Interneteinschränkung anhand MAC-Adresse der Clients

[Colisspo]

Moin,
folgendes Szenario habe ich vor mir: Serverumgebung mit 28 Clients, 8 davon im Büro, 20 im Lager. Die Serverumgebung ist ein HyperV auf nem 2012R2, der AD und Exchange sind separat als VMs installiert. Jedenfalls ist es so, das die Jungs im Lager relativ häufig im Internet surfen anstatt zu arbeiten - eine Art "Kindersicherung" muss her. Man könnte jetzt sagen "Droht doch mit einer Abmahnung o.ä. Konsequenzen!" Stimmt, aber leider ist von der GeFü eine entsprechende IT-seitige Umsetzung gewünsct. Es gibt lediglich 2,3 Websites auf die zugegriffen werden müssen, der Rest kann unzugänglich bleiben.
Ich habe das Ganze mit der FritzBox (7490) Kindersicherung + Whitelist versucht, die funktioniert jedoch nur mit IP-Adressen. Da die Rechner aus firmeninternen Gründen keine festen IPs haben dürfen/sollen, möchte ich lieber über die MAC-Adresse der Clients eine Beschränkung vornehmen, was laut dem Internet mit der Fritzbox aber nur mit WLAN funktioniert, nicht mit LAN-Geräten.

Jetzt meine Frage: Wie kann ich am einfachsten einen LAN-MAC-Adress-Filter aufziehen, der bis auf wenige Ausnahmen sämtliche Internetadressen sperrt? Gäbe es eine Möglichkeit über eine Gruppenrichtlinie?

 

[IBISXI]

Wie wärs mal mit einem anständigen Router?

Wenn du Hardware übrig hast könntest du auch PFsense verwenden.

 

[Reepo]

Am einfachsten, aber umständlich - Beschränkung über hosts Datei auf jedem Rechner.
Etwas eleganter - Proxy (eventuell kann das eure AV-Lösung auch schon, viele implementieren das)

 

[Mercator]

Wenn Du sicherstellen kannst, das die Clients im Lager nicht die Netzwerkeinstellungen verändern, böte sich ein Proxy-Server an. In Form des Janaproxy. Damit lässt sich ganz einfach eine Whitelist eintragen. zudem sind die Clients gegen viele Zugriffe von außen geschützt...
http://www.janaserver.de/start.php?lang=de

 

[snaxilian]

Squid: How to block by mac address

Da trägst du alle Systeme ein, die gefiltert werden sollen/müssen und konfigurierst das System entsprechend. Anschließend trägst du den Proxy auf den Clients ein. Soweit das Grundprinzip, jetzt die vielen ABERS:

- Deine Mitarbeiter werden schnell kreativ und deaktivieren den Proxy wenn sie die Berechtigungen dazu haben oder nutzen einen portable Browser ohne Proxy oder oder oder
- Ein Squid gehört auf einen Linux-Server. Habt ihr als IT-Abteilung das Know-How um so ein System nicht zur halbwegs richtig zu installieren sondern auch viel wichtiger: abzusichern, regelmäßig zu aktualisieren, Backups und Restore zu erstellen, Security Hardening, den Squid korrekt zu konfigurieren usw. usf
- Deine Chefs sind schön faul und versuchen organisatorische Maßnahmen mit Technik zu erschlagen damit Sie sich damit nicht beschäftigen müssen. Lass mich raten: Das Budget für die IT reicht gerade mal so um den Flickenteppich am Leben zu erhalten? ^^

 

[mkossmann]

Moin,
... Da die Rechner aus firmeninternen Gründen keine festen IPs haben dürfen/sollen ...

Wie ist diese Einschränkung genau zu verstehen ? Nur das die Clients die IP-Adresse per DHCP bekommen sollen und nicht lokal konfiguriert werden sollen ? Denn über die FB kannst du doch "quasistatische" IP-Adressen vergeben . D.h die FB teilt anhand der MAC-Adresse immer die gleiche IP zu. Und damit sollte auch die Filterung über die IP-Adresse funktionieren.

 

[Colisspo]

Danke für die vielen Antworten! Ich gehe die Vorschläge mal durch und probiere mich dran.

@mkossmann, ja genau. Soll nur über DHCP laufen.

 

[crashbandicot]

@mkossmann, ja genau. Soll nur über DHCP laufen.

Arbeite mit DHCP Reservierungen.