Jump to content
Sign in to follow this  
maho

Sicherheit in Schulungsräumen (Switchports)

Recommended Posts

Hallo,

 

mich würde interessieren, was für Lösungen es gibt bzw. wie das andere handhaben.

 

Wir haben in einige Räumlichkeiten, wo Schulungen und Meetings statt finden. Es sollen sowohl eingeschränkte Netzwerkports vorhanden sein, als auch "SE-Ports", also das netz, das alles darf :-). D.h., ich habe in der Bodendose Ports für das SE-LAN und für eingeschränkte Netze.

Den DHCP-Server haben wir schon so eingestellt, dass unbekannte MAC-Adressen keine IP-Adresse zugewiesen bekommen. Das verhindert allerdings nicht, dass man sich manuell eine IP-Adresse vergibt und sich dann trotzdem im SE-Netz befindet :-(

 

Leider können unsere Switches kein VPMS. Das wäre sonst eine tolle Sache.

 

Ansonsten überlege ich, intern einen VPN-Concentrator einzusetzen und das Feature WEBVPN mit Cisco SSL VPN Client. Hier kann ich Gruppen mit IP-Pools definieren in Verbindung mit Authentifizierung. So muss sich in diesen Räumlichkeiten JEDER zunächst authentifizieren und ich kann sauber und einfach auf dem Concentrator bzw. Radius-Server die Gruppen und User verwalten.

 

Bin schon auf Eure Ideen gespannt...

 

Viele Grüße, Maho

Share this post


Link to post
Share on other sites

Ich würde es wie in Deinem anderen Bespiel lösen. Ein Schulungsvlan erstellen und entsprechend mit Access Listen beschränken. Der "Lehrer" erhält ein anderes unbeschränktes VLAN.

Share this post


Link to post
Share on other sites

Das Problem ist, dass die Ports ja nebeneinander in der Bodendose sind. Da braucht der Schüler nur das andere Port zu nehmen sich fest eine IP-Adresse aus dem "Lehrer-VLAN" zu vergeben und schon ist online.

Share this post


Link to post
Share on other sites
mich würde interessieren, was für Lösungen es gibt bzw. wie das andere handhaben.
Ich betreibe für das Seminarnetz eine normale Domäne 2k3. Zugang zur Dom erhält nur ein Benutzer mit Konto. Falls jemand einen Laptop anschliesst, na und?

 

Ich treibe keinen hohen Aufwand, sowas zu verhindern. Extra teure konfigurierbare Switches anschaffen? Deren Ports dann auch noch konfigurieren auf die MAC-Adressen? Bei Rechnertausch umkonfigurieren, umstecken, wo soll das Geld für einen solchen Aufwand herkommen, im harten Bildungsgeschäft?

 

Falls also ein Student oder Dozent seinen Laptop anschliesst und unseren Internetzugang benutzt, na und? Auf den Rechnern der Domäne sind Firewalls und Virenscanner.

 

Es gibt bei uns im Seminarnetz keine Trennung zwischen Dozenten und Studenten, wozu? Die Dozenten unterrichten, dürfen kaum mehr als die Studierenden. Sie dürfen denen das Drucken erlauben und verbieten, das war es aber auch schon im Wesentlichen.

 

Die Sicherheit des Verwaltungsnetzes ist durch konsequente Trennung vom Seminarnetz gewährleistet. In Seminarräumen gibt es keine Anschlüsse für das Verwaltungsnetz und umgekehrt. Auch die Internetzugänge sind getrennt. Wünschen von Dozenten und auch Leitenden in dieser Hinsicht bin ich entgegengetreten, das wurde auch akzeptiert.

Share this post


Link to post
Share on other sites
Den DHCP-Server haben wir schon so eingestellt, dass unbekannte MAC-Adressen keine IP-Adresse zugewiesen bekommen. Das verhindert allerdings nicht, dass man sich manuell eine IP-Adresse vergibt und sich dann trotzdem im SE-Netz befindet :-(
So ist keine Sicherheit (wovor, vor wem?) erreichbar.

Share this post


Link to post
Share on other sites
Wir haben in einige Räumlichkeiten, wo Schulungen und Meetings statt finden. Es sollen sowohl eingeschränkte Netzwerkports vorhanden sein, als auch "SE-Ports", also das netz, das alles darf :-). D.h., ich habe in der Bodendose Ports für das SE-LAN und für eingeschränkte Netze.
Auch da gibt es keine Sicherheit.

Share this post


Link to post
Share on other sites

hello,

 

wir hatten das so gelöst:

 

alle ports im schulungslan bekommen eine dhcp-adresse, können aber ausschließlich nur ins internet raus und sonst nirgends hin. will man ins verwaltungslan (trainer, etc.), dann braucht man einen vpn-client am laptop + token von uns. mit dem baut man dann ein vpn auf (so als ob man eben von irgendwo aus dem i-net kommt). und selbst der zugriff innerhalb im vpn ist auf userebene stark eingeschränkt.

 

 

lg

 

martin

Share this post


Link to post
Share on other sites

Hola,

 

mit 802.1X wird den SE mitarbeitern dynamisch das SE VLAN zugewiesen. Alle anderen landen im Guest VLAN, dass z.B. via ACLs gesichert ist. Zusätlich kann man die Sache dann mit port-security absichern.

 

Ciao

Share this post


Link to post
Share on other sites

dot1X ist hier im Forum endlos diskutiert worden. Benutze also erst mal die Boardsuche.

Falls es dann Probleme gibt bitte melden!

 

Da melde ich mich mal und zwar wie funktioniert das richtig? Folgende Aufgabenstellung: User melden sich per Windows an und brauchen per DHCP eine IP.

 

Folgender Weg: User bootet seinen Rechner. Der Ethernetport ist derzeit ja noch in keinem VLAN. Die Windowsanmeldung kommt hoch und der User meldet sich an. (EAPoL ja?). Per z.B. Radius wird gecheckt, darf der User und wenn ja, welches VLAN? Meldung geht zurück und Port wird in das entsprechende VLAN gelegt und dem User wird eine IP zugewiesen. Schön und gut, aber jetzt ist ja Essig. Windows wird nicht nochmal nachfragen, d.h. der User ist nicht an der Domäne angemeldet?

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...