MAC Filtering als Zugriffskontrolle

[DschingisKarn 10]

Hallo werte Experten

 

Wir möchten einige Server von uns in soweit sicher machen das nur Clients mit vorher eingestellten MAC Adressen zugriff bekommen.

Diese Funktionalität findet sich im prinzip in jedem Router bzw. jeder Firewall, aber was wir suchen ist das ganze auf Server/Betriebssystem Ebene.

 

Bsp.:

Server x mit Share y soll nur den Rechnern mit der MAC Adresse 00-00-00-00-11 und 00-00-00-00-12 zugriff gewähren. Alle anderen Rechner werden geblockt, bzw. der Zugriff verweigert.

 

Im Idealfall sollte die Möglichkeit unter NT4 / W2k / W2k3 bestehen. Wenigstens die letzten beiden wären wichtig.

 

Es war für mich ein wenig schwierig diese Frage ein zu stellen, ist es doch eigentlich eher Betriebssystem. Andererseits ist es ja ein fester Eingriff in das Netz ... knifflig.

 

Hoffentlich kann uns einer von Euch helfen, wir haben bisher leider noch nichts gefunden.

 

Gruß

Dschingis

[edv-olaf 10]

Hallo,

 

diese Art der Einschränkung gibt es meines Wissens nicht.

 

Grüße

Olaf

[Josh16 10]

Hmm, das macht imho nur Sinn wenn die Clients per DHCP immer wieder eine andere IP Adresse zugeteilt bekommen. Aber kann man da nicht eine Firewall nehmen und anhand des Hostnamens Filtern? Dieser ist ja in einem Netz normalerweise genauso einmalig wie die MAC und IP Adresse.

 

Die einzige mir bekannte Möglichkeit ist, wie du schon sagtest, auf einem Router den Zugriff per ACL einzuschränken.

 

EDIT: Bei einer Software Firewall hab ich diese Möglichkeit bis jetzt noch nie gesehen, da diese meist auf den oberen Schichten des OSI Modells arbeitet.

[DschingisKarn 10]

Nochmal zum Hintergrund.

 

Der Zugriff auf den Server soll in soweit beschränkt werden das nur von wenigen festgelegten Rechnern zugriff möglich ist.

 

Auf einem Router würde ich das so Lösen das ich die MAC Adressen eintrage die den zugriff gewährt bekommen (Kenn ich von meinem WLAN / DSL Router, dort praktiziere ich das). Ob oder wie das mit einer Software lösbar ist, das ist genau unsere Frage.

Wenn es keine Lösung gibt, haben wir pech gehabt, dann muss es weiter via User/PWD gehen wie jetzt (würde sowieso zusätzlich bleiben).

 

Aber schon mal danke daür das Ihr Euer Gehirnschmalz mit einbringt. :)

 

Gruss

Dschingis

[ati975 10]

Hi,

 

wie wäre es mit einem DHCP-Server, dessen Bereich genau so viele IP-Adressen bereitstellt, wie PCs im Netzwerk sind. Jede IP wird fest an eine MAC gebunden. Nicht registrierte Rechner bekommen also keine IP und damit auch keinen Zugriff.

Natürlich könnte sich jemand eine feste IP selbst geben, wenn er den IP-Bereich kennt.

Ist also kein 100%iger Schutz.

[DschingisKarn 10]

Das Netz ist ... ein ganz klein wenig größer hier.

Die IP Adressen sind den Rechnern fest zugewiesen, DHCP findet hier "noch" keinen einsatz, ausser beim Deployment über Altiris.

Es geht auch nicht darum Rechner aus dem Netz an sich fern zu halten, es geht nur um den Zugriff auf diesen einen Server.

Ich weis, jetzt könnte man sagen das man doch diesen Server hinter eine eigene Firewall/Router setzen könnte, aber auch das ist so nicht realisierbar. Deshalb ja unsere Suche nach einer lokalen Lösung auf dem Server.

 

Gruß

Dschingis

[ati975 10]

OK, anderer Ansatz:

Den einen Server in ein anderes Subnetz nehmen. Den paar Clients, die Zugriff haben dürfen, gibst du eine zweite IP in diesem anderen Subnetz.

[CoolAce 17]

Hy,

 

das einzige was mir da noch einfällt ist über ein eigenständiges VLAN (sofern eure Switches diese Technologie beherschen) mit eignem IP Adressbereich und mit Firewall die dies vom "normalen Netz" abtrennt. oder ohne Berührungspunkte zum normalen Netz.

 

Das hängt von dir ab.

 

Vorteil: Deine MAC einhackerei sparrst du dir (und die Fehlersuche bei ausgetauschter NIC oder Verschreiben) und viel Zeit den du musst nur die Dose dem richtigen VLAN zuordnen

 

Gruß

 

CoolAce :cool:

 

PS: User Trennung wie gehabt über NTFS/Freigabe Rechte

[Josh16 10]

Die billigste Lösung ist doch immer noch eíne Desktop Firewall zu installieren und den Zugriff auf bestimmte Rechner einzuschränken.

 

@ati975

Wieso zwei IP Adressen. Wenn die Server in nem abgeschirmten Netz stehen, haben sie ja auch keine Verbindung zum Domaincontroller. Wenn schon ein extra Subnetz eingerichtet werden soll, dann muss dieses ja auch über Router verbunden erden, und wie schon genannt kann dann über ACL

eingeschränkt werden.

 

 

@DschingisKarn

wieso versteifst du dich eigentlich so auf MAC adressen?? Die können sich doch relativ schnell ändern z.B. wie auch schon gennant durch defekte NIC. Dadurch entsteht wieder enormer administrativer Aufwand.

[DschingisKarn 10]

Hi Josh16

 

Die Versteifung auf die MAC Adresse läst sich recht einfach erklären, zumal der zugriff auf den Share an sich ja sowieso per USER und PWD gesichert ist.

 

-> Auf den Server greift nur eine Hand voll Rechner zu, wirklich nicht mehr. Der Administrative aufwand wäre also zu vernachlässigen.

-> Es sollen auch nur genau diese Rechner darauf zugreifen dürfen.

-> Die MAC Adresse ist normalerweise der beste Ausweis um einen Rechner zu identifizieren. (Ja, ich weis, bei den meisten Netzwerkkarten kann man auch die MAC Adresse per hand einstellen. Aber dafür müßte der zugreifende ja erstmal wissen welche MAC durch darf.)

 

An eine Desktop Firewall dachte ich auch schon, ist nur die Frage ob mir diese nicht zusehr ins System eingreift und eventuell störungen verursacht. Davon abgesehen bräuchte es eine an der der ich die (sorry, ich reit weiter drauf rum) MAC Adressen explizit frei schalten kann.

 

So, ich hoffe ich konnte hiermit etwas weiter helfen um meinen Standpunkt besser zu erklären. :)

 

Gruß und Dank

Dschingis

[Josh16 10]

Okay verstehe dein Problem.

Leider kenne ich auch keine Möglichkeit ohne Router auf betimmte MACs einzuschränken