Inhaltsverzeichnis
Rechnerauthentifizierung
Mit iptables kann man MAC-Adressen filtern. Damit kann man sicherstellen, dass IP<->MAC-Adresse immer (ein)eindeutig ist.
Anmerkung: Man kann sowohl IPs, als auch MAC-Adressen fälschen, also ist das kein wirklicher Sicherheitsgewinn.
- Stimmt, aber fälschen (oder kopieren) kann man so ziemlich alles.
WLAN
Man kann einen Zugriff z.B. über PPTP steuern. Vorteil: Auch Windows-Clients haben das eingebaut. Mit einigen Erweiterrungen kann man so auch die Verbindungen verschlüsseln.
Applikationsebene
Samba als PDC, jeder Client-Rechner hat dann einen Domänenaccount, der mit einem Key gesichert ist
IP-basiert, z.B. Squid
Fragen + Antworten
Frage: Wir möchten dafür sorgen, das nur Nutzer unseres Netzes wegen anfallender Kosten bzw. bei uns wegen der Bandbreite über diesen Squid nur von Rechnern unseres Netzes gesurft werden kann. Eine Anmeldung an Squid ist klar, aber es sollten auch die Rechner identifiziert werden. Am geeignetsten erscheint die Überprüfung der Rechner mittels Zertifikaten. Existieren dafür schon Lösungen (oder Alternativen)? -- HansDietrichKirmse
Man kann die Nutzung auf bestimmte IPs beschränken. Die Absicherung eines WLAN sollte aber nicht auf Applikationsebene erfolgen. -- RonnyBuchmann 2003-09-13 18:40:27
- die Beschränkung auf bestimmte IPs löst unser Problem nicht. Erstens werden verschiedene Räume durch verschiedene (Co-)Admins betreut, und deshalb müssen gewisse Pools an IP-Adressen vergeben werden. Zweitens werden alle anderen IPs schon gesperrt (wobei diese Pools nicht sehr reichlich bemessen wurden).
- Problem: fremde Rechner (z.B. Laptops) können sich IPs(+MAC-Adressen) von unseren Rechner "ausleihen".
- Lösung: jeder Raum ein Subnetz (physikalisch oder VLAN), dann kann man IPs nicht mehr zwischen den Räumen "verschleppen".
- Ansonsten stellt das Ausleihen ja kein Problem dar.
- VLAN hat denn Vorteil, dass eine Netzwerkkarte im Server reicht (wenn man den Switch so konfgurieren kann, dass an einem Port alle VLANs aktiv sind)
- Lösung: jeder Raum ein Subnetz (physikalisch oder VLAN), dann kann man IPs nicht mehr zwischen den Räumen "verschleppen".
Squid bietet die Möglichkeit das Benutzer sich mittels Name/Password authentifizieren. Das scheint mir hier geeigneter (vgl. auch smb_auth).