Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 4 subscribers
  • Views 4189 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Wie kann ich verhindern, dass User im internen Netz einen Access Point verwenden?

Frank Matter

Hallo,

 

wir haben hier ein kleines Netzwerk, welches durch eine Sophos UTM 9.409-9 geschützt wird. Intern gibt es nur LAN-Kabel. Alle Nutzer sollen NUR das Ethernet-Kabel nutzen.

 

Jetzt gibt es aber Leute, die einen Access Point (Transform your existing wired network to a wireless network) an die Steckdose stecken, das Ethernet-Kabel in diesen Access Point stecken und dadurch ein Funk-LAN erzeugen, um sich so ins Netzwerk einzuloggen.

Da wir intern gar kein Funk-LAN haben wollen - meist sind diese Access Points nämlich schlecht oder gar mit Standard-Fabrik-Werten konfiguriert und somit sehr leicht von ausserhalb kompromittierbar - habe ich versucht, diesen Access Point über die MAC (ist ja eindeutig) zu sperren.

Leider kann ich dort nur den Traffic sperren, der unmittelbar von dem Access Point erzeugt wird. Ein Laptop, welches sich über den Access Point einloggt, kann nach belieben weiterhin auf das interne Netzwerk zugreifen. Wie bekomme ich jeglichen Datenverkehr über solche - letztlich nicht autorisierte - Access Points unterbunden?

Grüße

Frank



This thread was automatically locked due to age.
  • 0

    Hallo Frank,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    First, welcome to the UTM Community!

    The real answer to this is a clearly-stated policy from the Geschäftsführer that includes the punishment for any transgressions.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • 0 in reply to BAlfson

    Bob hat natürlich Recht, prinzipiell sollte sowas die Geschäftsführung unterbinden durch entsprechende Ansagen mit den entsprechenden Sanktionen. Das ist leider der Haken an der gern gelebten BYOS (bring your own shit) Mentalität, die heute bei vielen Arbeitnehmern vorherrscht... über eventuelle Risiken machen sich die Herrschaften leider nicht all zu viele Gedanken.


    Sonst hat Du eigentlich nur mit einem guten Managed Switch die Möglichkeit, die angeschlossenen Geräte MAC-seitig zu begrenzen und nur solche Ports mit wechselnden Geräten offen zu lassen.

  • 0

    Hallo Frank,

    das müßte doch mit der MAC-Adressfilterung funktionieren, dass nur die LAN-Schnittstelle der Geräte erlaubt ist.

    Dann ist aber vielleicht doch noch darüber nachzudenken, warum die User unbedingt per WLAN verbinden wollen. Wenn das praktischer ist, solltest du evtl. dann wenigstens die Sophos APs einsetzen. Somit wird dann keiner mehr sein eigenen AP mitbringen.

     

    MfG

    Rene

  • 0 in reply to Rene H

    Hallo Frank,

    leider scheint es auch mir eher ein Thema für die leitende Person, dass da einfach eine Ansage gemacht wird.

    Ich vermute mal, dass die Leute das WLAN nutzen um ihre Handys zu connecten?!

    Was mir ansonsten nun spontan in den Kopf käme wäre die Einrichtung eines Standardproxy in der UTM mit HTTPS Scan, entsprechenden Zertifikaten und AD Abfragen. Das dürfte dann vielleicht zumindest die Leute vom Surfen mit dem WLAN abhalten.

    Ist jetzt aber auch nur sonen Hirngespinst von mir. xD

     

    Liebe Grüße,

    Flo