mich würde interessieren, was für Lösungen es gibt bzw. wie das andere handhaben.
Wir haben in einige Räumlichkeiten, wo Schulungen und Meetings statt finden. Es sollen sowohl eingeschränkte Netzwerkports vorhanden sein, als auch "SE-Ports", also das netz, das alles darf :-). D.h., ich habe in der Bodendose Ports für das SE-LAN und für eingeschränkte Netze.
Den DHCP-Server haben wir schon so eingestellt, dass unbekannte MAC-Adressen keine IP-Adresse zugewiesen bekommen. Das verhindert allerdings nicht, dass man sich manuell eine IP-Adresse vergibt und sich dann trotzdem im SE-Netz befindet :-(
Leider können unsere Switches kein VPMS. Das wäre sonst eine tolle Sache.
Ansonsten überlege ich, intern einen VPN-Concentrator einzusetzen und das Feature WEBVPN mit Cisco SSL VPN Client. Hier kann ich Gruppen mit IP-Pools definieren in Verbindung mit Authentifizierung. So muss sich in diesen Räumlichkeiten JEDER zunächst authentifizieren und ich kann sauber und einfach auf dem Concentrator bzw. Radius-Server die Gruppen und User verwalten.
Ich würde es wie in Deinem anderen Bespiel lösen. Ein Schulungsvlan erstellen und entsprechend mit Access Listen beschränken. Der "Lehrer" erhält ein anderes unbeschränktes VLAN.
Das Problem ist, dass die Ports ja nebeneinander in der Bodendose sind. Da braucht der Schüler nur das andere Port zu nehmen sich fest eine IP-Adresse aus dem "Lehrer-VLAN" zu vergeben und schon ist online.
mich würde interessieren, was für Lösungen es gibt bzw. wie das andere handhaben.
Ich betreibe für das Seminarnetz eine normale Domäne 2k3. Zugang zur Dom erhält nur ein Benutzer mit Konto. Falls jemand einen Laptop anschliesst, na und?
Ich treibe keinen hohen Aufwand, sowas zu verhindern. Extra teure konfigurierbare Switches anschaffen? Deren Ports dann auch noch konfigurieren auf die MAC-Adressen? Bei Rechnertausch umkonfigurieren, umstecken, wo soll das Geld für einen solchen Aufwand herkommen, im harten Bildungsgeschäft?
Falls also ein Student oder Dozent seinen Laptop anschliesst und unseren Internetzugang benutzt, na und? Auf den Rechnern der Domäne sind Firewalls und Virenscanner.
Es gibt bei uns im Seminarnetz keine Trennung zwischen Dozenten und Studenten, wozu? Die Dozenten unterrichten, dürfen kaum mehr als die Studierenden. Sie dürfen denen das Drucken erlauben und verbieten, das war es aber auch schon im Wesentlichen.
Die Sicherheit des Verwaltungsnetzes ist durch konsequente Trennung vom Seminarnetz gewährleistet. In Seminarräumen gibt es keine Anschlüsse für das Verwaltungsnetz und umgekehrt. Auch die Internetzugänge sind getrennt. Wünschen von Dozenten und auch Leitenden in dieser Hinsicht bin ich entgegengetreten, das wurde auch akzeptiert.
Den DHCP-Server haben wir schon so eingestellt, dass unbekannte MAC-Adressen keine IP-Adresse zugewiesen bekommen. Das verhindert allerdings nicht, dass man sich manuell eine IP-Adresse vergibt und sich dann trotzdem im SE-Netz befindet :-(
So ist keine Sicherheit (wovor, vor wem?) erreichbar.
Wir haben in einige Räumlichkeiten, wo Schulungen und Meetings statt finden. Es sollen sowohl eingeschränkte Netzwerkports vorhanden sein, als auch "SE-Ports", also das netz, das alles darf :-). D.h., ich habe in der Bodendose Ports für das SE-LAN und für eingeschränkte Netze.
alle ports im schulungslan bekommen eine dhcp-adresse, können aber ausschließlich nur ins internet raus und sonst nirgends hin. will man ins verwaltungslan (trainer, etc.), dann braucht man einen vpn-client am laptop + token von uns. mit dem baut man dann ein vpn auf (so als ob man eben von irgendwo aus dem i-net kommt). und selbst der zugriff innerhalb im vpn ist auf userebene stark eingeschränkt.
Andere Möglichkeit wäre vielleicht noch, dass man Lehrerport halt Mac-Security läuft, sprich es darf nur eine bestimmt mac-adresse an dem Port arbeiten.
