Absicherung internes Firmennetzwerk
Guten Abend zusammen,
ich habe mir hier sämtliche Netzwerk Tutorials schon durch geschaut, komme aber Ad Hoc nicht weiter.
Kurzer IST-Zustand
Hauptstandort mit folgender Hardware
Sophos XG310 als Firewall
Extreme Networks VDX-6740 als Core (4 Stück, je 2 im Stack pro RZ)
Ruckus ICX-7150 Access Switche
VLAN für:
Interes LAN (Igel, Notebooks, Tower)
Drucker
Manageent
Server
Storage
etc,pp
WLAN "Intern" (Notebooks mit WLAN, Igels mit WLAN)
WLAN "Mobil" (nur Firmentelefone und Tablets die im MDM sind)
WLAN "Members" (MItarbeiter WLAN mit nur Internet Zugriff)
Wenn ich nun ein neues Notebook einrichte, welches ins WLAN "Intern" soll, so muss ich die MAC-Adresse derzeit am WLAN Controller (Ruckus SMartZone) pflegen und eine Zuordnung der MAC Adresse in einer Excel Liste mit dem Rechnernamen und Benutzer verwalten. [sehr umständlich für mich]
Einige Mitarbeiter haben auf ihrem Notebook Hyper-V auf W10 aktiv mit einer VM, wo die Kollegen Adminrechte haben, diese hängen derzeit zwangsläufig mit im internen Netz (da der "Host" ja im WLAN "intern" ist)
Nun bringt jemand ein wildfremdes Gerät mit und hängt sich an einen Netzwerkport und ist im internen Netz. Für mich ein NoGo aber die GF nimmt das nicht so ernst.
SOLL-Zustand
MAC-Filter auf dem WLAN Controller ablösen durch Zertifikatsauthentifzierung / Radius / 802.1X
Fremde Geräte erhalten keine IP vom Windows Server 2016 DCHP / Port am Switch wird abgeschaltet
Hyper-V VM's sollen nur ins internet kommen, die Notebooks (Hosts) jedoch ins interne Netz.
Unser primäreres Systemhaus, welche die Switche betreut hat uns MACMon ans Herz gelegt.
Hier bewegen wir uns aber bei ~12.000€ Anschaffungskosten zzgl. ~7.000€ jährlichen Kosten.
Ist der GF natürlich zu viel Geld ´, weil das braucht man ja nicht umbedingt.
Wie würdet ihr das Thema behandeln, Was für Tipps könnt ihr mir geben?
Habe mich mit RADIUS und Computerzertifikaten im AD noch nicht auseinander gesetzt.
ich habe mir hier sämtliche Netzwerk Tutorials schon durch geschaut, komme aber Ad Hoc nicht weiter.
Kurzer IST-Zustand
Hauptstandort mit folgender Hardware
Sophos XG310 als Firewall
Extreme Networks VDX-6740 als Core (4 Stück, je 2 im Stack pro RZ)
Ruckus ICX-7150 Access Switche
VLAN für:
Interes LAN (Igel, Notebooks, Tower)
Drucker
Manageent
Server
Storage
etc,pp
WLAN "Intern" (Notebooks mit WLAN, Igels mit WLAN)
WLAN "Mobil" (nur Firmentelefone und Tablets die im MDM sind)
WLAN "Members" (MItarbeiter WLAN mit nur Internet Zugriff)
Wenn ich nun ein neues Notebook einrichte, welches ins WLAN "Intern" soll, so muss ich die MAC-Adresse derzeit am WLAN Controller (Ruckus SMartZone) pflegen und eine Zuordnung der MAC Adresse in einer Excel Liste mit dem Rechnernamen und Benutzer verwalten. [sehr umständlich für mich]
Einige Mitarbeiter haben auf ihrem Notebook Hyper-V auf W10 aktiv mit einer VM, wo die Kollegen Adminrechte haben, diese hängen derzeit zwangsläufig mit im internen Netz (da der "Host" ja im WLAN "intern" ist)
Nun bringt jemand ein wildfremdes Gerät mit und hängt sich an einen Netzwerkport und ist im internen Netz. Für mich ein NoGo aber die GF nimmt das nicht so ernst.
SOLL-Zustand
MAC-Filter auf dem WLAN Controller ablösen durch Zertifikatsauthentifzierung / Radius / 802.1X
Fremde Geräte erhalten keine IP vom Windows Server 2016 DCHP / Port am Switch wird abgeschaltet
Hyper-V VM's sollen nur ins internet kommen, die Notebooks (Hosts) jedoch ins interne Netz.
Unser primäreres Systemhaus, welche die Switche betreut hat uns MACMon ans Herz gelegt.
Hier bewegen wir uns aber bei ~12.000€ Anschaffungskosten zzgl. ~7.000€ jährlichen Kosten.
Ist der GF natürlich zu viel Geld ´, weil das braucht man ja nicht umbedingt.
Wie würdet ihr das Thema behandeln, Was für Tipps könnt ihr mir geben?
Habe mich mit RADIUS und Computerzertifikaten im AD noch nicht auseinander gesetzt.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 417705
Url: https://administrator.de/forum/absicherung-internes-firmennetzwerk-417705.html
Ausgedruckt am: 22.12.2024 um 01:12 Uhr
7 Kommentare
Neuester Kommentar
Hallo Banane,
wenn ihr sowieso die Sophos habt - schliesst daran den Radius auth an und lasst das darüber laufen, funktioniert ordentlich und sauber. Ob die Ruckus mitspielen ist jetzt die Frage. Ich hab bisher entweder die Sophos oder die Ruckus im EInsatz gehabt.
Viele Grüße,
Christian
Nebenbei, die Notebooks würde ich nochmals in ein getrenntes VLAN Packen...Für die Gäste gibt es Gästenetze.
wenn ihr sowieso die Sophos habt - schliesst daran den Radius auth an und lasst das darüber laufen, funktioniert ordentlich und sauber. Ob die Ruckus mitspielen ist jetzt die Frage. Ich hab bisher entweder die Sophos oder die Ruckus im EInsatz gehabt.
Viele Grüße,
Christian
Nebenbei, die Notebooks würde ich nochmals in ein getrenntes VLAN Packen...Für die Gäste gibt es Gästenetze.
Hey,
was du suchst ist ein NAC-System ("Network Access Control"). Du hast hier verschiedene Möglichkeiten:
1) kostenlos mit Windows-Bordmitteln "Windows NPS"
pro: kostenlos, gui, gut dokumentiert im Internet
con: sehr eingeschränkte protokollierung, kein device-profiling
2) kostenlos mit OpenSource "PacketFence"
erweiterte Features teilweise wie kostenpflichtige Produkte, aber hoher Konfigurations-und -Einrichtungsaufwand
3) kostenpflichtig z.B. MacMon, HPE ClearPass
pro: erweiterte Features, wie z.B. device-Profiling - hier wird beispielsweise auch bei Fallback-MAC-Authentifizierung anhand von diversen Infos wie z.B. DHCP-Fingerprint das Gerät kategorisiert und bei Konflikten beispielsweise der Port deaktiviert. Angenommen ein schlauer Mitarbeiter steckt seinen privaten Laptop mit der gespooften MAC eines Druckers an den Switchport an.
con: $$$
Wir sind vor kurzem von Windows NPS auf HPE ClearPass gewechselt mit 500 devices und sind positiv überrascht von der Administrierbarkeit und den Features. Das Produkt wird z.B. auf r/networking immer wieder als Referenz genannt. ClearPass ist übrigens Herstellerunabhängig und bringt div. RADIUS-Dictionaries für HPE, Cisco, etc. mit bzw. können nachträglich importiert werden.
Leider hat sich seit 1.1. die ClearPass-Lizenzierung geändert und ist nun teurer geworden, da die Marktpreise für NAC-Systeme stark angezogen haben.
Gruß
was du suchst ist ein NAC-System ("Network Access Control"). Du hast hier verschiedene Möglichkeiten:
1) kostenlos mit Windows-Bordmitteln "Windows NPS"
pro: kostenlos, gui, gut dokumentiert im Internet
con: sehr eingeschränkte protokollierung, kein device-profiling
2) kostenlos mit OpenSource "PacketFence"
erweiterte Features teilweise wie kostenpflichtige Produkte, aber hoher Konfigurations-und -Einrichtungsaufwand
3) kostenpflichtig z.B. MacMon, HPE ClearPass
pro: erweiterte Features, wie z.B. device-Profiling - hier wird beispielsweise auch bei Fallback-MAC-Authentifizierung anhand von diversen Infos wie z.B. DHCP-Fingerprint das Gerät kategorisiert und bei Konflikten beispielsweise der Port deaktiviert. Angenommen ein schlauer Mitarbeiter steckt seinen privaten Laptop mit der gespooften MAC eines Druckers an den Switchport an.
con: $$$
Wir sind vor kurzem von Windows NPS auf HPE ClearPass gewechselt mit 500 devices und sind positiv überrascht von der Administrierbarkeit und den Features. Das Produkt wird z.B. auf r/networking immer wieder als Referenz genannt. ClearPass ist übrigens Herstellerunabhängig und bringt div. RADIUS-Dictionaries für HPE, Cisco, etc. mit bzw. können nachträglich importiert werden.
Leider hat sich seit 1.1. die ClearPass-Lizenzierung geändert und ist nun teurer geworden, da die Marktpreise für NAC-Systeme stark angezogen haben.
Gruß
Hey,
Er setzt bereits das bessere Produkt (Ruckus-AP mit dem passenden Controller) ein, auf dem er RADIUS, VLANs etc. zentral konfigurieren kann; die Sophos unterstützt als WLAN-Controller nur Sophos APs und ist vom Featureset gegenüber Ruckus deutlich eingeschränkter.
Gruß
Zitat von @certifiedit.net:
wenn ihr sowieso die Sophos habt - schliesst daran den Radius auth an und lasst das darüber laufen, funktioniert ordentlich und sauber. Ob die Ruckus mitspielen ist jetzt die Frage. Ich hab bisher entweder die Sophos oder die Ruckus im EInsatz gehabt.
wenn ihr sowieso die Sophos habt - schliesst daran den Radius auth an und lasst das darüber laufen, funktioniert ordentlich und sauber. Ob die Ruckus mitspielen ist jetzt die Frage. Ich hab bisher entweder die Sophos oder die Ruckus im EInsatz gehabt.
Er setzt bereits das bessere Produkt (Ruckus-AP mit dem passenden Controller) ein, auf dem er RADIUS, VLANs etc. zentral konfigurieren kann; die Sophos unterstützt als WLAN-Controller nur Sophos APs und ist vom Featureset gegenüber Ruckus deutlich eingeschränkter.
Gruß
Wie würdet ihr das Thema behandeln,
Jedenfalls nicht so wie das Systemhaus. Die wollen dir ja nur was verkaufen was du gar nicht benötigst.Das was du vorhast kannst du alles mit simplen Bordmitteln lösen.
Im Grunde ist es ja nur die Implementation von 802.1x Port Security. Sowohl die gesmate Ruckus Hardware als auch die ICXen supporten das von Haus aus.
Du benötigst lediglich einen Radius Server. Vermutlich hast du den auch schon wenn du eine Winblows Umgebung betreibst. Dort aktivierst du einfach den NPS (Microsoft Radius) hängst den mit ins AD und fertig ist der Lack. Das ist mit wenigen Handgriffen erledigt.
So könntest du schon mal eine Port Security mit den normalen Windows Credentials hinbekommen. Sogar die dynamsiche Zuweisung von VLANs ist damit problemlos möglich.
Die Grundlagen dazu behandelt dieses Tutorial:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Die Nutzung von Zertifikaten erfordert eine CA, die du vorher aufsetzen musst. Erfordert etwas mehr Vorplanung ist aber auch schnell gemacht wenn man weiss was man tut.
Das Pendant von Ruckus zu HPE Clearpass (Ist übrigens Aruba was HP sich nur dazugekauft hat !) heisst bei Ruckus "Cloudpath" https://www.ruckuswireless.com/products/smart-wireless-services/cloudpat ...
Es ist noch sehr viel mehr komfortabler und leistungsfähiger als die HPE Lösung. Das nur nebenbei, aber wie gesagt für eine erstmalige Umsetzung benötigst du das nicht zwingend.
Zusätzlich Geld ausgeben musst du bei deiner Hardware Ausstattung jedenfalls nicht ! Maximal etwas Dienstleistung sofern du das nicht selber umsetzen kannst.