Jump to content
Sign in to follow this  
Mikro79

Pix Firewall Zugriff mit Mac-Adresse

Recommended Posts

Hallo,

ich habe folgendes Problem.

Ich habe eine PIX 501 Firewall und möchte den Zugriff auf das interne Netz der Firewall von aussen in der Weise beschränken, dass nur bestimmte MAC-Adressen Zugriff haben.

Ich bin relativ unerfahren mit Cisco-Firewalls und habe auch in entsprechenden Foren keine nützlichen Tips entdeckt.Vielleicht kann mir ja hier jemand helfen.

Ich wäre jedenfalls sehr dankbar ;-))

Share this post


Link to post
Share on other sites

Meiner Meinung ist die Beschränkung auf IP-Adressen nicht sicher, da sich jeder die IP-Adresse geben kann. Eine MAC-Adresse ist eindeutig, so dass ich nur klar definierten Personen/Rechnern einen zugriff gestatten kann.

Share this post


Link to post
Share on other sites

Auf TCP-Ebene sieht die PIX die MAC nicht und kann das deswegen nicht. Ob Du per MAC den Zugriff steuerst oder IP ist wurscht, meine ich. Die Mac kann man mit einfachen Tools auch ändern...

 

Glady

Share this post


Link to post
Share on other sites

Ja, prinzipiell kann man natürlich die bzw. eine der Mac-Adressen eines Adapters manipulieren.

In meinem Fall geht es allerdings auch nicht darum, einen Zugriff von aussen (Internet) zu verhindern.

Es geht vielmehr darum zu verhindern, dass alle Mitarbeiter Zugriff auf sensible Daten des kaufmännischen Bereichs haben. Es wird sich keiner damit befassen die MAC-Adresse zu ändern um an die Daten zu kommen.

Nur, eine IP-Adresse wird schnell mal geändert zumal die freigegebene Adresse dann ja auch in dem Bereich der anderen Addressen des "äusseren" Netzes wäre und so kann es auch eher zufällig eine ungewollte Zugriffsmöglichkeit geben...

Mit Freigabe nur einer bestimmten MAC-Adresse wäre diese Schwachstelle ausgeschlossen.

Aber wenn es diese Möglichkeit nicht gibt, muss ich mir wohl etwas anderes einfallenb lassen... Oder hat eioner noch ne Idee, wie man sowas regeln könnte!?

Auf jeden Fall schonmal Danke für eure Mühe.

Share this post


Link to post
Share on other sites

Hmm,

vielleicht habe ich die Problemumgebung auch nicht wirklich gut beschrieben....

"äusseres" Netz heisst hier ein auch schon geschütztes Firmennetz.

"inneres" Netz ist ein anderes Subnetz, welches von dem Firmennetz noch einmal durch eine Firewall getrennt ist.

Die Benutzer des inneresn Netzes sollen auf das äussere Netz unbegrenzt zugreifen dürfen, nur eben nicht andersherum.

Von dem "äusseren" Netz sollen nur einige (zunächst nur einer) Rechner Zugriff auf das "innere" Netz haben.

Share this post


Link to post
Share on other sites

Hm, dann fällt mir als Möglichkeit eigentlich nur eine userbasierte Authentifizierung ein... z.B. mit HTTP Authentication.. oder aber die User, die zugreifen dürfen, bauen eine VPN-Verbindung zur PIX auf. Ist nur die Frage, ob bei letzterem die Performance noch ausreichend ist.

Share this post


Link to post
Share on other sites

Hi,

 

Lock und Key (Dynamic Access Lists) ist auch kein schlechtes Feature. Ich weiss

allerdings nicht ob das deine Pix, oder auf welchem Geraet du das konfigurieren moechtest, unterstuezt. Da wir eine Access Liste nur nach vorheriger Authentifizierung freigeschaltet. Es ist dann auch moeglich einen Timeout fuer die gesamte Dauer oder als idle timeout.

 

Facto kannst du so ueber einen Useraccount und ein Passwort eine Accessliste freigeben. Wenn sich der User auf dem Router anmeldet wird die entsprechende Accessliste freigeschaltet. Du kannst also z.B. etwas grunsaetzlich verbieten, aber einem Benutzer ein Passwort ausgeben und den selber darueber seinen Zugang freischalten lassen.

 

Configuring Lock-and-Key Security (Dynamic Access Lists)

 

 

Fu

Share this post


Link to post
Share on other sites

Hi,

Danke erstmal für eure reichhaltigen Vorschläge. Echt toll, wie gut das läuft. Weiter so.

Aber leider war da glaub ich für mich nicht das passende dabei. Ich schätze, das was ich suche, gibt's so nicht ;-)

HTTP Authentication kenn ich so nicht. Ist das mit der PIX 501 konfigurierbar? Wie funktioniert die Anmeldung?

VPN ist zwar ne Möglichkeit, die ich auch schon ins Auge gefasst habe aber ist mir eine für diesen Fall zu umständliche Sache (Anmeldung/Performancefrage).

Lock and Key ist auch zu umständlich. Wenn ich das richtig gelsen habe, muss der User sich erst via telnet mit der Firewall verbinden usw....

Share this post


Link to post
Share on other sites

Lock and Key ist auch zu umständlich. Wenn ich das richtig gelsen habe, muss der User sich erst via telnet mit der Firewall verbinden usw....

 

 

Der User bekommt ein Kenntwort und eine telnet addresse. Damit macht er einen Telnet auf die Adresse und meldet sich einmal an mit Benutzernamen und Kennwort. Danach hat er seinen Zugriff selber freigeschaltet.

 

Fu

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...