Lösung gesucht: LAN-Zugriff nur für authorisierte Clients

[mriess 10]

Hallo zusammen,

ich suche ein Programm/eine Lösung, die es Notebooks verbietet, sich in fremde LANs einzuklinken. Stelle mir dazu eine Software vor, die vor einem LAN-Zugriff abprüft, ob das LAN als vertrauenswürdig gilt, indem dort z.B. ein Server steht, der das bestätigt.

 

Am liebsten wäre mir natürlich eine Lösung mit Bordmitteln aus Windows (XP, 2000).

 

Ich möchte damit verhindern, daß Mitarbeiter Daten auf ihre Notebooks spielen, sie mit nach Hause nehmen und dort in ihrem privaten LAN auf einen Server spielen (prinzipiell zumindest).

 

ADS, Exchange und das Übliche wären vorhanden.

 

Danke für jeden Hinweis!

[cschra 10]

Eventuell Hilft dir ein Radius server weiter? Ich wüsste aber nicht wie man dem Client beipulen kann, sich nur an einem Netzwerk mit dem radiusserver anzumelden...

[blub 115]

hi,

dann musst du aber nicht nur notebooks betrachten, sondern memorysticks, externe Festplatten etc.

 

andersrum, also nicht vertrauenswürdige Notebooks, von deinem Netz fernhalten, das ist eine sinnvollere Herausforderung . siehe

http://www.microsoft.com/nap

 

cu

blub

[mriess 10]

Die anderen Maßnahmen haben wir bereits alle ergriffen.

- Sticks und USB sind geblockt bzw. kontrolliert

- und es kommen auch nur "trusted" Geräte ins Netz.

 

Das offene Loch ist also nur noch die Möglichkeit, sich mit mobilen Geräten in andere Netze zu verbinden.

[FrankMK 10]

HI,

 

wie wäre es mit fester IP für das notebook und der Einstellung, dass nur Admins die Netzwerkeinstellungen verändern können. Ausserdem als Protokoll für die notebooks nur IPSEC zulassen & nur sichere Verbindungen erlauben oder auf den Notebooks kein TCPIP sondern ein zu Hause ungebräuchliches Protokoll einsetzen wie z.B. IPX/SPX

 

Gruß

 

Frank

[blub 115]

@mriess,

darf ich fragen, wie ihr das schafft, nur trusted Geräte ins Netz zu lassen

 

cu

blub

[mriess 10]

wir setzen hier das VMPS-System von Cisco ein. Da gibt es eine Datenbank zugelassener Mac-Adressen, die die Geräte in ein entsprechendes Vlan packen. Alle nicht bekannten Mac-Adressen landen in einem toten Vlan. Das funktioniert ganz gut. Nur gegen Mac-Fälschung hilft es natürlich nicht wirklich.

[mriess 10]

HI,

 

wie wäre es mit fester IP für das notebook und der Einstellung, dass nur Admins die Netzwerkeinstellungen verändern können. Ausserdem als Protokoll für die notebooks nur IPSEC zulassen & nur sichere Verbindungen erlauben oder auf den Notebooks kein TCPIP sondern ein zu Hause ungebräuchliches Protokoll einsetzen wie z.B. IPX/SPX

 

Gruß

 

Frank

 

wie könnte man sich das IPsec und sichere Verbindungen praktisch vorstellen?

 

würde es bspw. funktionieren, in den Netzwerkeinstellungen 802.1x anzuhaken und ein Zertifikat zu hinterlegen? Den Zertifikatsserver gibt es dann ja nur im Unternehmen. Verhindert das eine Verbindung mit Rechnern in anderen Netzen?

[grizzly999 11]

802.1x hilft nur als Schutz gegen unbefugten Netzwerkzugriff in DEINEM Netz.

 

IPSec mit Kerberos-Authentifizierung wäre aus meiner Sicht die einzig gangbare Lösung. Da muss aber das ganze interne Netzwerk drauf abgestimmt werden, und das ist mit einiger Planung und KnowHow verbunden.

 

grizzly999