frontier
Goto Top

Absicherung eines privaten Gastnetzes

Hallo zusammen,

Ich betreibe seit einiger Zeit ein privates Netzwerk. Als WLAN-APs verwende ich dabei 4 Unifi-APs in Verbindung mit dem Unifi-Controller (mir ist bewusst, dass es bessere Lösungen gibt). Dank des Forums ist bei mir auch eine pfSense im Einsatz.

Um ein Gast-Netz mittels Captive-Portal zu realisieren, habe ich zunächst direkt das im Unifi-Controller integrierte Portal verwendet. Das hat mir allerdings aus zwei Gründen nicht gefallen. Einerseits kann ich damit natürlich keine Client-Isolation erreichen (die 4 APs sind bei mir im selben VLAN und über einen Cisco Switch verbunden, im Layer-2-Modus läuft). Andererseits weist Unifi den APs auch im Nicht-Management-VLAN IPs zu, falls ich das integrierte Captive-Portal verwende. Diese Umsetzung empfinde ich als nicht optimal. Daher habe ich im Unifi-Controller auf ein externes Portal verwiesen – das der pfSense.

Um ein restriktives Gast-Netzwerk zu realisieren, bin ich der Anleitung von Aqui gefolgt (s. Anleitung-Aqui, nach außen sind beir mir nur SMTP, DNS, http und IMAP erlaubt und natürlich ist das Gast-Netz von den übrigen Netzen getrennt).

Anschließend wollte ich eine Client-Isolation umsetzen (die Absicherung der pfSense erfolgt über entsprechende Firewall-Regeln direkt auf der pfSense). Die APs können zwar die Kommunikation zwischen Cients unterbinden, die mit demselben AP verbunden sind, aber natürlich nicht die Kommunikation zwischen Clients an unterschiedlichen APs. Die Umsetzungen für eine Client-Isolation empfand ich als relativ aufwändig (z.B. jeden AP in eigenes VLAN oder PVLAN).

Daher komme nun zu meiner eigentlichen Frage bzw. Lösung. Ist es sinnvoll, die Client-Isolation einfach über ACEs auf dem Switch im Layer-2-Modus umzusetzen? Ich habe folgende MAC-basierte ACEs verwendet:

Allow GA:TE:WA:YG:AT:EW to Any (<= Gateway)
Allow Any to GA:TE:WA:YG:AT:EW (=> Gateway)
Allow Any to FF:FF:FF:FF:FF:FF (Broadcast)
Deny Any to Any

Ist das ein vernünftiges Vorgehen, oder würdet ihr das anders umsetzen?

Content-ID: 669478

Url: https://administrator.de/contentid/669478

Printed on: December 7, 2024 at 21:12 o'clock

aqui
aqui Nov 14, 2024 updated at 09:21:47 (UTC)
Goto Top
Client Isolation gilt niemals nur pro AP. Da hast du sicher etwas grundsätzlich missverstanden. Das wäre ja unsinnig und auch absurd wenn man in einem WLAN dies für alle Clients unterbinden will, denn es gibt ja nur sehr wenig WLANs die nur aus einem einzigen AP bestehen. Die gilt ganz besonders für Controller basierte WLANs und weisst du als gestandener Netzwerker ja auch selber. Niemand macht deshalb so absurde Klimmzüge mit ACLs auf der darunterliegenden Switchinfrastruktur.
Da solltest du also dein Isolation Setup nochmal genauer überprüfen...
150631
150631 Nov 14, 2024 at 10:42:33 (UTC)
Goto Top
Client Isolation per SSID isoliert nicht die Clients, unabhängig vom AP?
Frontier
Frontier Nov 14, 2024 at 11:10:16 (UTC)
Goto Top
@aqui:
Client Isolation gilt niemals nur pro AP.

Ich kann dir nur berichten, was Unifi macht. Wenn ich im Unifi-Controller diese Option aktiviere, dann ist nur die Kommunikation zwischen Clients am selben AP unterbunden. Insofern muss ich zusätzlich auf Layer-2-Ebene auf dem Switch regeln. Wie soll das denn anders funktionieren? Wenn ich weitere VLANs oder PVLANs einrichten würde, so wäre die Regelung natürlich nicht auf dem Switch, sondern auf der pfSense.
Headcrach
Headcrach Nov 14, 2024 updated at 13:24:28 (UTC)
Goto Top
Moin,
mal eine Verständnisfrage.
Du hast ein VLAN Gastnetzwerk aufgebaut und zusätzlich möchtest Du eine Client Isolation einrichten. Wozu und was macht die Client Isolation?

Wenn die Clients im Gast-WLAN herumgeistern sind diese doch vom anderen Netzwerk getrennt. Warum sollte man diese noch isolieren?

Oder denke ich hier vielleicht verkehrt?

Gruß
aqui
Solution aqui Nov 14, 2024 updated at 14:18:23 (UTC)
Goto Top
Wozu und was macht die Client Isolation?
Die sorgt dafür das die Clients im WLAN sich untereinander nicht direkt erreichen können. Z.B. das einer Filesharing freigibt und andere sich connecten können oder das Fremde im WLAN nmap Attacken auf andere WLAN Clients ausführen können. Die direkte Kommunikation der Clients untereinander ist unterbunden. Üblicherweise über alle Clients im gesamen WLAN und üblicherweise natürlich auch immer AP übergreifend wenn man nicht UBQT HW einsetzt.
Ich kann dir nur berichten, was Unifi macht.
Wie gruselig aber was will man bei dem Geraffel auch erwarten?! face-sad Andere können das deutlich besser.
Wenn dem wirklich so ist (was schwerfällt zu glauben) ist es dann am besten und einfachsten du konfiguriert dir ein Private oder Isolated VLAN (PVLAN) auf dem Switch. Supportet er das nicht musst du tatsächlich mit ACLs auf dem Switch frickeln oder auf bessere WLAN HW wechseln.
Frontier
Frontier Nov 14, 2024 at 17:10:31 (UTC)
Goto Top
Mein Kenntnisstand ist, dass man entweder

1.) Nur "Client Isolation" (ohne die Option "Guest Hotspot") verwenden kann

oder

2.) Client isolation + Option "Guest Hotspot" wählt.

Die Konsequenzen aus diesen Optionen sind:

bei 1.) : Traffic zwischen Clients auf unterschiedlichen APs ist noch immer möglich. Unifi schreibt dazu: "Prevents wireless clients on the same AP from communicating with each other."

bei 2.) Kann der Traffic zwar unterbunden werden (unter dem Punkt "Restricted Authorization Access"), jetzt wird jedem AP aber eine IP zugewiesen.

@aqui: Eine kurze Off-Topic-Frage: Was für APs würdest du denn zurzeit empfehlen < 200€ / Stück.
HansDampf06
HansDampf06 Nov 14, 2024 at 19:58:16 (UTC)
Goto Top
Zitat von @Frontier:
@aqui:
Client Isolation gilt niemals nur pro AP.
Ich kann dir nur berichten, was Unifi macht. Wenn ich im Unifi-Controller diese Option aktiviere, dann ist nur die Kommunikation zwischen Clients am selben AP unterbunden. Insofern muss ich zusätzlich auf Layer-2-Ebene auf dem Switch regeln. Wie soll das denn anders funktionieren? Wenn ich weitere VLANs oder PVLANs einrichten würde, so wäre die Regelung natürlich nicht auf dem Switch, sondern auf der pfSense.

Das Verständnisproblem liegt hier augenscheinlich darin begründet, nicht vollständig zu erkennen, auf welchen "Ebenen" im Netzwerk alles eine Kommunikation zwischen den WLAN-Clients erfolgen bzw. (nicht) unterbunden werden kann.

Wird auf einem AP - der ersten "Ebene" der möglichen Kommunikation - eingestellt, dass die WLAN-Clients derselben SSID nicht miteinander kommunizieren können, dann beschränkt sich das in der Regel und denklogisch auf diejenigen WLAN-Clients, die an diesem AP mit dieser SSID angemeldet sind. Andernfalls müsste der AP von parallelen AP's die Daten der jeweils dort bei der gleichen SSID angemeldeten WLAN-Clients erhalten. Eine solche Konfigurationsmöglichkeit ist, sofern dies nicht über einen übergeordneten AP-Controller bereitgestellt werden sollte, nicht vorhanden - in jedem Fall nicht bei den im Heimbereich üblicherweise verwendeten AP's.

Das führt auf der nächsten "Ebene", dem (Layer-2-)Switch, dazu, dass sehr wohl WLAN-Clients, die im selben VLAN, aber an unterschiedlichen AP's angemeldet sind, miteinander kommunizieren können. Die AP's unterbinden es nicht und können es auch nicht. Zudem ist ein solcher Switch kein Router(!) und forwardet alle ankommenden Pakete im selben VLAN entsprechend seiner MAC-Listen weiter.
Der Switch kann dieses Forwarding nur dann zwischen den WLAN-Clients unterschiedlicher AP's unterbinden, wenn er die Funktion der Client-Isolation bereitstellt. Ist das der Fall, dann kann wird der Switch bei Aktivierung dieser Funktion für das Gast-VLAN die von den WLAN-Clients eingehenden Pakete nur noch über seinen Uplink zum Router / Gateway forwarden.
Sollte der Switch diese Funktion nicht haben, wird es bereits trickreich bis unmöglich auf der Ebene des Switches. Ob ACL's das sinnvoll auf dem Switch übernehmen können, erscheint zumindest sehr zweifelhaft, worauf @aqui bereits hingewiesen hat.
Also bleibt beim Fehlen der Funktion auf dem Switch nichts anderes übrig, als netzwerkorganisatorisch eine Kommunikation auf der Layer-2-Ebene zu verhinden. Das ist dann wohl in erster Linie die Einrichtung von je einem VLAN pro AP, wenn die Switch-Hardware nicht ausgetauscht werden soll. Denn zwischen unterschiedlichen VLAN's findet auf einem Layer-2-Switch kein Forwarding statt. Und genau das ist ja die Aufgabe einer Netzwerksegmentierung mittels VLAN's - die Schaffung von einander abgegrenzter Netzwerkbereiche, die ohne ein Routing nicht miteinander kommunizieren können. Folgerichtig muss natürlich auf dem dem Switch übergeordneten Router / Gateway (= dritte "Ebene" des Netzwerks) geprüft werden, ob die dortigen Regeln / Einstellungen ebenfalls die Kommunikation zwischen den Gast-WLAN-Clients unterbinden; diese Prüfung dürfte ohnehin erforderlich sein.

Deswegen wirst Du - und genau das meint @aqui mit seinen Hinweisen - zuerst Deinen Switch auf das Vorhandensein der Client-Isolation-Funktion prüfen müssen. Ist das Ergebnis negativ, wirst Du Dir überlegen müssen, ob Du diesen Switch gegen einen mit der Funktion austauschen möchtest. Andernfalls machst Du das über unterschiedliche VLAN's pro AP oder bastelst mit ACL's auf dem Switch herum oder ziehst in Betracht, die AP's gegen solche zu tauschen, die eine AP-übergreifende Unterbindung der Kommunikation zwischen WLAN-Clients derselben SSID ermöglichen. Vielleicht bietet das aber auch Dein AP-Controller an, was Du prüfen solltest.

Viel mehr Möglichkeiten werden für die Lösung Deines Problems nicht bleiben. Insoweit hat @aqui eigentlich schon alles gesagt, wenn auch kurz und knackig.

Viele Grüße
HansDampf06
Frontier
Frontier Nov 14, 2024 at 20:53:32 (UTC)
Goto Top
@aqui: Vielen Dank. Damit bestätigst du meine Befürchtung und auch die Reihenfolge der sinnvollen Lösungsschritte:

1: Andere APs (eine Empfehlung würde mich freuen)
2: Umsetzung mit PVLANs und den alten APs
3: Umsetzung mit VLANs und den alten APs
4: Durch ACEs/ACLs

Ich hatte nur gehofft, dass meine bereits umgesetzte Lösung mit ACEs/ACLs immer noch als brauchbar angesehen wird. Immerhin benötige ich nur 4 Regeln.

@HansDampf06: Vielen Dank auch für deine Antwort. Ich verstehe allerdings nicht so recht, wo du meine Verständnisprobleme siehst. Was du schreibst ist mir komplett bekannt. Darüber hinaus ist deine Aussage

Eine solche Konfigurationsmöglichkeit ist, sofern dies nicht über einen übergeordneten AP-Controller bereitgestellt werden sollte, nicht vorhanden - in jedem Fall nicht bei den im Heimbereich üblicherweise verwendeten AP's.

natürlich falsch: Selbst wenn ich APs verwenden würde, die nicht über einen Controller konfiguriert werden, so könnte ich natürlich auch auf jedem AP dezentral eine Firewall laufen lassen. Das ging bereit vor ca. 20 Jahren.
aqui
Solution aqui Nov 15, 2024 at 09:39:26 (UTC)
Goto Top
Die AP's unterbinden es nicht
Das ist so pauschal gesagt nicht ganz richtig. Im Groben ist die Client Isolation ein ARP Blocking. Inbound ARP Requests werden geblockt und das macht der AP auch an seinem Kupferinterface so das generell keine inbound L2 Kommunikation mit den WLAN Clients möglich ist. Andersherum aber schon. Das ist quasi eine PVLAN Funktion auf dem AP.
So ist sichergestellt das WLAN übergreifend immer eine Isolation besteht egal ob standalone APs oder Controller basiert. Andernfalls wäre diese Funktion ja auch völlig sinnfrei wenn es nur auf einem singulären AP klappt aber jeder weitere AP im WLAN diese Funktion gleich wieder aushebelt. Was hätte sie dann für einen tieferen Sinn?!
Immerhin benötige ich nur 4 Regeln.
Normalerweise braucht es nur eine Regel (ARP Request Block) oder wenn du PVLANs benutzt gar keine.
Firewall Funktionen auf standalone APs sind bei einfacher Hardware aber sehr selten bis gar nicht vorhanden. Per se also richtig aber beim Gros der einfachen APs nicht umsetzbar weil schlicht und einfach dieses Feature fehlt.
HansDampf06
HansDampf06 Nov 15, 2024 at 12:24:12 (UTC)
Goto Top
Zitat von @aqui:
Immerhin benötige ich nur 4 Regeln.
Normalerweise braucht es nur eine Regel (ARP Request Block) oder wenn du PVLANs benutzt gar keine.
Firewall Funktionen auf standalone APs sind bei einfacher Hardware aber sehr selten bis gar nicht vorhanden. Per se also richtig aber beim Gros der einfachen APs nicht umsetzbar weil schlicht und einfach dieses Feature fehlt.

Davon ganz abgesehen ist es wieder ein typischer Fall, dass der Fragensteller wichtige Informationen schlicht nicht mitteilt. Wie sollen diejenigen, die helfen sollen, solche Besonderheiten kennen, wenn sie nicht üblich sind und der Fragensteller sie nicht mitteilt. face-sad

Hinzukommt, dass er dann sein Problem eigentlich ganz einfach totschlagen könnte, wenn er denn diese Firewall-Funktion auf seinen AP's nutzen würde. Dann hätte es auch nicht dieser Fragerunde bedurft. Immerhin nimmt er für sich in Anspruch, keine Verständnisschwierigkeiten zu haben. Wo liegt dann aber das Problem, die Dinge, die man hat, sachgerecht zu verwenden?

Die AP's unterbinden es nicht
Das ist so pauschal gesagt nicht ganz richtig.
Das war auch gar nicht so pauschal gemeint, sondern bezog sich im Kontext des Switches und des vorangegangenen Absatzes erkennbar darauf, dass ein AP - der KEINE Firewall hat - den Inter-AP-Verkehr oder den Von-sonstwo-her-/Nach-sonstwo-hin-Verkehr regelmäßig nicht blocken kann, sondern seine Blockfähigkeiten auf die bei ihm angemeldeten WLAN-Clients beschränkt sind und eher auch nur zwischen diesen WLAN-Clients.

Viele Grüße
HansDampf06
Frontier
Frontier Nov 15, 2024 at 14:22:23 (UTC)
Goto Top
@aqui: Vielen Dank! Die Umsetzung über ARP Request Block werde ich mir anschauen.

@HansDampf06: Vielen Dank auch für dein Engagement - auch wenn ich deine Kommentare nicht so ganz nachvollziehen kann.

Zum einen denke ich, dass ich mein Setup halbwegs vollständig beschrieben habe. Natürlich ist das immer eine subjektive Abwägung zwischen so wenig wie möglich und so viel wie nötig. Bei weiterem Informationsbedarf lege ich natürlich nach. Ich bin ja an konkreten Lösungsvorschlägen interessiert.

Zum anderen war meine Aussage

Selbst wenn ich APs verwenden würde, die nicht über einen Controller konfiguriert werden, so könnte ich natürlich auch auf jedem AP dezentral eine Firewall laufen lassen. Das ging bereit vor ca. 20 Jahren.

auf dein generelles Statement bezogen. Meine Hardware (und die zugehörige Software) lassen sich leider nicht so konfigurieren - sonst hätte ich das natürlich bereits umgesetzt.

Ich werde die Diskussion jetzt schließen. Vielen Dank noch einmal!
aqui
aqui Nov 15, 2024 updated at 15:15:39 (UTC)
Goto Top
Das Fazit was man dann leider daraus ziehen muss: Falsche Hardware beschafft! face-sad
Case closed...
How can I mark a post as solved?
C.R.S.
Solution C.R.S. Nov 17, 2024 at 14:22:38 (UTC)
Goto Top
Zitat von @aqui:

Normalerweise braucht es nur eine Regel (ARP Request Block) oder wenn du PVLANs benutzt gar keine.

ARP-Auflösung lässt sich besonders im WLAN mit den bekannten Station-MACs und DHCP-Ranges relativ leicht überspringen. Die Limitierung des Traffics auf Broadcast und von und zum Gateway, wie eingangs vorgeschlagen, ist daher sinnvoller, und so funktioniert das in der Regel auch auf den APs. Wegen des Aufwands, den Gateway der jeweiligen Netze zu detektieren, gibt es wahrscheinlich bei den meisten Herstellern Serien oder Betriebsarten, die eine Switch-Konfiguration erfordern: https://community.cisco.com/t5/wireless/client-isolation-cisco-catalyst- ...
PVLAN wird in vielen Fällen nicht funktionieren, weil z.B. bei der Cisco-SG-Serie die Zuweisung der PVLANs an den Switch-Port durch einen dedizierten Port-Modus erfolgt (Access/Trunk vs. Host/Promiscuous). Der normalerweise zum AP nötige VLAN-Trunk lässt sich damit nicht (bestehend aus isolierten PVLANs) umsetzen.

Grüße
Richard
aqui
aqui Nov 17, 2024 at 16:33:52 (UTC)
Goto Top
Du hast Recht. Guter Punkt! 👍