Jump to content

Pix Firewall Zugriff mit Mac-Adresse


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

ich habe folgendes Problem.

Ich habe eine PIX 501 Firewall und möchte den Zugriff auf das interne Netz der Firewall von aussen in der Weise beschränken, dass nur bestimmte MAC-Adressen Zugriff haben.

Ich bin relativ unerfahren mit Cisco-Firewalls und habe auch in entsprechenden Foren keine nützlichen Tips entdeckt.Vielleicht kann mir ja hier jemand helfen.

Ich wäre jedenfalls sehr dankbar ;-))

Link zu diesem Kommentar

Ja, prinzipiell kann man natürlich die bzw. eine der Mac-Adressen eines Adapters manipulieren.

In meinem Fall geht es allerdings auch nicht darum, einen Zugriff von aussen (Internet) zu verhindern.

Es geht vielmehr darum zu verhindern, dass alle Mitarbeiter Zugriff auf sensible Daten des kaufmännischen Bereichs haben. Es wird sich keiner damit befassen die MAC-Adresse zu ändern um an die Daten zu kommen.

Nur, eine IP-Adresse wird schnell mal geändert zumal die freigegebene Adresse dann ja auch in dem Bereich der anderen Addressen des "äusseren" Netzes wäre und so kann es auch eher zufällig eine ungewollte Zugriffsmöglichkeit geben...

Mit Freigabe nur einer bestimmten MAC-Adresse wäre diese Schwachstelle ausgeschlossen.

Aber wenn es diese Möglichkeit nicht gibt, muss ich mir wohl etwas anderes einfallenb lassen... Oder hat eioner noch ne Idee, wie man sowas regeln könnte!?

Auf jeden Fall schonmal Danke für eure Mühe.

Link zu diesem Kommentar

Hmm,

vielleicht habe ich die Problemumgebung auch nicht wirklich gut beschrieben....

"äusseres" Netz heisst hier ein auch schon geschütztes Firmennetz.

"inneres" Netz ist ein anderes Subnetz, welches von dem Firmennetz noch einmal durch eine Firewall getrennt ist.

Die Benutzer des inneresn Netzes sollen auf das äussere Netz unbegrenzt zugreifen dürfen, nur eben nicht andersherum.

Von dem "äusseren" Netz sollen nur einige (zunächst nur einer) Rechner Zugriff auf das "innere" Netz haben.

Link zu diesem Kommentar

Hi,

 

Lock und Key (Dynamic Access Lists) ist auch kein schlechtes Feature. Ich weiss

allerdings nicht ob das deine Pix, oder auf welchem Geraet du das konfigurieren moechtest, unterstuezt. Da wir eine Access Liste nur nach vorheriger Authentifizierung freigeschaltet. Es ist dann auch moeglich einen Timeout fuer die gesamte Dauer oder als idle timeout.

 

Facto kannst du so ueber einen Useraccount und ein Passwort eine Accessliste freigeben. Wenn sich der User auf dem Router anmeldet wird die entsprechende Accessliste freigeschaltet. Du kannst also z.B. etwas grunsaetzlich verbieten, aber einem Benutzer ein Passwort ausgeben und den selber darueber seinen Zugang freischalten lassen.

 

Configuring Lock-and-Key Security (Dynamic Access Lists)

 

 

Fu

Link zu diesem Kommentar

Hi,

Danke erstmal für eure reichhaltigen Vorschläge. Echt toll, wie gut das läuft. Weiter so.

Aber leider war da glaub ich für mich nicht das passende dabei. Ich schätze, das was ich suche, gibt's so nicht ;-)

HTTP Authentication kenn ich so nicht. Ist das mit der PIX 501 konfigurierbar? Wie funktioniert die Anmeldung?

VPN ist zwar ne Möglichkeit, die ich auch schon ins Auge gefasst habe aber ist mir eine für diesen Fall zu umständliche Sache (Anmeldung/Performancefrage).

Lock and Key ist auch zu umständlich. Wenn ich das richtig gelsen habe, muss der User sich erst via telnet mit der Firewall verbinden usw....

Link zu diesem Kommentar

Lock and Key ist auch zu umständlich. Wenn ich das richtig gelsen habe, muss der User sich erst via telnet mit der Firewall verbinden usw....

 

 

Der User bekommt ein Kenntwort und eine telnet addresse. Damit macht er einen Telnet auf die Adresse und meldet sich einmal an mit Benutzernamen und Kennwort. Danach hat er seinen Zugriff selber freigeschaltet.

 

Fu

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...