Das was hier nach dem Titel ein EDV-Märchen vermuten lässt ist ein kleines, aber feines Werkzeug um sein Netzwerk zu schützen: Das Captive Portal

Wovon reden ich hier eigentlich? Captive Portals sind Funktionen einer Firewall um sich nochmal am Netzwerk zu authentifizieren, bevor der Weg freigegeben wird. Ihre Anwendung ist meist bei WLAN Hotspots, wo auch gleich eine Abrechnung mitläuft.

Ich verwende hier die OpenSource Firewall pfSense um ein Schulungsnetzwerk vom Produktivsystem teilweise abzuschotten. Ich gehe davon aus, dass der Trainer die Schulungsunterlagen von den Produktivservern herunterladen muss.

Der erste Aufbau ist einmal die pfSense mit den Berechtigungen für den Trainer. Um nicht zu grosse Sicherheitslücken aufzubauen bin ich bei den Berechtigungen schon sehr restriktiv. Dann geht es relativ simpel. Man aktiviert die Captive Portal Funktion der Firewall und legt Benutzer darauf an bzw verbindet zu einem Radius-Server, welcher z.B. auf einem Windows-Server laufen kann um so mit dem Active Directory zusammenzuarbeiten. Die pfSense muss somit nur den Radius-Server kennen und es kann losgehen:

Wenn ich nun auf das Firmennetzwerk zugreifen will (z.B. Intranet), welches durch unsere Firewall vor uns geschützt wird, muss man zuerst einen Browser öffnen und versuchen, auf das Netzwerk zuzugreifen. Dieser Zugriff endet – sofern alles klappt – auf einer Seite, welche uns nach Benutzernamen und Passwort fragt, dem Captive Portal.

Erst wenn ich mich dort authentifiziert habe, wird der Weg freigegeben und die Firewall erlaubt Traffic von meiner IP bzw MAC. Andere Arbeitsstationen in diesem Netzwerk müssen draussen bleiben.