Vitel 10 Geschrieben 6. Februar 2013 Melden Teilen Geschrieben 6. Februar 2013 Hallo zusammen, wir haben auf unserer Firewall einige Regeln, welche alles außer http/s und einige Webseiten sperrt. Nun gibt es leider einige User, welche einen Notebook mit UMTS haben oder Ihr Handy per Tethering anbinden um parallel eine Ungeschützte Verbindung ins WAN aufzubauen und diese sperren zu umgehen. Aus Sicherheitssicht ist das fatal, da diese User unser Netz öffnen. Es wurde zwar alles verboten, aber wir merken es meist nur zufällig, wenn dies einer tut. Gibt es eine Möglichkeit dies zu unterbinden, damit wenn die User im LAN sind keine weiteren Verbindungen aufgebaut werden können? Ebenso sind viele gleichzeitig im LAN und im WLAN, da viele Vergessen wenn sie aus Meetings kommen ihr WLAN abzuschalten und somit in beiden Netzen sind und es somit Probleme mit anderer Software gibt, dieses Problem könnten wir damit auch erschlagen. Wäre euch für Tipps dankbar. Gruß Vitel Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 6. Februar 2013 Melden Teilen Geschrieben 6. Februar 2013 Ich meine, dass Symantec endpoint Security sowas kann. Bin mir aber nicht sicher. Zitieren Link zu diesem Kommentar
Vitel 10 Geschrieben 6. Februar 2013 Autor Melden Teilen Geschrieben 6. Februar 2013 Habe auf Gruppenrichtlinien gehofft. Wie wird sowas sonst gelöst? Oder sehe ich Probleme wo keine sind? Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 6. Februar 2013 Melden Teilen Geschrieben 6. Februar 2013 Mit gpo geht das nicht. Aber zumindest hab ich mich korrekt erinnert. ;) http://www.symantec.com/connect/forums/symantec-endpoint-protection-how-can-i-disable-those-wifi-tethering-usb-device Zitieren Link zu diesem Kommentar
testperson 1.534 Geschrieben 6. Februar 2013 Melden Teilen Geschrieben 6. Februar 2013 Hi, wenn User sowohl im WLAN und auch im LAN verbunden sind, wählt Windows die Verbindung mit der höheren Priorität. Das sollte normal keine Probleme machen. Wie wäre die Alternative, das ganze vom Chef absegnen zu lassen, dass es verboten ist im LAN via UMTS, Tethering Verbindungen ins WAN aufzubauen. Allerdings nur http/s Traffic in der Firewall zu gestatten reicht ja generell auch schon mal um ein SSL-VPN zu starten oder sonstige Dinge durch https zu tunneln. Gruß Jan Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 7. Februar 2013 Melden Teilen Geschrieben 7. Februar 2013 In die Runde geworfen: NAP mit Radius am Switch. So kann man mit den Richtlinien festlegen, welche Geräte ins echte Netz kommen. Die übrigens Geräte landen max. in einem Netz für Gäste oder unsichere PC's. Andere Variante: Arbeitsanweisung erstellen, Notebooks selber administrieren, usw. Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 7. Februar 2013 Melden Teilen Geschrieben 7. Februar 2013 NAP mit Radius müßte dann aber abfragen, ob eine zweite Netzwerkverbindung besteht. Und das dürfte schwer werden. Hi, wenn User sowohl im WLAN und auch im LAN verbunden sind, wählt Windows die Verbindung mit der höheren Priorität. Das sollte normal keine Probleme machen. Das macht immer dann Probleme, wenn du über die zweite Verbindung im INternet steckst. Denn das funktioniert dann trotzdem, obwohl du über die erste Verbindung keinen Zugang zu unsicheren Netzwerken besitzt. Wie wäre die Alternative, das ganze vom Chef absegnen zu lassen, dass es verboten ist im LAN via UMTS, Tethering Verbindungen ins WAN aufzubauen. Dazu müßtest du aber auch merken, wenn es passiert. Allerdings nur http/s Traffic in der Firewall zu gestatten reicht ja generell auch schon mal um ein SSL-VPN zu starten oder sonstige Dinge durch https zu tunneln. Ja, aber da hat man dann immer noch Steuerungsmöglichkeiten an der Firewall. Bye Norbert Zitieren Link zu diesem Kommentar
testperson 1.534 Geschrieben 7. Februar 2013 Melden Teilen Geschrieben 7. Februar 2013 Hi, Das macht immer dann Probleme, wenn du über die zweite Verbindung im INternet steckst. Denn das funktioniert dann trotzdem, obwohl du über die erste Verbindung keinen Zugang zu unsicheren Netzwerken besitzt. in dem Fall gehe/ging ich davon aus, dass die User mit dem selbem Netzwerk verbunden. Nur eben einmal per LAN einmal per WLAN. Dazu müßtest du aber auch merken, wenn es passiert. Wenn der Mitarbeiter das Risiko eingeht nach einer Anweisung sich dieser zu widersetzen, ist das ein anderes Theme und der Mitarbeiter muss halt im Fall mit den Konsequenzen leben. Ja, aber da hat man dann immer noch Steuerungsmöglichkeiten an der Firewall. Das ist klar, auf diese Möglichkeiten wollte ich quasi hinweisen ;) Gruß Jan Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 7. Februar 2013 Melden Teilen Geschrieben 7. Februar 2013 (bearbeitet) Hallo Ich musste mal solch ein Problem auf die Schnelle lösen: Eine wandernde Kollegin mit einem Notebook, LAN und WLAN an, sie hatte Probleme. Ich baute eine Batch zum Toggle mit netsh, sie wurde beim Start des Rechners ausgführt, die LAN-Verbindung aktiviert, die WLAN-Verbindung deaktiviert. Falls die Lady dann eine Verbindung über WLAN wollte, dann klickte sie den Link zur Batch auf dem Desktop, die deaktivierte die LAN-, aktivierte die WLAN-Verbindung. Es zwar möglich, den Usern einen Rat oder eine Anweisung zu erteilen, ob das aber sinnvoll, das erscheint zumindest mir als eine leicht zu beantwortende Frage. Und der CEO will vom Admin eine praktikable Lösung. bearbeitet 7. Februar 2013 von lefg Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 7. Februar 2013 Melden Teilen Geschrieben 7. Februar 2013 Wenn der Mitarbeiter das Risiko eingeht nach einer Anweisung sich dieser zu widersetzen, ist das ein anderes Theme und der Mitarbeiter muss halt im Fall mit den Konsequenzen leben. Es ist aber kein Risiko, wenn du es nicht bemerkst. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Vitel 10 Geschrieben 8. Februar 2013 Autor Melden Teilen Geschrieben 8. Februar 2013 Erstmal danke euch für die zahlreichen Antworten, leider war ich krankheitsbedingt ans Bett gefesselt und kann erst jetzt Antworten. Das mit dem verbieten durch die Geschäftsleitung ist natürlich eine Möglichkeit, das Problem ist aber, das wir es gar nicht mitbekommen wenn das ein User macht. Das es gemacht wird, haben wir auch nur durch Zufall herausbekommen. Das LAN/WLAN-Problem mit der Metrik werde ich prüfen warum es trotzdem zu Problemen kommt. Für mich war erstmal wichtig ob es mit Windowsmitteln funktioniert, was wohl nicht der Fall ist. Werde nun an unseren Geschäftsführer gehen und ihm die Sache schildern. Welche Lösung genommen wird muss er entscheiden ob es genügt dies zu verbieten und darauf zu hoffen alle halten sich daran oder aber Geld zu investieren in eine Lösung welche dafür sorgt das die Richtlinien auch tatsächlich eingehalten werden. Vielen Dank an euch! Ich baute eine Batch zum Toggle mit netsh, sie wurde beim Start des Rechners ausgführt, die LAN-Verbindung aktiviert, die WLAN-Verbindung deaktiviert. Falls die Lady dann eine Verbindung über WLAN wollte, dann klickte sie den Link zur Batch auf dem Desktop, die deaktivierte die LAN-, aktivierte die WLAN-Verbindung. Das hört sich interessant an, aber für das Script bräuchte der User Adminrechte, was ich ungern geben möchte - oder täusche ich mich? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 9. Februar 2013 Melden Teilen Geschrieben 9. Februar 2013 (bearbeitet) Das hört sich interessant an, aber für das Script bräuchte der User Adminrechte, was ich ungern geben möchte - oder täusche ich mich? Gegebenfalls nimmt man den User oder die Gruppe auf in die der (lokalen) Netzwerkkonfigurations-Operatoren. bearbeitet 9. Februar 2013 von lefg Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 9. Februar 2013 Melden Teilen Geschrieben 9. Februar 2013 Und hofft darauf, dass der- diejenige niemanden kennt, der so einen Batch ausnutzen kann? ;) Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 9. Februar 2013 Melden Teilen Geschrieben 9. Februar 2013 (bearbeitet) Nun, falls jemanden das als ein Risiko, ungeeignet erscheint, dann muss er sich etwas anderes einfallen lassen, einen andere Lösung suchen, eventuell Geld dafür in die Hand nehmen. bearbeitet 9. Februar 2013 von lefg Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 9. Februar 2013 Melden Teilen Geschrieben 9. Februar 2013 Ja, aber das hatten wir auch schon weiter oben erkannt. ;) Schönes we Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.