwerk weiß ja nicht ob es ein Heimnetzwerk ist oder dein Abgeschirmtes Produktionsnetzwerk. Der Rechner muss darüber hinaus ja die IP-Adresse in deiner Anforderung anpassen können. das erzwingen einer festen IP (egal wie) bringt dich an der Stelle auch nicht weiter, da es nicht den User abhält sein Netzwerk IP-technisch eurem anzupassen. Wenn du also sagst, du willst nur die IP-Adresse 10.x.x.x für das Notebook erlauben und der User hat zuhause 192.168.x.x, dann hindert es den User nicht sein Netzwerk zuhause auch auf 10.x.x.x umzustellen und schon greift deine Sicherung an der Stelle nicht.
Ich habe hier an Software gedacht die auf dem Laptop (Client) läuft und nur zentral in der Domain verwaltet werden kann, die dann wie eine Art Firewall bestimmt (vielleicht mit White List ) mit welchen Routern eine Verbindung aufgebaut werden darf. Da ein IP-Netz ja sehr schnell nachgebaut ist brauche ich hier eine Art Wächter der die vertrauenswürdigen Router verwaltet und den Zugang gewährt und keine anderen DHCP-Anfragen zulässt.
Wieso bringst du jetzt Router ins Spiel. Du brauchst doch ein Konzept ohne Router. Selbst wenn du so ein Tool hast, was du auf dem Client installierst und dann sagst, dass der Client nur in Verbindung mit einem auf dem DC installiertem Programm funktionieren sollte. Du hast zwei getrennte Netze, du würdest dich selbst aus einem aussperren.
Meine Tipps für dich:
1. Überlege ob die Vorgehensweise mit dem Laptop in beiden Netzen zu arbeiten sinnvoll ist oder ob dedizierte Arbeitsstationen sinnvoller sind. Ich kann die Abneigung verstehen, aber wir haben es genau so geregelt. Eben aus dem Grund, dass wir die Netztrennung nicht mit Mischgeräten aufheben wollen.
2. Wenn du das Konstrukt weiterfahren willst hier eine "Dirty" Lösung:
- Sperre die lokale Anmeldung am Laptop
- Sorge dafür, dass der User erst nach der Verarbeitung von Anmeldeskripten am Laptop arbeiten kann (gibt es eine GPO für)
- Schreibe ein Anmeldeskript (geplanter Task beim Anmelden des Benutzers), dass etwas aus beiden Netzen in denen Laptop sich anmelden soll Prüft. IP-Adresse, abgelegte Datei, etc. Wenn es nicht gefunden wird, fahre den Laptop mittels stop-computer einfach wieder runter.
- Deaktiviere (wenn nicht sowieso schon) USB- und Wechseldatenträger, damit der User nicht mit gewissen Tools deine Einstellungen umgeht.
- Der User darf keine Adminrechte (sollte eh niemand) auf dem Notebook haben, sonst kann er die geplanten Tasks deaktivieren
Die Lösung ist allerdings keinesfalls sicher, da es den User weiterhin nicht davon abhält die Umgebung nachzubauen und deinen Test dadurch ebenfalls erfolgreich zu bestehen, obwohl dies nicht der fall ist.
So. Ich hoffe ich konnte dir ein wenig helfen, wieso deine Anfrage nicht so viel Sinn ergibt, auch wenn der Wunsch nachvollziehbar ist. Und jetzt kommen wir zum Ende doch noch zu den unbeliebten Wort: Dienstanweisung und diese konsequent verfolgen
Zitat von @Uschade:
Leute, das ist doch egal, warum jemand nen Laptop mit nach Hause nehmen will, oder ob es da ne Dienstanweisung zu geben kann oder was auch immer.
So wie ich das sehe, will man sich hier einfach nur davor schützen, dass ggf. jemand so ein Notebook mit nach Hause nimmt und irgendwelche wilden Experimente veranstaltet.
Wäre allerdings auch gut, wenn der TO das mal so bestätigen würde oder berichtigen....
Grüße
Uwe
Leute, das ist doch egal, warum jemand nen Laptop mit nach Hause nehmen will, oder ob es da ne Dienstanweisung zu geben kann oder was auch immer.
So wie ich das sehe, will man sich hier einfach nur davor schützen, dass ggf. jemand so ein Notebook mit nach Hause nimmt und irgendwelche wilden Experimente veranstaltet.
Wäre allerdings auch gut, wenn der TO das mal so bestätigen würde oder berichtigen....
Grüße
Uwe
Bei ner Dienstanweisung , soll er doch wahrscheinlich auch von zu Hause aus arbeiten können , da macht es doch null Sinn es gegen andere Netze zu sperren. Sichern gegen Unfug ?
- keine lokalen Adminrechte
- Antivirensystem mit blockieren von Wechselmedien / Webfilter usw.
Abfahrt.
Gruss
Hallo zusammen,
ja das stimmt vielleicht bin ich nicht der beste im Sachverhalt darlegen oder zu umschreiben. "Doskias" hat es schon super noch mal zusammengefasst und verstanden was ich meinte. Und ja Dienstanweisung ist natürlich auch das richtige an der Stelle und dies existiert auch aber es halten sich halt nicht immer alle daran.
Soweit ich jetzt mal etwas weiter gelesen habe ist das Stichwort was mir weiterhelfen könnte "Friendly Net Detection" somit kann ich sicherstellen das sich das Flex-Gateway (was an der Maschine verbaut ist) nur meine definierten PCs-verbinden dürfen. Ich bin noch nicht voll umfänglich hier eingelesen aber das sollte die Lösung für mein Problem sein auch wenn es ein nicht gerade geringeren mehr-Aufwand bedeutet.
Vielen Dank für die ganzen Kommentare und Tips von Euch...
ja das stimmt vielleicht bin ich nicht der beste im Sachverhalt darlegen oder zu umschreiben. "Doskias" hat es schon super noch mal zusammengefasst und verstanden was ich meinte. Und ja Dienstanweisung ist natürlich auch das richtige an der Stelle und dies existiert auch aber es halten sich halt nicht immer alle daran.
Soweit ich jetzt mal etwas weiter gelesen habe ist das Stichwort was mir weiterhelfen könnte "Friendly Net Detection" somit kann ich sicherstellen das sich das Flex-Gateway (was an der Maschine verbaut ist) nur meine definierten PCs-verbinden dürfen. Ich bin noch nicht voll umfänglich hier eingelesen aber das sollte die Lösung für mein Problem sein auch wenn es ein nicht gerade geringeren mehr-Aufwand bedeutet.
Vielen Dank für die ganzen Kommentare und Tips von Euch...
