Hallo Leute,

ich habe eine Anfrage eines Kunden und grübel gerade darüber.

Seine 10 Macbooks sollen sich nur im Hausnetz (Firmenetz) anmeldne können. An anderen Netzen sollen Sie einfach nicht funktonieren. Stichwort (Ethernet deaktivieren, sonstige Ideen)

hättet ihr eine Idee ?

danke

Sollen die MBs per WLAN oder LAN ins Firmennetz?

Einzelne Bereiche in den Systemsteuerungen lassen sich doch mit nem Admin-Kennwort sichern. Damit sollte sich doch auch das Verbinden mit neuen, unbekannten Netzen, Verhindern lassen, oder?

Diese Seite sollte dir bei dem Problem helfen können.

So wie Du das Problem hier schilderst, wäre die einzige Möglichkeit, die EFI-Firmware der MacBooks zu re-engineeren, um dort ein zusätzliches Authentifizierungssystem einzubauen, das den Start eines Betriebssystems verhindert, wenn sich ein an irgendeine Schnittstelle angeschlossenes Netz nicht durch wechselseitige, kryptographiegesicherte Kommunikation identifiziert hat. Im Netz muss ein entsprechender Authentifizierungs-Server aufgebaut weden, die Firmware muss gegen Löschen hardwaremäßig gesichert werden.

Ich glaube "nicht funktionieren" ist zu weit gefasst, sondern wenn die MacBooks on Tour sind, sollen sie wahrscheinlich nur Standalone funktionieren.

Es gibt VPN-Produkte (wie NCP), die sowas machen.
Wenn das Gerät im Firmennetz ist, dann sind die Netzwerkschnittstellen offen, wenn das Gerät draussen ist, dann ist alles dicht, außer man will nen VPN-Tunnel aufbauen, dann können Schnittstellen für den VPN-Aufbau (und nichts anderes) wieder freigeschaltet werden. Ist also sowas wie eine Firewall-Lösung. Das interne Netz wird durch Serverdienste im eigenen Netz bekannt gemacht. Sprich, ist so ein bekannter Dienst erreichbar (Friendly Net Detection Server), dann öffne LAN.

Ich denke so eine Lösung ohne VPN wird für die MacBooks gesucht.

Ohne es genauer durchleuchtet zu haben, eventl. kann die Software "DoorStop X Security Suite 2.0" sowas ja, "Loaction feature" klingt verdächtig danach.

http://www.macworld.com/article/56784/2007/03/doorstop2.html

"The program’s new Location feature makes it much easier for you to change configurations when you take your laptop from your office, to the coffee shop, to your home—all locations that beg for different levels of firewall protection. Previous versions of the program required that you manually adjust your settings every time you needed to change your firewall configuration."

netzwerkbenutzer sollten sich sowieso nur im netzwerk anmelden bzw. gegen den OD-Server authentifizieren können.

darüberhinaus kannst du eigentlich nur einen weiteren lokalen Benutzer anlegen,der keine Administrationsrechte hat und keine Netzwerkschnittstellen benutzen darf (Kindersicherung?)

In einer Firma mit mehreren Netzwerken ist VLAN und/oder Firewall das gesuchte Thema.

oder du machst es ganz einfach so wie marcel vorgeschlagen hat

my 2c
der Fish

So wie der Fish meint gibt es noch ne simplere Lösung: Das "Hausnetz" lässt nur einen bestimmte und selten verwendeten Block an IP-Adressen (über WLAN etc.) zu: z.B. 221.122.121.21 bis 30 und die Books bekommen fixe IP-Adressen in diesem Bereich. Wenn nur ein Admin und kein Benutzer Netzwerkeinstellungen ändern darf, dann ist das quasi eine gute Blockade anderer Netzwerke.

Wenn am Macbook nur der Administrator angelegt ist, dass Passwort dem Nutzer nicht bekannt und in der Firma nur Netzwerkanmeldung geht, "funktionieren" sie außerhalb des Netzes nicht, denn man kann sich nicht anmelden. Weiteren Schritte sind doch gar nicht nötig.

Kaum. Im Prinzip braucht man nur einen NAT-Router für 20,- EUR an das MacBook zu stecken und kommt damit wieder in jedes Netz. Natürlich kann man auch einfach ein zweites System booten und somit die gesamte Rechtevergabe umgehen. Auch das könnte man nur mit Hardware-Eingriffen verhindern.

So ungenau wie macbertin das Problem beschrieben hat, sind die Vorschläge aber müßig. Wenn das "Nichtfunktionieren" tatsächlich so gemeint ist, wie er schreibt, gibt es wirklich nur die Lösung, die Firmware umzubauen.

Gebe Marcel recht, ohne genau zu wissen, was macbertin will, bringt das alles irgendwie nicht viel! Abgesehen davon ist mir irgendwie nicht klar, was genau damit bezweckt werden soll? Geht es einfach darum die Mitarbeiter einzuschränken oder hat das einen sinnvollen Grund?

hallo alle,

Ja es soll nur im Office funktonieren, nicht außerhalb. Sprich die Macbooks sollen in der Firma ins Netz können. Verlassen Sie das Gebäude sollen Sie kein Internet mehr haben.


@ atomboy
Guter Ansatz aber die Software machtj a nur VPN so wie ich das sehe ?

Das App bei Macworld scheinbt ja nur eine Eingrenzung des Sicherheitslevels zu bewirken ?!

@ all
Wie verändert man die Firmware ? Halte ich jetzt aber für einen harten weg

Nur im Office funktionieren und außerhalb des Office kein Internet mehr haben (aber trotzdem noch funktionieren) sind aber unterschiedliche Anforderungen ...

osx server und netboot mit clients.

wird der einfachste und billigste weg sein, imho.

Sie sollen ja aber auswärts nutzbar sein ! Bloss halt ohne Internet

dann fest ein proxy über das heimische netz eintragen, das eben von aussen nicht genutzt werden kann/connection refused.

dauerhaft geht sowas überhaupt nicht, allenfalls so stabil wie jede kindersicherung/sicherung…

Als Admin fixe IP/Netzwerkeinstellung vergeben, die sich ausserhalb nicht nutzen lässt, Benutzer nur als Standard User die keine Systemeinstellungen vornehmen dürfen

Wie "gut" das hilft hat Marcel Bresink gestern 14:00 Uhr schon mal erklärt. Aber eine "Quick & Dirty - Lösung" wäre es.

die Firmware zurücksetzen/mit einem update flashen würde auch den weg des Marcel Bresink erst mal stoppen.

und so unbekannt sind die wege der firmware zurücksetzen auch nicht.

da müsste man schon richtig heftig ran, das wird der kunde mit sicherheit nicht zahlen wollen

Wer sagt denn, dass die Mitarbeiter alle IT-Spezialisten sind?
Geht es um Diebstahl oder was? Ich versteh irgendwie den Sinn dahinter nicht.

Wenn sie sich sowieso nicht anmelden können, kann man sie ja auch gleich da lassen und die 2-3 kg Transportgewicht einsparen.

ach, wird um verkäufer gehen und die hochsensiblen/teuren daten und laptops.

hmm fixe IP und admin rechte hört sich ja ... naja noch am simpelsten an.

Nein, denn ich schrieb "die Firmware muss gegen Löschen hardwaremäßig gesichert werden.".

Wie gesagt funktioniert das nicht. Mithilfe einer System-DVD (oder USB-Stick), bzw. Einsatz eines passend eingestellten Routers wird dieser "Schutz" völlig wirkungslos.

Die feste IP lässt sich ohne Eingriff in das Macbook / System umgehen. Ein Proxy mit Passwort nicht. Bei einem Eingriff ins System, wie hier auch schon mehrfach beschrieben, liegt aber schon ein grober Verstoß vor, wenn man Bedingungen zur Überlassung des Firmenlaptops herausgibt. Das riskiert keiner.

Möglich wäre auch, IPFW so einzustellen, dass die Firewall nur das Firmennetz zulässt. Firewall und IP setzen, kann aber in einem ähnlichen Netzwerk trotzdem keine Blockade sein. Aber auf jeden Fall ein Firmware-Passwort setzen. Dann bleiben theoretisch nur noch die Möglichkeiten mit Adminrechte oder Ausbau der Platte dies zu umgehen.

Vielleicht wäre es aber einfacher den Mitarbeitern das MB am Abend zu entziehen

@macbertin:
Was genau wollt ihr den nun damit verhindern??? Was soll der ganze Aufwand bringen???

richtig und woher und wie soll er ein rom "verlöten" ?

bereits apple schrieb und die werden es ja wohl wissen, firmware schutz ist ohne beaufsichtigung/weitere sicherung nicht anzuraten.

tatsächlich wäre es ganz gut zu wissen wer und wofür um das "richtige" zu nutzen, imho.