802.1x am Router Firewall Port
Hallo,
Für eine Szenario Außenstandort wäre das Setup ja klassisch "Firewall/Router -> Kabel -> Switch". Am Switch ist 802.1x Aktiviert Ports werden nur nach entsprechender Autorisierung freigegeben.
Nichts besonderes ein kleines Subnetz und so 2-15 Clients, keine Server Dienste etc. diese kommen per VPN.
Was ist jetzt aber wenn ein böser Jemand auf die Idee kommt, die Verbindung zwischen Switch und Firewall zu trennen? Und zB dort ein Notebook oder unmanaged Switch ansteckt. Dann hat diese Person ja bereits zugriff auf einen Großteil des Netzwerkes. Oder sehe Ich da was Falsch?
Und viel wichtiger wie schütze ich mein Netzwerk gegen solch plumpe "Attacken" bzw. Fehlbedienungen? Klar ich kann das in einen kleinen Schrank einbauen aber einen gezielten Angreifer hält das ja nicht gerade lange auf.
Und die eigentliche Frage gibt es eine Option am Router oder Firewalls um z.B. 802.1x oder ein anders Protokoll zu aktivieren um diesen Port nur noch mit diesem einen Switch oder Client reden zu lassen.
Vorzugweise an einem Lancom Router bzw. PFSense Firewall.
Für eine Szenario Außenstandort wäre das Setup ja klassisch "Firewall/Router -> Kabel -> Switch". Am Switch ist 802.1x Aktiviert Ports werden nur nach entsprechender Autorisierung freigegeben.
Nichts besonderes ein kleines Subnetz und so 2-15 Clients, keine Server Dienste etc. diese kommen per VPN.
Was ist jetzt aber wenn ein böser Jemand auf die Idee kommt, die Verbindung zwischen Switch und Firewall zu trennen? Und zB dort ein Notebook oder unmanaged Switch ansteckt. Dann hat diese Person ja bereits zugriff auf einen Großteil des Netzwerkes. Oder sehe Ich da was Falsch?
Und viel wichtiger wie schütze ich mein Netzwerk gegen solch plumpe "Attacken" bzw. Fehlbedienungen? Klar ich kann das in einen kleinen Schrank einbauen aber einen gezielten Angreifer hält das ja nicht gerade lange auf.
Und die eigentliche Frage gibt es eine Option am Router oder Firewalls um z.B. 802.1x oder ein anders Protokoll zu aktivieren um diesen Port nur noch mit diesem einen Switch oder Client reden zu lassen.
Vorzugweise an einem Lancom Router bzw. PFSense Firewall.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 458505
Url: https://administrator.de/forum/802-1x-am-router-firewall-port-458505.html
Ausgedruckt am: 22.12.2024 um 09:12 Uhr
2 Kommentare
Neuester Kommentar
Oder sehe Ich da was Falsch?
Kommt drauf an....Am FW Port kommt man dann ungeschützt rann wenn der Eindringling sich dort einklinkt. Niemals aber am Switchport, denn der verharrt ja im Blocking Modus. Auch wenn er den Radius Server nicht mehr "sieht". Dort wäre ein Eindringling also chancenlos.
wie schütze ich mein Netzwerk gegen solch plumpe "Attacken" bzw. Fehlbedienungen?
Auch hier unklar was du meinst Fehlbedienung wie ?? Indem man den Switch mit 802.1x falsch konfiguriert ??
Leider unverständlich der Punkt was du konkret damit meinst...
Die pfSense Firewall hat solche Sicherungs Mechanismen. Sie kann sogar selber als Radius Server agieren so das man immer einen Backup Radius Server hat z.B. in remoten Standorten. 802.1x Switches haben immer die Option von multiplen Radius. Oder man definiert den Radius als Proxy. Dort sind viele alternative Designs denkbar. Letztlich aber immer abhängig davon was genau du erreichen willst und da bist du leider hier etwas oberflächlich.
Wenn du deine PIN mit Filzer auf deine Kreditkarte schreibst ist die gesamte Sicherheit dazu natürlich auch Makulatur.
Gegen den Faktor "Mensch" hilft das eher wenig.