unbekannternr1
Goto Top

802.1x am Router Firewall Port

Hallo,
Für eine Szenario Außenstandort wäre das Setup ja klassisch "Firewall/Router -> Kabel -> Switch". Am Switch ist 802.1x Aktiviert Ports werden nur nach entsprechender Autorisierung freigegeben.
Nichts besonderes ein kleines Subnetz und so 2-15 Clients, keine Server Dienste etc. diese kommen per VPN.

Was ist jetzt aber wenn ein böser Jemand auf die Idee kommt, die Verbindung zwischen Switch und Firewall zu trennen? Und zB dort ein Notebook oder unmanaged Switch ansteckt. Dann hat diese Person ja bereits zugriff auf einen Großteil des Netzwerkes. Oder sehe Ich da was Falsch?

Und viel wichtiger wie schütze ich mein Netzwerk gegen solch plumpe "Attacken" bzw. Fehlbedienungen? Klar ich kann das in einen kleinen Schrank einbauen aber einen gezielten Angreifer hält das ja nicht gerade lange auf.

Und die eigentliche Frage gibt es eine Option am Router oder Firewalls um z.B. 802.1x oder ein anders Protokoll zu aktivieren um diesen Port nur noch mit diesem einen Switch oder Client reden zu lassen.
Vorzugweise an einem Lancom Router bzw. PFSense Firewall.

Content-ID: 458505

Url: https://administrator.de/contentid/458505

Ausgedruckt am: 21.11.2024 um 20:11 Uhr

tikayevent
tikayevent 03.06.2019 um 12:04:34 Uhr
Goto Top
Wo steht der RADIUS-Server für 802.1X? Wenn dieser über den Router erreichbar ist, wäre es eine ganz bescheuerte Idee, den Router-Port darüber abzusichern.
Das einfachste und definitiv beste: Router und Switch in einem abgeschlossenen Behälter (z.B. ein Netzwerkschrank) aufbewahren.
aqui
aqui 04.06.2019 aktualisiert um 12:43:10 Uhr
Goto Top
Oder sehe Ich da was Falsch?
Kommt drauf an....
Am FW Port kommt man dann ungeschützt rann wenn der Eindringling sich dort einklinkt. Niemals aber am Switchport, denn der verharrt ja im Blocking Modus. Auch wenn er den Radius Server nicht mehr "sieht". Dort wäre ein Eindringling also chancenlos.
wie schütze ich mein Netzwerk gegen solch plumpe "Attacken" bzw. Fehlbedienungen?
Auch hier unklar was du meinst face-sad
Fehlbedienung wie ?? Indem man den Switch mit 802.1x falsch konfiguriert ??
Leider unverständlich der Punkt was du konkret damit meinst...
Die pfSense Firewall hat solche Sicherungs Mechanismen. Sie kann sogar selber als Radius Server agieren so das man immer einen Backup Radius Server hat z.B. in remoten Standorten. 802.1x Switches haben immer die Option von multiplen Radius. Oder man definiert den Radius als Proxy. Dort sind viele alternative Designs denkbar. Letztlich aber immer abhängig davon was genau du erreichen willst und da bist du leider hier etwas oberflächlich.
Wenn du deine PIN mit Filzer auf deine Kreditkarte schreibst ist die gesamte Sicherheit dazu natürlich auch Makulatur.
Gegen den Faktor "Mensch" hilft das eher wenig.