Mikro79 10 Geschrieben 9. Januar 2007 Melden Teilen Geschrieben 9. Januar 2007 Hallo, ich habe folgendes Problem. Ich habe eine PIX 501 Firewall und möchte den Zugriff auf das interne Netz der Firewall von aussen in der Weise beschränken, dass nur bestimmte MAC-Adressen Zugriff haben. Ich bin relativ unerfahren mit Cisco-Firewalls und habe auch in entsprechenden Foren keine nützlichen Tips entdeckt.Vielleicht kann mir ja hier jemand helfen. Ich wäre jedenfalls sehr dankbar ;-)) Zitieren Link zu diesem Kommentar
mturba 10 Geschrieben 9. Januar 2007 Melden Teilen Geschrieben 9. Januar 2007 Eine Zugriffsbeschränkung auf MAC-Adressenebene ist meines Wissens mit der PIX501 nicht möglich. Zitieren Link zu diesem Kommentar
glady 10 Geschrieben 9. Januar 2007 Melden Teilen Geschrieben 9. Januar 2007 Warum Mac-Adressen und nicht IP-Adressen? Zitieren Link zu diesem Kommentar
Mikro79 10 Geschrieben 10. Januar 2007 Autor Melden Teilen Geschrieben 10. Januar 2007 Meiner Meinung ist die Beschränkung auf IP-Adressen nicht sicher, da sich jeder die IP-Adresse geben kann. Eine MAC-Adresse ist eindeutig, so dass ich nur klar definierten Personen/Rechnern einen zugriff gestatten kann. Zitieren Link zu diesem Kommentar
glady 10 Geschrieben 10. Januar 2007 Melden Teilen Geschrieben 10. Januar 2007 Auf TCP-Ebene sieht die PIX die MAC nicht und kann das deswegen nicht. Ob Du per MAC den Zugriff steuerst oder IP ist wurscht, meine ich. Die Mac kann man mit einfachen Tools auch ändern... Glady Zitieren Link zu diesem Kommentar
Mikro79 10 Geschrieben 10. Januar 2007 Autor Melden Teilen Geschrieben 10. Januar 2007 Ja, prinzipiell kann man natürlich die bzw. eine der Mac-Adressen eines Adapters manipulieren. In meinem Fall geht es allerdings auch nicht darum, einen Zugriff von aussen (Internet) zu verhindern. Es geht vielmehr darum zu verhindern, dass alle Mitarbeiter Zugriff auf sensible Daten des kaufmännischen Bereichs haben. Es wird sich keiner damit befassen die MAC-Adresse zu ändern um an die Daten zu kommen. Nur, eine IP-Adresse wird schnell mal geändert zumal die freigegebene Adresse dann ja auch in dem Bereich der anderen Addressen des "äusseren" Netzes wäre und so kann es auch eher zufällig eine ungewollte Zugriffsmöglichkeit geben... Mit Freigabe nur einer bestimmten MAC-Adresse wäre diese Schwachstelle ausgeschlossen. Aber wenn es diese Möglichkeit nicht gibt, muss ich mir wohl etwas anderes einfallenb lassen... Oder hat eioner noch ne Idee, wie man sowas regeln könnte!? Auf jeden Fall schonmal Danke für eure Mühe. Zitieren Link zu diesem Kommentar
Mikro79 10 Geschrieben 10. Januar 2007 Autor Melden Teilen Geschrieben 10. Januar 2007 Hmm, vielleicht habe ich die Problemumgebung auch nicht wirklich gut beschrieben.... "äusseres" Netz heisst hier ein auch schon geschütztes Firmennetz. "inneres" Netz ist ein anderes Subnetz, welches von dem Firmennetz noch einmal durch eine Firewall getrennt ist. Die Benutzer des inneresn Netzes sollen auf das äussere Netz unbegrenzt zugreifen dürfen, nur eben nicht andersherum. Von dem "äusseren" Netz sollen nur einige (zunächst nur einer) Rechner Zugriff auf das "innere" Netz haben. Zitieren Link zu diesem Kommentar
mturba 10 Geschrieben 10. Januar 2007 Melden Teilen Geschrieben 10. Januar 2007 Hm, dann fällt mir als Möglichkeit eigentlich nur eine userbasierte Authentifizierung ein... z.B. mit HTTP Authentication.. oder aber die User, die zugreifen dürfen, bauen eine VPN-Verbindung zur PIX auf. Ist nur die Frage, ob bei letzterem die Performance noch ausreichend ist. Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 10. Januar 2007 Melden Teilen Geschrieben 10. Januar 2007 Hi, Lock und Key (Dynamic Access Lists) ist auch kein schlechtes Feature. Ich weiss allerdings nicht ob das deine Pix, oder auf welchem Geraet du das konfigurieren moechtest, unterstuezt. Da wir eine Access Liste nur nach vorheriger Authentifizierung freigeschaltet. Es ist dann auch moeglich einen Timeout fuer die gesamte Dauer oder als idle timeout. Facto kannst du so ueber einen Useraccount und ein Passwort eine Accessliste freigeben. Wenn sich der User auf dem Router anmeldet wird die entsprechende Accessliste freigeschaltet. Du kannst also z.B. etwas grunsaetzlich verbieten, aber einem Benutzer ein Passwort ausgeben und den selber darueber seinen Zugang freischalten lassen. Configuring Lock-and-Key Security (Dynamic Access Lists) Fu Zitieren Link zu diesem Kommentar
Mikro79 10 Geschrieben 11. Januar 2007 Autor Melden Teilen Geschrieben 11. Januar 2007 Hi, Danke erstmal für eure reichhaltigen Vorschläge. Echt toll, wie gut das läuft. Weiter so. Aber leider war da glaub ich für mich nicht das passende dabei. Ich schätze, das was ich suche, gibt's so nicht ;-) HTTP Authentication kenn ich so nicht. Ist das mit der PIX 501 konfigurierbar? Wie funktioniert die Anmeldung? VPN ist zwar ne Möglichkeit, die ich auch schon ins Auge gefasst habe aber ist mir eine für diesen Fall zu umständliche Sache (Anmeldung/Performancefrage). Lock and Key ist auch zu umständlich. Wenn ich das richtig gelsen habe, muss der User sich erst via telnet mit der Firewall verbinden usw.... Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 11. Januar 2007 Melden Teilen Geschrieben 11. Januar 2007 Lock and Key ist auch zu umständlich. Wenn ich das richtig gelsen habe, muss der User sich erst via telnet mit der Firewall verbinden usw.... Der User bekommt ein Kenntwort und eine telnet addresse. Damit macht er einen Telnet auf die Adresse und meldet sich einmal an mit Benutzernamen und Kennwort. Danach hat er seinen Zugriff selber freigeschaltet. Fu Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.