blind3d
Goto Top

Globale port-security oder wie verhindere ich, dass Externe sich ans Netz hängen dürfen?

Moin Leute,

ich grüble gerade darüber nach wie ich verhindern kann, dass sich in unserem Unternehmen jemand einfach so ans Netzhängen kann und mit IP-Adresse usw versorgt wird, obwohl er nicht zur Domäne gehört.
Habe jetzt von MAC Filtern und port-security gelesen.. das Problem der port-security sehe ich darin, dass der administrative Aufwand sehr hoch ist, da ich sie ja immer nur pro Port anwenden kann, was bei über 400 Geräten doch etwas lästig wäre..
Der MAC - Filter erscheint mir in diesem Fall schon sinnvoller, aber ich weiß leider noch nciht so ganz wie er funktioniert.. ich würde es ja im Packet Tracer testen, doch leider gibt der diese Funktion nicht her...
Ich erstelle also über mac access-list extended "blockMAC" die Liste "blockMAC", in der ich dann folgende Optionen habe:

deny
permit
no
default

Interessant sind ja für mich nur deny und permit...
Beginne ich jetzt mit permit müsste das command folgendermaßen aussehen..

permit <MAC> <MAC> any
permit <MAC> <MAC> host <MAC> ....
permit <MAC> <MAC> <MAC> <MAC> ....

leider versteh ich das überhaupt nicht =S ist zwar ähnlich den ACLs, aber irgendwie steig ich da nicht durch.. besonders den letzten Eintrag nicht. Was tut was? Und wieso gebe ich immer 2 MACs an? Ist es auch möglich eine Range anzugeben?

Gibt es noch eine andere Möglichkeit firmenfremde Clients auszusperren? Z.b. Nicht-Domänen-Rechnern DHCP verweigern o.ä.?

Danke

blinded

Content-ID: 134966

Url: https://administrator.de/forum/globale-port-security-oder-wie-verhindere-ich-dass-externe-sich-ans-netz-haengen-duerfen-134966.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

Maik87
Maik87 02.02.2010 um 14:41:57 Uhr
Goto Top
Hey,

ich kann nicht direkt was zum Beitrag sagen. Ich weiß aber, dass du den DHCP auf einzelne MACs programmieren kannst. So, dass bestimmte MACs eine feste IP haben, bestimmte Einstellungen die andere nicht haben, keine IP bekommen etc... Ist also pro MAC individuell konfigurierbar.
Slejar
Slejar 02.02.2010 um 14:54:55 Uhr
Goto Top
Hallo!

Vielleicht mit 802.1X...

LG,
Bernd
Bright
Bright 02.02.2010 um 15:46:54 Uhr
Goto Top
bin auch für 802.1X

aufwand auf den Switchen und dem Radius ist eigentlich egal ob MAC oder z.B. PEAP oder EAP-TLS
wenn du nur Windows Rechner hast ist das auch sehr einfach über GPO zu verteilen

Problem sind eher dann Geräte wie Drucker, Zeiterfassung, Telefone....
aqui
aqui 02.02.2010, aktualisiert am 18.10.2012 um 18:41:02 Uhr
Goto Top
Das mit statischer DHCP ist natürlich Unsinn, denn es verhindert nicht das sich jemand statisch eine IP vergibt und dann fröhlich sich im Netz bewegt...vergiss das also.
Port Security wäre ein Weg, denn der lässt nur bestimmte Macs an bestimmten Ports ins Netz. Die meisten besseren Switches lernen diese Macs selbstständig heutzutage so das die Umsetzung sehr einfach ist.
Das Problem ist aber du musst erlaubte von unerlaubten Macs unterscheiden...und da liegt der Teufel im Detail, denn das kann diese Port Security nicht. Das weitere Problem sind Umzüge, denn du musst an jedem einzelnen Switch und einzelnen Port dies Mac wieder freigeben.
Fazit: Auch vergessen...sowas ist was für kleine Büros oder Mininetze die auf die schnelle etwas statische Security wollen.

Der richtige Weg ist in der Tat Mac Adress Authentifizierung mit 802.1x. Das kannst du global mit einem Kommando einschalten und dann sind die Ports per se zu. Der Switch forwardet jede Mac Adresse die er am Port sieht an einen zentralen Radius Server und prüft diese.
Ist sie erlaubt wandert diese Mac in die Mac Forwarding Database und der Client kann arbeiten.
Ist sie nicht erlaubt hast du 2 Möglichkeiten:
1.) Der Client wird dynamisch in ein isoliertes VLAN (Gummizellen LAN) gelegt wo er über ein zentrales Captive_Portal sich authentisieren muss. So fackelst du z.B. Gäste ab mit Temporärpasswörtern fürs CP.
2.) Der Client wird schlicht und einfach geblockt und bekommt keinen Zugang.

Mac Authentifizierung supporten heutzutage auch schon billige Consumer Switches. Den Radius hast du wenn du eine Domäne betreibst ja immer frei Haus dabei mit dem AD und dem Microsoft IAS so das sich so ein Szeanrio mit ein paar Mausklicks installieren lässt.
Willst du es getrennt betreiben, dann kannst du z.B. einen Freeradius auf einem alten ausrangierten PC verwenden. Dieser Thread sagt dir wie man es umsetzt:
Fragen zu NAS, Radius und verschiedenen Authentifizierungsmöglichkeiten
Usernamen und Passwort ersetzt man in der Konfig dann simpel durch die Client MAC Adresse.
Drucker, Zeiterfassung und Telefone haben ja auch alle eine Mac Adresse so das das dann im Gegensatz zur (falschen) Aussage von oben natürlich keinerlei Probleme bereitet, denn mit der Mac bist du unabhängig von Hardware, Software, Betriebsystem usw.
Mac Adressen pflegst du ein einziges Mal zentral so das das auch vom Admin Aufwand minimal ist.
So setzt man sowas um...
Bright
Bright 03.02.2010 um 08:24:42 Uhr
Goto Top
Drucker, Zeiterfassung und Telefone haben ja auch alle eine Mac Adresse so das das dann im Gegensatz zur (falschen) Aussage von
oben natürlich keinerlei Probleme bereitet, denn mit der Mac bist du unabhängig von Hardware, Software, Betriebsystem
usw.
Mac Adressen pflegst du ein einziges Mal zentral so das das auch vom Admin Aufwand minimal ist.
So setzt man sowas um...

Das "Problem" bezog sich nur auf die Automatische verteilung per AD und GPO
somit ist meine aussage *keine* Falschaussage

natürlich kann man alles mit MAC Authentifizieren
doch wenn sich wirklich jemand Zugriff zum Netzwerk verschaffen möchte ist die MAC Authentifizierung mit Abstand die Unsicherste
ich hab in 2 Minuten die MAC eines anderen Gerätes auf meiner NIC eingestellt und die ganze Security ausgehebelt
...so sollte man es eigentlich nicht umsetzen...

abhilfe schafft hier nur z.B. EAP-TLS (sind Maschinen-Zertifikate, setzt allerdings eine CA vorraus) oder z.B. PEAP (Benutzername/Passwort) um mal ein paar zu nennen
das erhöht den Aufwand für den Zugriff auf ein Netzwerk schon ungemein

wenn man es richtig macht muss man alle Geräte, die 802.1X unterstützen auch als solche umstellen
nur bei Geräten bei denen 802.1X definitiv nicht möglich ist bleibt als einzige Lösung MAC Authentifizierung
Maik87
Maik87 03.02.2010 um 09:56:07 Uhr
Goto Top
Zitat von @aqui:
Das mit statischer DHCP ist natürlich Unsinn, denn es verhindert nicht das sich jemand statisch eine IP vergibt und dann
fröhlich sich im Netz bewegt...vergiss das also.


Zitat von @blind3d:
Gibt es noch eine andere Möglichkeit firmenfremde Clients auszusperren? Z.b. [b]Nicht-Domänen-Rechnern DHCP verweigern o.ä.?[/b]


Mehr wollte ich damit garnicht sagen, als auf den letzten Satz eingehen!! Also nicht falsch face-wink
aqui
aqui 03.02.2010 um 13:22:53 Uhr
Goto Top
Doch falsch, denn das verhindert nicht, ums nochmal zu wiederholen, die statische IP Vergabe eines Eindringlings. Damit kann er sich dann fröhlich im Netz bewegen...aber egal...

@Bright
Du hast natürlich zweifelsohne Recht mit der Mac Authentifizierung. Allerdings ist das dennoch schon eine recht große Hürde an denen 98% aller unbedarften Besucher oder nicht registrierten Gäste usw. scheitern da sie einfach schlicht nicht wissen wie man sowas macht geschweige denn die Ursache kennen. Ferner ist diese Art der Sicherung schnell und leicht zu implementieren und zu administrieren für blind3d um einen schnellen Schutz zu bekommen.
Klar die 2% Freaks die mit customizter Mac Adresse dennoch reinkommen reicht es nicht ganz. Dazu müssen sie aber erstmal an eine gültige Mac kommen was ja auch nicht gerade einfach ist.
Volles 802.1x mit Username Passowrt oder die auch mögliche Kombination mit der Mac Auth. ist da auch nicht wasserdicht, denn dann lobt er die Sekretärin (nichts gegen den Berufsstand, ist nur ein Beispiel !) bringt ihr ne Flasche Parfum mit und fragt sie ob sie ihm mal schnell ihr Login geben kann damit er nur schnell mal was nachsieht.....
Den Faktor Mensch schaltest du mir noch so großem Aufwand nicht ganz aus....
<edit> Zertifikate sind damit dann in der Tat der sicherste Weg !!</edit>
Bright
Bright 03.02.2010 um 13:38:37 Uhr
Goto Top
Den Faktor Mensch schaltest du mir noch so großem Aufwand nicht ganz aus....

minimieren lässt sich das noch durch EAP-TLS
gut, der Aufwand sich als Admin mit Zertifikaten rumzuschlagen ist schon um einiges höher
aber Zertifikate kann (je nach Richtlinie) nicht mal schnell die Sekretärin ausstellen
und trotzdem kann ich jedes Geräte eindeutig identifizieren, ohne dass sich der User mit Username/Kennwort rumschlagen muss
hier spielt aber wie schon gesagt der Aufwand und noch viel wichtiger die eingesetzte Hardware eine große Rolle
EAP-TLS hilft mir auch nicht viel wenn es meine Geräte nicht können...

aber ansonsten stimm ich dir voll und ganz zu
blind3d
blind3d 03.02.2010 um 14:20:00 Uhr
Goto Top
Ich dank Euch erstmal für guten Anregungen. Mit meinem gefährlichen Halbwissen lasse ich das denke ich aber lieber in externe Hände wandern.. sowas allein zu realisieren ohne Doku oder Tutorial ist ganz schön happig, denk ich. Es mag leicht zu implementieren sein, aber man muss ja auch wissen wie.. Und dafür ne Testumgebung zu realisieren ist auch nicht leicht :/
aqui
aqui 03.02.2010 um 16:02:58 Uhr
Goto Top
Doch, das ist sehr leicht: Einfach einen ollen PC nehmen eine Linux Live CD (z.B. Knoppix) dafür brennen und booten. Freeradius darauf aktivieren und einstprechend mit ein paar Zeilen konfigurieren. Einen Switch nehmen, Client ranhängen...austesten.
Das schafft man in nicht mal 30 Minuten und kost nix !!
Wir können hier im Forum aber nicht beurteilen wie gut oder schlecht dein Halbwissen ist oder ob du überhaupt ein Halbwissen hast. Evtl. sind die o.a. 30 Minuten schon zu kompliziert für dich, dann solltest du wirklich jemand damit beauftragen der weiss was er tut.

Wie kann ich einen Beitrag als gelöst markieren? ??