Absicherung eines privaten Gastnetzes
Hallo zusammen,
Ich betreibe seit einiger Zeit ein privates Netzwerk. Als WLAN-APs verwende ich dabei 4 Unifi-APs in Verbindung mit dem Unifi-Controller (mir ist bewusst, dass es bessere Lösungen gibt). Dank des Forums ist bei mir auch eine pfSense im Einsatz.
Um ein Gast-Netz mittels Captive-Portal zu realisieren, habe ich zunächst direkt das im Unifi-Controller integrierte Portal verwendet. Das hat mir allerdings aus zwei Gründen nicht gefallen. Einerseits kann ich damit natürlich keine Client-Isolation erreichen (die 4 APs sind bei mir im selben VLAN und über einen Cisco Switch verbunden, im Layer-2-Modus läuft). Andererseits weist Unifi den APs auch im Nicht-Management-VLAN IPs zu, falls ich das integrierte Captive-Portal verwende. Diese Umsetzung empfinde ich als nicht optimal. Daher habe ich im Unifi-Controller auf ein externes Portal verwiesen – das der pfSense.
Um ein restriktives Gast-Netzwerk zu realisieren, bin ich der Anleitung von Aqui gefolgt (s. Anleitung-Aqui, nach außen sind beir mir nur SMTP, DNS, http und IMAP erlaubt und natürlich ist das Gast-Netz von den übrigen Netzen getrennt).
Anschließend wollte ich eine Client-Isolation umsetzen (die Absicherung der pfSense erfolgt über entsprechende Firewall-Regeln direkt auf der pfSense). Die APs können zwar die Kommunikation zwischen Cients unterbinden, die mit demselben AP verbunden sind, aber natürlich nicht die Kommunikation zwischen Clients an unterschiedlichen APs. Die Umsetzungen für eine Client-Isolation empfand ich als relativ aufwändig (z.B. jeden AP in eigenes VLAN oder PVLAN).
Daher komme nun zu meiner eigentlichen Frage bzw. Lösung. Ist es sinnvoll, die Client-Isolation einfach über ACEs auf dem Switch im Layer-2-Modus umzusetzen? Ich habe folgende MAC-basierte ACEs verwendet:
Allow GA:TE:WA:YG:AT:EW to Any (<= Gateway)
Allow Any to GA:TE:WA:YG:AT:EW (=> Gateway)
Allow Any to FF:FF:FF:FF:FF:FF (Broadcast)
Deny Any to Any
Ist das ein vernünftiges Vorgehen, oder würdet ihr das anders umsetzen?
Ich betreibe seit einiger Zeit ein privates Netzwerk. Als WLAN-APs verwende ich dabei 4 Unifi-APs in Verbindung mit dem Unifi-Controller (mir ist bewusst, dass es bessere Lösungen gibt). Dank des Forums ist bei mir auch eine pfSense im Einsatz.
Um ein Gast-Netz mittels Captive-Portal zu realisieren, habe ich zunächst direkt das im Unifi-Controller integrierte Portal verwendet. Das hat mir allerdings aus zwei Gründen nicht gefallen. Einerseits kann ich damit natürlich keine Client-Isolation erreichen (die 4 APs sind bei mir im selben VLAN und über einen Cisco Switch verbunden, im Layer-2-Modus läuft). Andererseits weist Unifi den APs auch im Nicht-Management-VLAN IPs zu, falls ich das integrierte Captive-Portal verwende. Diese Umsetzung empfinde ich als nicht optimal. Daher habe ich im Unifi-Controller auf ein externes Portal verwiesen – das der pfSense.
Um ein restriktives Gast-Netzwerk zu realisieren, bin ich der Anleitung von Aqui gefolgt (s. Anleitung-Aqui, nach außen sind beir mir nur SMTP, DNS, http und IMAP erlaubt und natürlich ist das Gast-Netz von den übrigen Netzen getrennt).
Anschließend wollte ich eine Client-Isolation umsetzen (die Absicherung der pfSense erfolgt über entsprechende Firewall-Regeln direkt auf der pfSense). Die APs können zwar die Kommunikation zwischen Cients unterbinden, die mit demselben AP verbunden sind, aber natürlich nicht die Kommunikation zwischen Clients an unterschiedlichen APs. Die Umsetzungen für eine Client-Isolation empfand ich als relativ aufwändig (z.B. jeden AP in eigenes VLAN oder PVLAN).
Daher komme nun zu meiner eigentlichen Frage bzw. Lösung. Ist es sinnvoll, die Client-Isolation einfach über ACEs auf dem Switch im Layer-2-Modus umzusetzen? Ich habe folgende MAC-basierte ACEs verwendet:
Allow GA:TE:WA:YG:AT:EW to Any (<= Gateway)
Allow Any to GA:TE:WA:YG:AT:EW (=> Gateway)
Allow Any to FF:FF:FF:FF:FF:FF (Broadcast)
Deny Any to Any
Ist das ein vernünftiges Vorgehen, oder würdet ihr das anders umsetzen?
Please also mark the comments that contributed to the solution of the article
Content-ID: 669478
Url: https://administrator.de/contentid/669478
Printed on: December 7, 2024 at 21:12 o'clock
14 Comments
Latest comment
Client Isolation gilt niemals nur pro AP. Da hast du sicher etwas grundsätzlich missverstanden. Das wäre ja unsinnig und auch absurd wenn man in einem WLAN dies für alle Clients unterbinden will, denn es gibt ja nur sehr wenig WLANs die nur aus einem einzigen AP bestehen. Die gilt ganz besonders für Controller basierte WLANs und weisst du als gestandener Netzwerker ja auch selber. Niemand macht deshalb so absurde Klimmzüge mit ACLs auf der darunterliegenden Switchinfrastruktur.
Da solltest du also dein Isolation Setup nochmal genauer überprüfen...
Da solltest du also dein Isolation Setup nochmal genauer überprüfen...
Client Isolation per SSID isoliert nicht die Clients, unabhängig vom AP?
Moin,
mal eine Verständnisfrage.
Du hast ein VLAN Gastnetzwerk aufgebaut und zusätzlich möchtest Du eine Client Isolation einrichten. Wozu und was macht die Client Isolation?
Wenn die Clients im Gast-WLAN herumgeistern sind diese doch vom anderen Netzwerk getrennt. Warum sollte man diese noch isolieren?
Oder denke ich hier vielleicht verkehrt?
Gruß
mal eine Verständnisfrage.
Du hast ein VLAN Gastnetzwerk aufgebaut und zusätzlich möchtest Du eine Client Isolation einrichten. Wozu und was macht die Client Isolation?
Wenn die Clients im Gast-WLAN herumgeistern sind diese doch vom anderen Netzwerk getrennt. Warum sollte man diese noch isolieren?
Oder denke ich hier vielleicht verkehrt?
Gruß
Wozu und was macht die Client Isolation?
Die sorgt dafür das die Clients im WLAN sich untereinander nicht direkt erreichen können. Z.B. das einer Filesharing freigibt und andere sich connecten können oder das Fremde im WLAN nmap Attacken auf andere WLAN Clients ausführen können. Die direkte Kommunikation der Clients untereinander ist unterbunden. Üblicherweise über alle Clients im gesamen WLAN und üblicherweise natürlich auch immer AP übergreifend wenn man nicht UBQT HW einsetzt.Ich kann dir nur berichten, was Unifi macht.
Wie gruselig aber was will man bei dem Geraffel auch erwarten?! Andere können das deutlich besser.Wenn dem wirklich so ist (was schwerfällt zu glauben) ist es dann am besten und einfachsten du konfiguriert dir ein Private oder Isolated VLAN (PVLAN) auf dem Switch. Supportet er das nicht musst du tatsächlich mit ACLs auf dem Switch frickeln oder auf bessere WLAN HW wechseln.
Zitat von @Frontier:
@aqui:
@aqui:
Client Isolation gilt niemals nur pro AP.
Ich kann dir nur berichten, was Unifi macht. Wenn ich im Unifi-Controller diese Option aktiviere, dann ist nur die Kommunikation zwischen Clients am selben AP unterbunden. Insofern muss ich zusätzlich auf Layer-2-Ebene auf dem Switch regeln. Wie soll das denn anders funktionieren? Wenn ich weitere VLANs oder PVLANs einrichten würde, so wäre die Regelung natürlich nicht auf dem Switch, sondern auf der pfSense.Das Verständnisproblem liegt hier augenscheinlich darin begründet, nicht vollständig zu erkennen, auf welchen "Ebenen" im Netzwerk alles eine Kommunikation zwischen den WLAN-Clients erfolgen bzw. (nicht) unterbunden werden kann.
Wird auf einem AP - der ersten "Ebene" der möglichen Kommunikation - eingestellt, dass die WLAN-Clients derselben SSID nicht miteinander kommunizieren können, dann beschränkt sich das in der Regel und denklogisch auf diejenigen WLAN-Clients, die an diesem AP mit dieser SSID angemeldet sind. Andernfalls müsste der AP von parallelen AP's die Daten der jeweils dort bei der gleichen SSID angemeldeten WLAN-Clients erhalten. Eine solche Konfigurationsmöglichkeit ist, sofern dies nicht über einen übergeordneten AP-Controller bereitgestellt werden sollte, nicht vorhanden - in jedem Fall nicht bei den im Heimbereich üblicherweise verwendeten AP's.
Das führt auf der nächsten "Ebene", dem (Layer-2-)Switch, dazu, dass sehr wohl WLAN-Clients, die im selben VLAN, aber an unterschiedlichen AP's angemeldet sind, miteinander kommunizieren können. Die AP's unterbinden es nicht und können es auch nicht. Zudem ist ein solcher Switch kein Router(!) und forwardet alle ankommenden Pakete im selben VLAN entsprechend seiner MAC-Listen weiter.
Der Switch kann dieses Forwarding nur dann zwischen den WLAN-Clients unterschiedlicher AP's unterbinden, wenn er die Funktion der Client-Isolation bereitstellt. Ist das der Fall, dann kann wird der Switch bei Aktivierung dieser Funktion für das Gast-VLAN die von den WLAN-Clients eingehenden Pakete nur noch über seinen Uplink zum Router / Gateway forwarden.
Sollte der Switch diese Funktion nicht haben, wird es bereits trickreich bis unmöglich auf der Ebene des Switches. Ob ACL's das sinnvoll auf dem Switch übernehmen können, erscheint zumindest sehr zweifelhaft, worauf @aqui bereits hingewiesen hat.
Also bleibt beim Fehlen der Funktion auf dem Switch nichts anderes übrig, als netzwerkorganisatorisch eine Kommunikation auf der Layer-2-Ebene zu verhinden. Das ist dann wohl in erster Linie die Einrichtung von je einem VLAN pro AP, wenn die Switch-Hardware nicht ausgetauscht werden soll. Denn zwischen unterschiedlichen VLAN's findet auf einem Layer-2-Switch kein Forwarding statt. Und genau das ist ja die Aufgabe einer Netzwerksegmentierung mittels VLAN's - die Schaffung von einander abgegrenzter Netzwerkbereiche, die ohne ein Routing nicht miteinander kommunizieren können. Folgerichtig muss natürlich auf dem dem Switch übergeordneten Router / Gateway (= dritte "Ebene" des Netzwerks) geprüft werden, ob die dortigen Regeln / Einstellungen ebenfalls die Kommunikation zwischen den Gast-WLAN-Clients unterbinden; diese Prüfung dürfte ohnehin erforderlich sein.
Deswegen wirst Du - und genau das meint @aqui mit seinen Hinweisen - zuerst Deinen Switch auf das Vorhandensein der Client-Isolation-Funktion prüfen müssen. Ist das Ergebnis negativ, wirst Du Dir überlegen müssen, ob Du diesen Switch gegen einen mit der Funktion austauschen möchtest. Andernfalls machst Du das über unterschiedliche VLAN's pro AP oder bastelst mit ACL's auf dem Switch herum oder ziehst in Betracht, die AP's gegen solche zu tauschen, die eine AP-übergreifende Unterbindung der Kommunikation zwischen WLAN-Clients derselben SSID ermöglichen. Vielleicht bietet das aber auch Dein AP-Controller an, was Du prüfen solltest.
Viel mehr Möglichkeiten werden für die Lösung Deines Problems nicht bleiben. Insoweit hat @aqui eigentlich schon alles gesagt, wenn auch kurz und knackig.
Viele Grüße
HansDampf06
Die AP's unterbinden es nicht
Das ist so pauschal gesagt nicht ganz richtig. Im Groben ist die Client Isolation ein ARP Blocking. Inbound ARP Requests werden geblockt und das macht der AP auch an seinem Kupferinterface so das generell keine inbound L2 Kommunikation mit den WLAN Clients möglich ist. Andersherum aber schon. Das ist quasi eine PVLAN Funktion auf dem AP.So ist sichergestellt das WLAN übergreifend immer eine Isolation besteht egal ob standalone APs oder Controller basiert. Andernfalls wäre diese Funktion ja auch völlig sinnfrei wenn es nur auf einem singulären AP klappt aber jeder weitere AP im WLAN diese Funktion gleich wieder aushebelt. Was hätte sie dann für einen tieferen Sinn?!
Immerhin benötige ich nur 4 Regeln.
Normalerweise braucht es nur eine Regel (ARP Request Block) oder wenn du PVLANs benutzt gar keine.Firewall Funktionen auf standalone APs sind bei einfacher Hardware aber sehr selten bis gar nicht vorhanden. Per se also richtig aber beim Gros der einfachen APs nicht umsetzbar weil schlicht und einfach dieses Feature fehlt.
Zitat von @aqui:
Firewall Funktionen auf standalone APs sind bei einfacher Hardware aber sehr selten bis gar nicht vorhanden. Per se also richtig aber beim Gros der einfachen APs nicht umsetzbar weil schlicht und einfach dieses Feature fehlt.
Immerhin benötige ich nur 4 Regeln.
Normalerweise braucht es nur eine Regel (ARP Request Block) oder wenn du PVLANs benutzt gar keine.Firewall Funktionen auf standalone APs sind bei einfacher Hardware aber sehr selten bis gar nicht vorhanden. Per se also richtig aber beim Gros der einfachen APs nicht umsetzbar weil schlicht und einfach dieses Feature fehlt.
Davon ganz abgesehen ist es wieder ein typischer Fall, dass der Fragensteller wichtige Informationen schlicht nicht mitteilt. Wie sollen diejenigen, die helfen sollen, solche Besonderheiten kennen, wenn sie nicht üblich sind und der Fragensteller sie nicht mitteilt.
Hinzukommt, dass er dann sein Problem eigentlich ganz einfach totschlagen könnte, wenn er denn diese Firewall-Funktion auf seinen AP's nutzen würde. Dann hätte es auch nicht dieser Fragerunde bedurft. Immerhin nimmt er für sich in Anspruch, keine Verständnisschwierigkeiten zu haben. Wo liegt dann aber das Problem, die Dinge, die man hat, sachgerecht zu verwenden?
Die AP's unterbinden es nicht
Das ist so pauschal gesagt nicht ganz richtig.Viele Grüße
HansDampf06
Das Fazit was man dann leider daraus ziehen muss: Falsche Hardware beschafft!
Case closed...
How can I mark a post as solved?
Case closed...
How can I mark a post as solved?
Zitat von @aqui:
Normalerweise braucht es nur eine Regel (ARP Request Block) oder wenn du PVLANs benutzt gar keine.
Normalerweise braucht es nur eine Regel (ARP Request Block) oder wenn du PVLANs benutzt gar keine.
ARP-Auflösung lässt sich besonders im WLAN mit den bekannten Station-MACs und DHCP-Ranges relativ leicht überspringen. Die Limitierung des Traffics auf Broadcast und von und zum Gateway, wie eingangs vorgeschlagen, ist daher sinnvoller, und so funktioniert das in der Regel auch auf den APs. Wegen des Aufwands, den Gateway der jeweiligen Netze zu detektieren, gibt es wahrscheinlich bei den meisten Herstellern Serien oder Betriebsarten, die eine Switch-Konfiguration erfordern: https://community.cisco.com/t5/wireless/client-isolation-cisco-catalyst- ...
PVLAN wird in vielen Fällen nicht funktionieren, weil z.B. bei der Cisco-SG-Serie die Zuweisung der PVLANs an den Switch-Port durch einen dedizierten Port-Modus erfolgt (Access/Trunk vs. Host/Promiscuous). Der normalerweise zum AP nötige VLAN-Trunk lässt sich damit nicht (bestehend aus isolierten PVLANs) umsetzen.
Grüße
Richard