the.other
Goto Top

Absichern des default VLANs - Radius - eure Meinungen

Hallo und Guten Tag in die Runde!
Da heute Freitag ist und es ja scheinbar Tradition ist, dass am Freitag Noobs doofe Fragen stellen dürfen, will ich mich nicht lumpen lassen und steuer meinen Anteil bei:

Setting:
rein private Anwendung, kein Unternehmen!
Fritzbox mit Raspi (Pihole) und Pfsense
An der Pfsense (Keller) ist ein Switch (cisco sg250) als corewitch, dieser versorgt über vier Verlegelankabel das Haus (2. OG, 1. OG, EG), in den Zimmern je ein Wandlananschluss (also insgesamt 4). Im 1. OG ein weitere switch (TPLinkSG108) mit diversen Clients im LAN und ein AP unifi. Im EG Client direkt am Wandanschluss. Im 2. OG dritter switch (TPlink sg 105).

Es sind 5 VLANs angelegt, Parentinterface ist LAN1 auf der pfsense. Ein openVPN Server läuft auf der pfsense, Authentifizierung hier über FreeRADIUS mit 2FA.
Alle Strukturgeräte (pfsense, switche, AP) sind in einem VLAN (VLAN 1).

Das Setting funktioniert vollkommen rund und problemlos.

Obwohl das System also rennt überlege ich, ein paar Änderungen vorzunehmen. Mein Ziel ist es, einige VLANs zusätzlich zu sichern mit FreeRADIUS.
Hintergrund der Überlegung: ich möchte, dass der Zugriff auf das VLAN1 (default VLAN) gesichert ist. Aktuell läuft das durch die Firewallsettings auf der pfsense.

Frage: aktuell ist der Zugriff auf VLAN1 (und die GUIs der Geräte) nur für einen PC möglich, der Rest der Clients wird geblockt.
1. Gibt es zusätzlich dann Gründe, dass alles in ein extra ManagementVLAN gelegt wird?
2. Ist es sinnig, das VLAN 1 dann auch über RADIUS zu sichern?

Hintergrund: da VLAN 1 das Default VLAN ist (und dies auf den AP und switchen nicht geändert werden kann) landet der unbekannte Client, der ggf. einfach mal so in den Wandanschluss gehauen wird ja auch im VLAN1. Das würde ich gerne trennen...oder eben absichern. Wäre da zusätzlicher Aufwand nötig oder reicht das mit den Firewall Regeln so aus?

3. Wenn ich den corewsitch im Keller auf dem Port sichere, der den Wandanschluss im EG und 1. OG versorgt, was ist da zu bedenken, denn ich lasse über diese ja die uplinks zwischen den switches laufen...? Ziel wie gesagt, dass niemand Zugang findet, wenn er sich einfach an den Wandanschluss klemmt. Habe aber irgendwo hier mal gelesen, dass Uplink Ports normalerweise nicht authetnifziert werden mit Radius...

Ich habe viel gelesen zum Thema 802.1x und Radius, bin aber noch nicht ganz rund mit dem Verarbeiten der geballten Infos (wie ihr an der Fragestellung ja merken könnt). Ich möchte keinen absoluten Overkill hier betreiben, vielleicht denke ich auch viel zu kompliziert. Wenn die Lösung mit den Firewallregeln aus eurer Sicht ausreicht, bin ich natürlich happy, dann würde ich den neuen switch (cisco sg350) einfach ins Netzwerk integrieren, bestimmte VLAN mit Radius absichern und ggf. dann dynamische VLAN Zuteilung auf dem sg350 versuchen einzurichten.

So, viel zu viel geschrieben für so ein Problemchen...sorry.
Bin gespannt auf eure Rückmeldungen und konstruktiven Ideen dazu.
Allen ein sonniges Wochenende und Danke!

Grüßle
th30ther

Content-ID: 567242

Url: https://administrator.de/forum/absichern-des-default-vlans-radius-eure-meinungen-567242.html

Ausgedruckt am: 27.12.2024 um 00:12 Uhr

aqui
Lösung aqui 25.04.2020 aktualisiert um 09:37:57 Uhr
Goto Top
dass am Freitag Noobs doofe Fragen stellen dürfen
Es gibt ja keine doofen Fragen nur doofe Antworten...also wagen wir uns mal auf dieses Minenfeld. face-wink
Zu den Fragen:
1.)
Nein, es ist ja quasi das management VLAN und durch die Firewall optimal gesichert.
2.)
Nein. Dort sind ja alle Management IP Adressen und es würde erzwingend das diese dann einen .1x Client haben oder du mit Mac Passthrough sicherst was immer kontraproduktiv ist, denn das birgt die sehr hohe Gefahr das diese wichtigen Komponenten den Netzzugang verlieren könnten. Damit erweist du dir dann eine Bärendienst. In Management Segmenten macht man generell keine Port Security.
3.)
Das ist richtig. Uplinks authentisiert man nicht.
Ich möchte keinen absoluten Overkill hier betreiben
Das ist auch der richtige Weg. Wende das im ersten Schritt erstmal behutsam auf den Access an im LAN und WLAN Bereich und sammle damit deine Erfahrung.
the.other
the.other 25.04.2020 um 11:35:47 Uhr
Goto Top
Moinsen aqui,
hab Dank für deine erklärenden Worte.
Ich werde jetzt erst einmal den sg350 einrichten, dann den in den Keller als neuen coreswitch packen, der kann dann zumindest für den Wandanschluss EG mit VLAN10 die Auth übernehmen. Dann hab ich damit auch gleich ne Praxisanwendung, um mal etwas praktisch in das Thema reinzukommen.

Schönes Wochenende!!

Grüßle
th30ther