Internetzugang begrenzen

anve · 16.10.2008, 22:15

Hallo zusammen!

Ein bestimmter Rechner im Netzwerk soll nicht ständig Zugriff auf das Internet haben und nur nach einer Freigabe diesen bekommen. Der Rechner ist "autonom", d.h. er wird nicht von mir "gewartet" was die Soft- oder Hardware betrifft. Welche Möglichkeiten habe ich? Interessant wäre ein Ticket- oder Schlüsselsystem (wie WPA). Folgende Lösungmöglichkeiten sind mir eingefallen:

-MAC-Filtering: leicht umgehbar
-Installation einer Software: umgehbar durch Boot-CD bzw. Neu-Aufsetzen
-Login über Server: würde eigenen PC benötigen

Gibt es sonst noch Möglichkeiten die nicht umgangen werden können?

Mfg
anve

16.10.2008, 23:50

MAC-Filter mit Whitelist (nur bekannte MAC-Adressen sind erlaubt) bringt dich schonmal weiter...

Hast vllt einen managed Switch? dann würds über PortSecurity gehen (an diesem Port, darf nur diese MAC online gehen, und in der firewall begrenzt du dann wieder diese mac => perfekte lösung)

so ein switch ist halt ned besonders günstig

für bessere vorschläge müsste ich mehr über das Netzwerk wissen

LouCypher · 17.10.2008, 07:43

sollte mit jeder firewall die zb. einen dmz port hat fuktionieren. Dort hängst den pc und schaltest den internetzugang nach bedarf frei. Ich glaub die kleinen zywalls haben einen und sind nicht zu teuer.

CMOH · 17.10.2008, 10:47

ich kann mich schichtleiter nur anschließen.

Falls die Lösung wirklich so sicherheitskritisch ist, dass scheduled MAC filtering nicht ausreicht, dann ist PortSecurity die beste Lösung.

anve · 17.10.2008, 11:57

Netzwerkaufbau sieht folgendermaßen aus:
http://www.wcm.at/forum/attachment.p...4&d=1224002766

Es geht um PC C der gemeinsam mit PC B an einem Switch hängt. Der Router unterstützt MAC-Filtering und man kann eine DMZ einrichten (aber kein spezieller Port). Bis jetzt erlaube ich ja nur Rechner mit der richtigen MAC den Zugriff. Das ist ja sowas wie eine Whitelist? Aber diese hilft mir nichts, wenn PC C den Rechner PC B die MAC klaut, wenn PC B nicht eingeschaltet ist.

Der Switch unterstützt das glaub ich nicht. Leider. Aber Port Security hilft mir auch nicht so weiter. PC C kann ganz leicht die Verbindung von PC B klauen (mit derselben MAC). Das hilft mir dann auch nichts, oder?

Aber wegen dem DMZ-Port müsste ich mal schauen, was sich so machen lässt. Danke erstmals für die Tips!

17.10.2008, 12:03

port security "wirkt" auf den hardwareport am switch (auf den Steckplatz!)
dh man müsste schon zum switch gehen umstecken um es zu umgehen

anve · 17.10.2008, 13:01

PC C & PC B stehen im selben Raum wie der Switch ...

Also gibt es keine effektive Methode etwas dagegen zu tun. Außer man hat einen Spezial-Router (oder z.B. einen Router der WPA unterstützt obwohl er kein WLAN anbietet).

16.10.2008, 22:15	#1
anve Veteran Registriert seit: 31.03.2006 Beiträge: 341	Internetzugang begrenzen Hallo zusammen! Ein bestimmter Rechner im Netzwerk soll nicht ständig Zugriff auf das Internet haben und nur nach einer Freigabe diesen bekommen. Der Rechner ist "autonom", d.h. er wird nicht von mir "gewartet" was die Soft- oder Hardware betrifft. Welche Möglichkeiten habe ich? Interessant wäre ein Ticket- oder Schlüsselsystem (wie WPA). Folgende Lösungmöglichkeiten sind mir eingefallen: -MAC-Filtering: leicht umgehbar -Installation einer Software: umgehbar durch Boot-CD bzw. Neu-Aufsetzen -Login über Server: würde eigenen PC benötigen Gibt es sonst noch Möglichkeiten die nicht umgangen werden können? Mfg anve

17.10.2008, 07:43	#3
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	sollte mit jeder firewall die zb. einen dmz port hat fuktionieren. Dort hängst den pc und schaltest den internetzugang nach bedarf frei. Ich glaub die kleinen zywalls haben einen und sind nicht zu teuer. ____________________________________ Greetings LouCypher

16.10.2008, 23:50	#2
schichtleiter Gast Beiträge: n/a	MAC-Filter mit Whitelist (nur bekannte MAC-Adressen sind erlaubt) bringt dich schonmal weiter... Hast vllt einen managed Switch? dann würds über PortSecurity gehen (an diesem Port, darf nur diese MAC online gehen, und in der firewall begrenzt du dann wieder diese mac => perfekte lösung) so ein switch ist halt ned besonders günstig für bessere vorschläge müsste ich mehr über das Netzwerk wissen

17.10.2008, 10:47	#4
CMOH Jr. Member Registriert seit: 09.01.2001 Beiträge: 36	ich kann mich schichtleiter nur anschließen. Falls die Lösung wirklich so sicherheitskritisch ist, dass scheduled MAC filtering nicht ausreicht, dann ist PortSecurity die beste Lösung.

17.10.2008, 11:57	#5
anve Veteran Registriert seit: 31.03.2006 Beiträge: 341	Netzwerkaufbau sieht folgendermaßen aus: http://www.wcm.at/forum/attachment.p...4&d=1224002766 Es geht um PC C der gemeinsam mit PC B an einem Switch hängt. Der Router unterstützt MAC-Filtering und man kann eine DMZ einrichten (aber kein spezieller Port). Bis jetzt erlaube ich ja nur Rechner mit der richtigen MAC den Zugriff. Das ist ja sowas wie eine Whitelist? Aber diese hilft mir nichts, wenn PC C den Rechner PC B die MAC klaut, wenn PC B nicht eingeschaltet ist. Der Switch unterstützt das glaub ich nicht. Leider. Aber Port Security hilft mir auch nicht so weiter. PC C kann ganz leicht die Verbindung von PC B klauen (mit derselben MAC). Das hilft mir dann auch nichts, oder? Aber wegen dem DMZ-Port müsste ich mal schauen, was sich so machen lässt. Danke erstmals für die Tips!

17.10.2008, 12:03	#6
schichtleiter Gast Beiträge: n/a	port security "wirkt" auf den hardwareport am switch (auf den Steckplatz!) dh man müsste schon zum switch gehen umstecken um es zu umgehen

17.10.2008, 13:01	#7
anve Veteran Registriert seit: 31.03.2006 Beiträge: 341	PC C & PC B stehen im selben Raum wie der Switch ... Also gibt es keine effektive Methode etwas dagegen zu tun. Außer man hat einen Spezial-Router (oder z.B. einen Router der WPA unterstützt obwohl er kein WLAN anbietet).

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)