9
RADIUS Server für Switch Port Security?
Hallo,
folgende Frage:
Ist es möglich mit einem RADIUS Server eine Art Switch Port Security einzurichten??
Ich stell mir das ungefähr so vor:
Ein Benutzer schaltet seinen PC ein.
Der PC hängt an einem Switch.
Der Switch prüft auf dem RADIUS-Server ob dieser PC und/oder Benutzer die Berechtigung für das Netzwerk besitzt.
Falls ja, wird der Port auf dem Switch aktiviert.
Falls nein, bleibt der Port deaktivert.
Ist sowas möglich, oder liege ich total daneben.
Wenn ja, hat jemand sowas schon im Einsatz und mit welchem RADIUS-Server und welchen Switchen.
ICh habe schon gelesen, daß der Windows 2003 Server einen ISA-Server mitbringt, dieser kann aber nur 50 Clients.
Super wäre einen Einbindung in die bestehende Active Directory.
Danke im Voraus.
MfG,
Jens
folgende Frage:
Ist es möglich mit einem RADIUS Server eine Art Switch Port Security einzurichten??
Ich stell mir das ungefähr so vor:
Ein Benutzer schaltet seinen PC ein.
Der PC hängt an einem Switch.
Der Switch prüft auf dem RADIUS-Server ob dieser PC und/oder Benutzer die Berechtigung für das Netzwerk besitzt.
Falls ja, wird der Port auf dem Switch aktiviert.
Falls nein, bleibt der Port deaktivert.
Ist sowas möglich, oder liege ich total daneben.
Wenn ja, hat jemand sowas schon im Einsatz und mit welchem RADIUS-Server und welchen Switchen.
ICh habe schon gelesen, daß der Windows 2003 Server einen ISA-Server mitbringt, dieser kann aber nur 50 Clients.
Super wäre einen Einbindung in die bestehende Active Directory.
Danke im Voraus.
MfG,
Jens
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 29170
Url: https://administrator.de/contentid/29170
Printed on: April 16, 2024 at 07:04 o'clock
9 Comments
Latest comment
Das geht, mit 802.1X. Das ist eine der wohl besten Methoden sein Netz abzusichern.
Port-Security ist eigentlich eine Cisco Switch Funktion, um nur bestimmte MACs auf Switchports zuzulassen. Eher aufwendig in der Pflege.
Port-Security ist eigentlich eine Cisco Switch Funktion, um nur bestimmte MACs auf Switchports zuzulassen. Eher aufwendig in der Pflege.
Kleine Erweiterung zu dunos Kommentar:
XP und 2000 unterstützen 802.1x von Haus aus und es geht über den IAS auch auf Benutzerebene und übers AD.
Die Begrenzung der Clients ist von Windows Standard zur Enterprise Edition unterschiedlich. Ohne jetzt die Zahlen im Kopf zu haben. Als Client zählt in dem Fall aber der Switch und nicht die Rechner, die am Switch hängen, da der Switch den IAS abfragt.
XP und 2000 unterstützen 802.1x von Haus aus und es geht über den IAS auch auf Benutzerebene und übers AD.
Die Begrenzung der Clients ist von Windows Standard zur Enterprise Edition unterschiedlich. Ohne jetzt die Zahlen im Kopf zu haben. Als Client zählt in dem Fall aber der Switch und nicht die Rechner, die am Switch hängen, da der Switch den IAS abfragt.
Auf alle Fälle benötigst du einen Switch der 802.1X fähig ist.
Dann der Sicherheit wegen eine PKI.
Und dann EAP-TLS aus Autentifizieungsmehtode. Als Radiusserver kannste entwerder freeradius oder den von MS nehmen. Je nach dem, was dir mehr liegt.
Allerdings solltest du die Schattenseite auch kennen lernen.
Dachen wie TFT Boot oder RIS fallen denn flach. Denn der PXE Stack kennte kein 802.1x
Dann der Sicherheit wegen eine PKI.
Und dann EAP-TLS aus Autentifizieungsmehtode. Als Radiusserver kannste entwerder freeradius oder den von MS nehmen. Je nach dem, was dir mehr liegt.
Allerdings solltest du die Schattenseite auch kennen lernen.
Dachen wie TFT Boot oder RIS fallen denn flach. Denn der PXE Stack kennte kein 802.1x
Hallo,
Ja das was Du vorhast ist möglich. Das ganze nennt sich dann Policy enabled Networking (PEN) unter Verwendung von IEEE 802.1x. Als RADIUS Server kannst Du jeden beliebigen nehmen. Egal ob Steel Belted Funk oder den Windows eigenen RADIUS Server. Nur die Switche müssen dieses Feature unterstützen.
Die Funktion ist folgendermassen:
Der User identifiziert sich am Switchport entweder per MAC-Adresse, per IP, per Benutzername/Passwort oder mit dem Rechnernamen. Der Switch schickt die Daten zum RADIUS Server und der schaut nach den Rechten des Benutzers. Dem Benutzer ist im AD eine Rolle mit den entsprechenden Rechten zugewiesen. Der RADIUS schickt dann einen String an den Switch und der Switch schaltet den entsprechenden Port frei oder sperrt ihn, oder aber lässt nur ganz bestimmte Protokolle zu.
Die Rechte lassen sich wie bei einer Firewall auf Protokollebene runterbrechen. So kann man zum Beispiel der Gruppe Vertriebler das Protokoll Telnet und ping verbieten.
Es lassen sich für jede Funktion der Angestellten im Unternehmen Rollen definieren. Zum Beispiel bekommt ein Benutzer, der sich nicht autentisieren kann (ein Gast mit einem Notebook) die Rolle mit den niedrigsten Rechten (default role, z.B. nur HTTP) zugewiesen. Die User, die sich autentisieren können, bekommen höherwertige Rollen zugewiesen.
Ich habe soetwas mal mit Komponenten von Enterasys Networks implementiert. Als Radius Server haben wir den IAS unter Windows Server 2003 genutzt, als Switche Enterasys Komponenten und als Software zum Konfigurieren der Regeln und Services den Enterasys Policy Manager.
gruss
motivator77
Ja das was Du vorhast ist möglich. Das ganze nennt sich dann Policy enabled Networking (PEN) unter Verwendung von IEEE 802.1x. Als RADIUS Server kannst Du jeden beliebigen nehmen. Egal ob Steel Belted Funk oder den Windows eigenen RADIUS Server. Nur die Switche müssen dieses Feature unterstützen.
Die Funktion ist folgendermassen:
Der User identifiziert sich am Switchport entweder per MAC-Adresse, per IP, per Benutzername/Passwort oder mit dem Rechnernamen. Der Switch schickt die Daten zum RADIUS Server und der schaut nach den Rechten des Benutzers. Dem Benutzer ist im AD eine Rolle mit den entsprechenden Rechten zugewiesen. Der RADIUS schickt dann einen String an den Switch und der Switch schaltet den entsprechenden Port frei oder sperrt ihn, oder aber lässt nur ganz bestimmte Protokolle zu.
Die Rechte lassen sich wie bei einer Firewall auf Protokollebene runterbrechen. So kann man zum Beispiel der Gruppe Vertriebler das Protokoll Telnet und ping verbieten.
Es lassen sich für jede Funktion der Angestellten im Unternehmen Rollen definieren. Zum Beispiel bekommt ein Benutzer, der sich nicht autentisieren kann (ein Gast mit einem Notebook) die Rolle mit den niedrigsten Rechten (default role, z.B. nur HTTP) zugewiesen. Die User, die sich autentisieren können, bekommen höherwertige Rollen zugewiesen.
Ich habe soetwas mal mit Komponenten von Enterasys Networks implementiert. Als Radius Server haben wir den IAS unter Windows Server 2003 genutzt, als Switche Enterasys Komponenten und als Software zum Konfigurieren der Regeln und Services den Enterasys Policy Manager.
gruss
motivator77
Hallo an alle,
brauch ich für die RADIUS Autentifizierung zwingend eine PKI Public Key Infrastructure??
MfG,
Jens
brauch ich für die RADIUS Autentifizierung zwingend eine PKI Public Key Infrastructure??
MfG,
Jens
Wenn EAP-TLS genutzt werden soll, denn schon.
Wenn du es über PEAP machst nicht.
Für MD5 Hash auch nicht...
Aber ohne PKI bleibt auch die Sicherheit teilweise auf der Strecke.