banane31
Goto Top

Absicherung internes Firmennetzwerk

Guten Abend zusammen,

ich habe mir hier sämtliche Netzwerk Tutorials schon durch geschaut, komme aber Ad Hoc nicht weiter.

Kurzer IST-Zustand

Hauptstandort mit folgender Hardware
Sophos XG310 als Firewall
Extreme Networks VDX-6740 als Core (4 Stück, je 2 im Stack pro RZ)
Ruckus ICX-7150 Access Switche

VLAN für:
Interes LAN (Igel, Notebooks, Tower)
Drucker
Manageent
Server
Storage
etc,pp
WLAN "Intern" (Notebooks mit WLAN, Igels mit WLAN)
WLAN "Mobil" (nur Firmentelefone und Tablets die im MDM sind)
WLAN "Members" (MItarbeiter WLAN mit nur Internet Zugriff)

Wenn ich nun ein neues Notebook einrichte, welches ins WLAN "Intern" soll, so muss ich die MAC-Adresse derzeit am WLAN Controller (Ruckus SMartZone) pflegen und eine Zuordnung der MAC Adresse in einer Excel Liste mit dem Rechnernamen und Benutzer verwalten. [sehr umständlich für mich]

Einige Mitarbeiter haben auf ihrem Notebook Hyper-V auf W10 aktiv mit einer VM, wo die Kollegen Adminrechte haben, diese hängen derzeit zwangsläufig mit im internen Netz (da der "Host" ja im WLAN "intern" ist)

Nun bringt jemand ein wildfremdes Gerät mit und hängt sich an einen Netzwerkport und ist im internen Netz. Für mich ein NoGo aber die GF nimmt das nicht so ernst.

SOLL-Zustand
MAC-Filter auf dem WLAN Controller ablösen durch Zertifikatsauthentifzierung / Radius / 802.1X
Fremde Geräte erhalten keine IP vom Windows Server 2016 DCHP / Port am Switch wird abgeschaltet
Hyper-V VM's sollen nur ins internet kommen, die Notebooks (Hosts) jedoch ins interne Netz.

Unser primäreres Systemhaus, welche die Switche betreut hat uns MACMon ans Herz gelegt.
Hier bewegen wir uns aber bei ~12.000€ Anschaffungskosten zzgl. ~7.000€ jährlichen Kosten.
Ist der GF natürlich zu viel Geld ´, weil das braucht man ja nicht umbedingt.

Wie würdet ihr das Thema behandeln, Was für Tipps könnt ihr mir geben?
Habe mich mit RADIUS und Computerzertifikaten im AD noch nicht auseinander gesetzt.

Content-Key: 417705

Url: https://administrator.de/contentid/417705

Ausgedruckt am: 29.03.2024 um 12:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 14.02.2019 aktualisiert um 21:35:24 Uhr
Goto Top
Hallo Banane,

wenn ihr sowieso die Sophos habt - schliesst daran den Radius auth an und lasst das darüber laufen, funktioniert ordentlich und sauber. Ob die Ruckus mitspielen ist jetzt die Frage. Ich hab bisher entweder die Sophos oder die Ruckus im EInsatz gehabt.

Viele Grüße,

Christian

Nebenbei, die Notebooks würde ich nochmals in ein getrenntes VLAN Packen...Für die Gäste gibt es Gästenetze.
Mitglied: Rudbert
Rudbert 14.02.2019 um 21:41:25 Uhr
Goto Top
Hey,


was du suchst ist ein NAC-System ("Network Access Control"). Du hast hier verschiedene Möglichkeiten:

1) kostenlos mit Windows-Bordmitteln "Windows NPS"
pro: kostenlos, gui, gut dokumentiert im Internet
con: sehr eingeschränkte protokollierung, kein device-profiling

2) kostenlos mit OpenSource "PacketFence"
erweiterte Features teilweise wie kostenpflichtige Produkte, aber hoher Konfigurations-und -Einrichtungsaufwand

3) kostenpflichtig z.B. MacMon, HPE ClearPass
pro: erweiterte Features, wie z.B. device-Profiling - hier wird beispielsweise auch bei Fallback-MAC-Authentifizierung anhand von diversen Infos wie z.B. DHCP-Fingerprint das Gerät kategorisiert und bei Konflikten beispielsweise der Port deaktiviert. Angenommen ein schlauer Mitarbeiter steckt seinen privaten Laptop mit der gespooften MAC eines Druckers an den Switchport an.
con: $$$


Wir sind vor kurzem von Windows NPS auf HPE ClearPass gewechselt mit 500 devices und sind positiv überrascht von der Administrierbarkeit und den Features. Das Produkt wird z.B. auf r/networking immer wieder als Referenz genannt. ClearPass ist übrigens Herstellerunabhängig und bringt div. RADIUS-Dictionaries für HPE, Cisco, etc. mit bzw. können nachträglich importiert werden.

Leider hat sich seit 1.1. die ClearPass-Lizenzierung geändert und ist nun teurer geworden, da die Marktpreise für NAC-Systeme stark angezogen haben.


Gruß
Mitglied: Rudbert
Rudbert 14.02.2019 um 21:44:32 Uhr
Goto Top
Hey,

Zitat von @falscher-sperrstatus:
wenn ihr sowieso die Sophos habt - schliesst daran den Radius auth an und lasst das darüber laufen, funktioniert ordentlich und sauber. Ob die Ruckus mitspielen ist jetzt die Frage. Ich hab bisher entweder die Sophos oder die Ruckus im EInsatz gehabt.

Er setzt bereits das bessere Produkt (Ruckus-AP mit dem passenden Controller) ein, auf dem er RADIUS, VLANs etc. zentral konfigurieren kann; die Sophos unterstützt als WLAN-Controller nur Sophos APs und ist vom Featureset gegenüber Ruckus deutlich eingeschränkter.

Gruß
Mitglied: falscher-sperrstatus
falscher-sperrstatus 14.02.2019 um 22:09:00 Uhr
Goto Top
Ich seh gerade, über die APs hat er gar nichts geschrieben. Und wenn er das bessere Produkt bereits hat, warum nutzt er es nicht?
Mitglied: aqui
aqui 15.02.2019 aktualisiert um 09:19:28 Uhr
Goto Top
Wie würdet ihr das Thema behandeln,
Jedenfalls nicht so wie das Systemhaus. Die wollen dir ja nur was verkaufen was du gar nicht benötigst.
Das was du vorhast kannst du alles mit simplen Bordmitteln lösen.
Im Grunde ist es ja nur die Implementation von 802.1x Port Security. Sowohl die gesmate Ruckus Hardware als auch die ICXen supporten das von Haus aus.
Du benötigst lediglich einen Radius Server. Vermutlich hast du den auch schon wenn du eine Winblows Umgebung betreibst. Dort aktivierst du einfach den NPS (Microsoft Radius) hängst den mit ins AD und fertig ist der Lack. Das ist mit wenigen Handgriffen erledigt.
So könntest du schon mal eine Port Security mit den normalen Windows Credentials hinbekommen. Sogar die dynamsiche Zuweisung von VLANs ist damit problemlos möglich.
Die Grundlagen dazu behandelt dieses Tutorial:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Die Nutzung von Zertifikaten erfordert eine CA, die du vorher aufsetzen musst. Erfordert etwas mehr Vorplanung ist aber auch schnell gemacht wenn man weiss was man tut.

Das Pendant von Ruckus zu HPE Clearpass (Ist übrigens Aruba was HP sich nur dazugekauft hat !) heisst bei Ruckus "Cloudpath" https://www.ruckuswireless.com/products/smart-wireless-services/cloudpat ...
Es ist noch sehr viel mehr komfortabler und leistungsfähiger als die HPE Lösung. Das nur nebenbei, aber wie gesagt für eine erstmalige Umsetzung benötigst du das nicht zwingend.

Zusätzlich Geld ausgeben musst du bei deiner Hardware Ausstattung jedenfalls nicht ! Maximal etwas Dienstleistung sofern du das nicht selber umsetzen kannst.
Mitglied: banane31
banane31 15.02.2019 um 09:18:52 Uhr
Goto Top
Guten Morgen,

vielen Dank für die zahlreichen Antworten.

Eine NAC-Lösung wird in der Tat gesucht, jedoch sind Lösungen wie MacMon, etc. aktuell Budget mäßig nicht drin. (Wie gesagt, die GF ist der Meinung, sowas wäre überflüssig und nur SchnickSchnack)

Derzeit im Einsatz sind Ruckus R510 AccessPoint, wobei in den Außenstellen derweilen jeweils eine Sophos XG115w hängt mit einem Sophos AP jeweils dran.
Ein RADIUS Server unter Windows wird bereits für das Mitarbeiter WLAN betrieben, sodass die Kollegen sich mit ihrem AD-User anmelden können. VLAN's müssen auf dem WLAN Controller nicht konfiguriert werden, da die Basis hierfür steht.
Der Controller ist im Management VLAN inkl. der AccessPoint, an den AP Ports sind alle VLAN's tagged zugewiesen.

Wir sprechen hier im groben und ganzen von folgender Umgebung:

Hauptstandort: 140 Igel Thin Clients, 50 Notebooks, 40 iPads, 56 Firmen Telefone, 7 Workstations, 48 Druckern, 12 Beamer, 140 Telefone [ca. 180 Mitarbeiter]
Außenstelle 1: 10 Igel Thin Clients, 2 Notebooks, 2 iPads, 2 Firmen Telefone, 2 Drucker, 1 Beamer, 10 Telefone [ca. 12 Mitarbeiter]
Außenstelle 2: 2 Igel Thin Clients, 1 Notebook, 1 Firmen Telefon, 2 Drucker, 2 Telefone [ca. 3 Mitarbeiter]
Außenstelle 3: 25 Igel Thin Clients, 3 Notebooks, 2 Firmen Telefon, 5 Drucker, 24 Telefone [ca. 30 Mitarbeiter]
Außenstelle 4: 2 Igel Thin Clients, 1 Drucker, 2 Telefone [2 Mitarbeiter]
Außenstelle 5: 25 Igel Thin Clients, 3 Notebooks, 2 Firmen Telefon, 5 Drucker, 26 Telefone [ca. 30 Mitarbeiter]

Die Standorte sind derzeit via MPLS Dienstleister verbunden, was in Zukunft aber durch die Sophos und jeweils einer Telekom Leitung selber erfolgen soll.

Nach grober Hochrechnung sind in unserem Gesamten Firmennetzwerk (10.0.0.0/8 - Pro Standort 10.X.0.0/16) ca. 1500 Netzwerkgeräte
inkl. Server, Storage, Switche, Router, Firewall, Gast Netzwerk, Mitarbeiter WLAN, intern LAN, Drucker, Beamer, Raspis, etc.

Ich möchte von dem pflegen von MAC Listen weg, da es einfach nur Zeit frisst und viel zu Fehleranfällig ist.

Wünschenswert sind folgende Eckpunkte:

- verlorene Geräte / ausgetretene Mitarbeiter können direkt gesperrt werden. [Mit MAC Filter muss ich erstmal suchen, was das fürn Gerät war, mit welcher MAC....)
- Shutdown von Switchport oder ändern der VLAN ID auf VLAN1, sobald ein "fremdes Gerät" gesteckt wird
- Einfache Administration und Einbindung von neuen Netzwerkgeräten
- kostengünstig oder mit vorhandener Hardware
- zukunftssicher und Bekanntheitsgrad am Markt (keine Bastellösung)

-Die ICX-7150 Switche wurden erst vor wenigen Wochen getauscht.
In den Außenstandorten sind trotz dessen teilweise noch alte 3Com 10 MBit Gurken im Einsatz. Hier müsse nochmal ca. 12x 24/48 Port ICX-7150 beschafft werden.
-Die Sophos Firewall soll im HA Verbund laufen, hier muss noch ne 2. XG310 gekauft werden
-E-Mailgateway / S/MIME Verschlüsselung sollen nicht mehr über Dienstleister laufen, sondern lokal (hier wird noch eine Lösung gesucht)


Wie man rauslesen kann steckt das hier alles in den Kinderschuhen und teilweise verlaufen Sachen im Sande. (Wir sitzen hier mit 2 Mann für die gesamte Umgebung)
Mitglied: aqui
aqui 15.02.2019 um 09:22:21 Uhr
Goto Top
jedoch sind Lösungen wie MacMon, etc. aktuell Budget mäßig nicht drin.
In dem Falle hat die GSL auch Recht. Ist überflüssig, denn bei euch ist alles vorhanden das auch ohne diesen "SchnickSchnack" problemlos umzusetzen. Siehe oben...