21
Kabel vom WLAN AP absichern
Hallo,
ich mache mir gerade Gedanken über einen Outdoor-WLAN-AP bei einem Kunden.
Wie kann man verhindern, dass Jemand dort einfach ein Notebook dran hängt und auf das interne LAN zugreifen kann?
Es handelt sich um einen einzelnen WLAN-AP ohne Controller oder Management.
Dieser hängt an einem Switch welcher das interne Netzwerk darstellt.
Per WLAN greifen 2 Tablets auf einen internen TS, verschiedene Smartphones auf Email und Internet und ca. 2-3 Mitarbeiter die mit Notebooks auf dem Server arbeiten.
Das Netzwerk ist flach. Es gibt keine Seperation in VLANs.
Auch gibt es keine Technik vor Ort dafür.
Mit einem anderen Switch könnte ich den Port mit der MAC-Adresse absichern.
Aber die steht auf dem AP drauf und jeder könnte die schnell in seiner NIC eintragen.
Filter sind, meiner Meinung, nach nicht möglich, da man per WLAN ja auf Server & Co zugreifen soll.
Einen WLAN AP in einem Metallkasten einsperren ist dem Empfang vermutlich nicht zuträglich.
Das Angriffsszenario wäre:
- Mikrotik hap
- MAC auf die vom aktuellen WLAN AP ändern
- SSID und Zugangsdaten beliebig eintragen
- Zugriff auf alles und Jeden
Was kann man sinnvolles tun?
Das Gelände ist Videoüberwacht aber Prinzipbedingt offen und recht weit draussen.
Man könnte dies vermutlich nachvollziehen aber nicht verhindern.
Vorschläge?
Danke
Stefan
ich mache mir gerade Gedanken über einen Outdoor-WLAN-AP bei einem Kunden.
Wie kann man verhindern, dass Jemand dort einfach ein Notebook dran hängt und auf das interne LAN zugreifen kann?
Es handelt sich um einen einzelnen WLAN-AP ohne Controller oder Management.
Dieser hängt an einem Switch welcher das interne Netzwerk darstellt.
Per WLAN greifen 2 Tablets auf einen internen TS, verschiedene Smartphones auf Email und Internet und ca. 2-3 Mitarbeiter die mit Notebooks auf dem Server arbeiten.
Das Netzwerk ist flach. Es gibt keine Seperation in VLANs.
Auch gibt es keine Technik vor Ort dafür.
Mit einem anderen Switch könnte ich den Port mit der MAC-Adresse absichern.
Aber die steht auf dem AP drauf und jeder könnte die schnell in seiner NIC eintragen.
Filter sind, meiner Meinung, nach nicht möglich, da man per WLAN ja auf Server & Co zugreifen soll.
Einen WLAN AP in einem Metallkasten einsperren ist dem Empfang vermutlich nicht zuträglich.
Das Angriffsszenario wäre:
- Mikrotik hap
- MAC auf die vom aktuellen WLAN AP ändern
- SSID und Zugangsdaten beliebig eintragen
- Zugriff auf alles und Jeden
Was kann man sinnvolles tun?
Das Gelände ist Videoüberwacht aber Prinzipbedingt offen und recht weit draussen.
Man könnte dies vermutlich nachvollziehen aber nicht verhindern.
Vorschläge?
Danke
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 378867
Url: https://administrator.de/contentid/378867
Printed on: April 25, 2024 at 13:04 o'clock
21 Comments
Latest comment
Hallo!
Ehrlich gesagt werden das alles ziemliche Bastellösungen.
Mein Vorschlag, wenn die Performance reicht:
Zweiter Mikrotik-Router auf der anderen Seite der Kabelstrecke und ein VPN
Alternativ:
"Physikalischer" Schutz (hoch hinhängen, Kasten drum rum, schauen, dass niemand ans Gerät kommt).
Phil
Ehrlich gesagt werden das alles ziemliche Bastellösungen.
Mein Vorschlag, wenn die Performance reicht:
Zweiter Mikrotik-Router auf der anderen Seite der Kabelstrecke und ein VPN
Alternativ:
"Physikalischer" Schutz (hoch hinhängen, Kasten drum rum, schauen, dass niemand ans Gerät kommt).
Phil
Mir fällt da spontan Heißkleber ein.
1
Moin Stefan,
die schöne Lösung wäre SoE (Stromzaun over Ethernet). Der Funktion des APs aber langfristig eher nicht zuträglich. MAC-Filter wäre da schon passender. Besteht die Möglichkeit, dass man die MAC vom AP entfernt (wegkratzen)?
Anderer Lösungsansatz: Den AP so positionieren, dass da keiner ohne schweres Gerät rankommt. Sprich recht weit oben oder an der Decke montieren, sodass keiner einfach so das Netzwerkkabel ausstecken kann.
lG MOS
die schöne Lösung wäre SoE (Stromzaun over Ethernet). Der Funktion des APs aber langfristig eher nicht zuträglich. MAC-Filter wäre da schon passender. Besteht die Möglichkeit, dass man die MAC vom AP entfernt (wegkratzen)?
Anderer Lösungsansatz: Den AP so positionieren, dass da keiner ohne schweres Gerät rankommt. Sprich recht weit oben oder an der Decke montieren, sodass keiner einfach so das Netzwerkkabel ausstecken kann.
lG MOS
Zitat von @StefanKittel:
Hallo,
ich mache mir gerade Gedanken über einen Outdoor-WLAN-AP bei einem Kunden.
Wie kann man verhindern, dass Jemand dort einfach ein Notebook dran hängt und auf das interne LAN zugreifen kann?
Es handelt sich um einen einzelnen WLAN-AP ohne Controller oder Management.
Dieser hängt an einem Switch welcher das interne Netzwerk darstellt.
Per WLAN greifen 2 Tablets auf einen internen TS, verschiedene Smartphones auf Email und Internet und ca. 2-3 Mitarbeiter die mit Notebooks auf dem Server arbeiten.
Das Netzwerk ist flach. Es gibt keine Seperation in VLANs.
Auch gibt es keine Technik vor Ort dafür.
Mit einem anderen Switch könnte ich den Port mit der MAC-Adresse absichern.
Aber die steht auf dem AP drauf und jeder könnte die schnell in seiner NIC eintragen.
Filter sind, meiner Meinung, nach nicht möglich, da man per WLAN ja auf Server & Co zugreifen soll.
Einen WLAN AP in einem Metallkasten einsperren ist dem Empfang vermutlich nicht zuträglich.
Das Angriffsszenario wäre:
- Mikrotik hap
- MAC auf die vom aktuellen WLAN AP ändern
- SSID und Zugangsdaten beliebig eintragen
- Zugriff auf alles und Jeden
Was kann man sinnvolles tun?
Das Gelände ist Videoüberwacht aber Prinzipbedingt offen und recht weit draussen.
Man könnte dies vermutlich nachvollziehen aber nicht verhindern.
Vorschläge?
Danke
Stefan
Moin,Hallo,
ich mache mir gerade Gedanken über einen Outdoor-WLAN-AP bei einem Kunden.
Wie kann man verhindern, dass Jemand dort einfach ein Notebook dran hängt und auf das interne LAN zugreifen kann?
Es handelt sich um einen einzelnen WLAN-AP ohne Controller oder Management.
Dieser hängt an einem Switch welcher das interne Netzwerk darstellt.
Per WLAN greifen 2 Tablets auf einen internen TS, verschiedene Smartphones auf Email und Internet und ca. 2-3 Mitarbeiter die mit Notebooks auf dem Server arbeiten.
Das Netzwerk ist flach. Es gibt keine Seperation in VLANs.
Auch gibt es keine Technik vor Ort dafür.
Mit einem anderen Switch könnte ich den Port mit der MAC-Adresse absichern.
Aber die steht auf dem AP drauf und jeder könnte die schnell in seiner NIC eintragen.
Filter sind, meiner Meinung, nach nicht möglich, da man per WLAN ja auf Server & Co zugreifen soll.
Einen WLAN AP in einem Metallkasten einsperren ist dem Empfang vermutlich nicht zuträglich.
Das Angriffsszenario wäre:
- Mikrotik hap
- MAC auf die vom aktuellen WLAN AP ändern
- SSID und Zugangsdaten beliebig eintragen
- Zugriff auf alles und Jeden
Was kann man sinnvolles tun?
Das Gelände ist Videoüberwacht aber Prinzipbedingt offen und recht weit draussen.
Man könnte dies vermutlich nachvollziehen aber nicht verhindern.
Vorschläge?
Danke
Stefan
es gibt Patchkabelschlösser: Hier
Gruß, V
P.S. Sorry. grad beim o.g. Anbieter nicht verfügbar. Aber gibt es ja auch woanders ;)
Hallo,
Zum Thema externe AP's. Habe da meist 2 Lösungen bevorzugt. Entweder die Ap's in eine abschließbare Box und möglichst hoch gesetzt, oder die AP's indoor vebaut und die Antennen nach Außen gelegt.
Abgesichert mit MAC-Adressenfilter, Firewall und natürlich WPA2.
Gruss Michael
Zum Thema externe AP's. Habe da meist 2 Lösungen bevorzugt. Entweder die Ap's in eine abschließbare Box und möglichst hoch gesetzt, oder die AP's indoor vebaut und die Antennen nach Außen gelegt.
Abgesichert mit MAC-Adressenfilter, Firewall und natürlich WPA2.
Gruss Michael
Wie kann man verhindern, dass Jemand dort einfach ein Notebook dran hängt und auf das interne LAN zugreifen kann?
Das ist kinderleicht !Es gibt 3 Optionen:
- Statische Port Security über den Switch. (Switch lässt nur statisch definierte Mac dort zu. wie du aber selber sagst nicht wirklich sicher. Mindestens den Mac Aufkleber sollte zwingend unleswrlich machen am AP oder abziehen !)
- Port Security mit 802.1x und Mac Passthrough. Mac wird über einen Radius Server verifiziert. (Gleiches Problem wie oben)
- Port Security mit 802.1x Username und Passwort oder Zertifikat. (Sehr sicher, aber AP muss das supporten und einen .1x Client an Bord haben, Switch muss .1x fähig sein)
Das Netzwerk ist flach. Es gibt keine Seperation in VLANs.
Tödlich, wenn man ein WLAN betreibt. Das WLAN sollte logischerweise aus gutem Grund IMMER von Produktiv Netzen (LAN) getrennt sein !Filter sind, meiner Meinung, nach nicht möglich
Doch sind möglich sofern der Switch sowas supportet. Mit einem ungemanagten Blödmarkt Switch wirst du da natürlich nix, das ist klar.Das Angriffsszenario wäre:
MAC auf die vom aktuellen WLAN AP ändern
Scheitert schon ansatzweise, da dazu der Username und Passwort für den Setup Zugang dem Angreifer bekannt sein mussMAC auf die vom aktuellen WLAN AP ändern
SSID und Zugangsdaten beliebig eintragen
Scheitert auch schon wieder sofort, da dazu wieder der Username und Passwort für den Setup Zugang dem Angreifer bekannt sein muss.Bedrohung ist dann nur das jemand den AP abzieht und seinen Laptop oder Schnüffelraspi oder was auch immer an den LAN Port dort steckt. In einen flachen Netz ohne jegliche Port Security ist das dann der Super GAU natürlich !!
Lösung wäre sicher eine Kombination der oben genannten Dinge.
- Mac Aufkleber unleserlich machen
- Mac Sicherung des AP entweder statisch oder via Radius
- Wenn Deckenplatten vorhanden AP darunter positioneren oder einfach auf die Deckenplatten legen. Das ist meist billiges Rigips und kein Hindernis für den 2,4 Ghz und 5 Ghz Bereich.
WLAN birgt aber letztlich immer ein Restrisiko, deshalb der zwingende Rat WLAN Segmente IMMER von Kabel LANs trennen !!
Hallo,
VLAN und die Intelligenz des APs sollte entsprechend darauf eingerichtet sein. Für alles weitere gibt es eben kein Durchkommen - so, oder so.
Hab ich es überlesen, oder hast du kein Produktnamen genannt?
Viele Grüße,
Christian
VLAN und die Intelligenz des APs sollte entsprechend darauf eingerichtet sein. Für alles weitere gibt es eben kein Durchkommen - so, oder so.
Hab ich es überlesen, oder hast du kein Produktnamen genannt?
Viele Grüße,
Christian
oder hast du kein Produktnamen genannt?
Doch hat er ! = - Mikrotik hapDer kann das natürlich alles...
Hallo,
bitte bei der ganzen Überlegung nicht nur den AP gegen Zugriff absichern... (hoch hängen, im Zwischenboden Verschwinden lassen, MAC Adresse abkratzen...)
Das nützt alles nur bedingt wenn der Switch in der Besenkammer steht und jeder dran kommt.
Beim AP kann man noch den Weg gehen, diesen in einen Stahl Gehäuse und die Antennen nach außen durchführen....
brammer
bitte bei der ganzen Überlegung nicht nur den AP gegen Zugriff absichern... (hoch hängen, im Zwischenboden Verschwinden lassen, MAC Adresse abkratzen...)
Das nützt alles nur bedingt wenn der Switch in der Besenkammer steht und jeder dran kommt.
Beim AP kann man noch den Weg gehen, diesen in einen Stahl Gehäuse und die Antennen nach außen durchführen....
brammer
...oder besser gleich einen Outdoor AP nehmen der das alles schon an Bord hat.
Hoch hängen und dafür sorgen, das keine Leiter bereit steht.
Oder LAN Buchse auslöten und Kabel direkt auflöten. Dann braucht derjenige mindestens einen Lötkolben und Zeit.
Oder LAN Buchse auslöten und Kabel direkt auflöten. Dann braucht derjenige mindestens einen Lötkolben und Zeit.
Hallo.
Sicherlich sollte niemand Unbefugtes ins interne LAN hineinkommen.
Ich überlege aber gerade, was bei uns passieren würde, wenn ein Unbefugter das interne Netzwerk browsen könnte. Und die Antwort ist einfach: Er kriegt überall Zugriff verweigert, wenn er nicht über die richtigen Credentials zum Zugriff verfügt. Dazu muß natürlich hinsichtlich Share- und NTFS-Berechtigungen alles zu hundert Prozent sitzen. Bei uns ist das wasserdicht. Der Angreifer steht dann zwar mit beiden Beinen im Hausflur, aber alle Türen zu den Zimmern sind doppelt verriegelt.
Viele Grüße
von
departure69
Dieser hängt an einem Switch welcher das interne Netzwerk darstellt.
Sicherlich sollte niemand Unbefugtes ins interne LAN hineinkommen.
Ich überlege aber gerade, was bei uns passieren würde, wenn ein Unbefugter das interne Netzwerk browsen könnte. Und die Antwort ist einfach: Er kriegt überall Zugriff verweigert, wenn er nicht über die richtigen Credentials zum Zugriff verfügt. Dazu muß natürlich hinsichtlich Share- und NTFS-Berechtigungen alles zu hundert Prozent sitzen. Bei uns ist das wasserdicht. Der Angreifer steht dann zwar mit beiden Beinen im Hausflur, aber alle Türen zu den Zimmern sind doppelt verriegelt.
Viele Grüße
von
departure69
Zitat von @departure69:
Hallo.
Sicherlich sollte niemand Unbefugtes ins interne LAN hineinkommen.
Ich überlege aber gerade, was bei uns passieren würde, wenn ein Unbefugter das interne Netzwerk browsen könnte. Und die Antwort ist einfach: Er kriegt überall Zugriff verweigert, wenn er nicht über die richtigen Credentials zum Zugriff verfügt. Dazu muß natürlich hinsichtlich Share- und NTFS-Berechtigungen alles zu hundert Prozent sitzen. Bei uns ist das wasserdicht. Der Angreifer steht dann zwar im Hausflur, aber alle Türen zu den Zimmern sind doppelt verriegelt.
Viele Grüße
von
departure69
Hallo.
Dieser hängt an einem Switch welcher das interne Netzwerk darstellt.
Sicherlich sollte niemand Unbefugtes ins interne LAN hineinkommen.
Ich überlege aber gerade, was bei uns passieren würde, wenn ein Unbefugter das interne Netzwerk browsen könnte. Und die Antwort ist einfach: Er kriegt überall Zugriff verweigert, wenn er nicht über die richtigen Credentials zum Zugriff verfügt. Dazu muß natürlich hinsichtlich Share- und NTFS-Berechtigungen alles zu hundert Prozent sitzen. Bei uns ist das wasserdicht. Der Angreifer steht dann zwar im Hausflur, aber alle Türen zu den Zimmern sind doppelt verriegelt.
Viele Grüße
von
departure69
und mit dem nächsten Zero Day schlägt er die Türen einfach ein und weil der Hausbesitzer meint, er sei sicher und der Nachbar denkt, dass das wohl nur der Hausbesitzer sei, der etwas wütet, wird nichts dagegen unternommen. Natürlich elementar, dass es das auch gibt - aber sich darauf verlassen würde ich mich nicht.
Viele Grüße,
Christian
und warum nicht absichern der Clients über IEEE 802.1X mit Zertifikaten?
Grüße
lcer
Grüße
lcer
Jeder bekommt halt das wofür er bezahlt 
Billig Technik bringt nun mal "gewisse" Nachteile mit sich.
Meine Empfehlung war nun auch das Ding innen an die Wand zu schrauben.
Aber jemand fand, dass das Kabel so nicht schön aussehen würde.
Was mir gerade so durch den Kopf geht.
Eine ganz einfache und effektive Lösung wäre: Sobald der Link weg ist, schaltet der Switch den Port vollständig und dauerhaft aus.
Er müßte dann manuell in der Konfiguration wieder aktiviert werden.
Kann man so etwas mit einem Mikrotik und einem Script realisieren?
Sei es per Event (port down) oder script alle 100ms.
Hat da zufällig Jemand ein howto zu Hand?
Sonst wühle ich mich mal durch das Wiki von denen (https://wiki.mikrotik.com/wiki/Manual:Scripting).
Stefan
Billig Technik bringt nun mal "gewisse" Nachteile mit sich.
Meine Empfehlung war nun auch das Ding innen an die Wand zu schrauben.
Aber jemand fand, dass das Kabel so nicht schön aussehen würde.
Was mir gerade so durch den Kopf geht.
Eine ganz einfache und effektive Lösung wäre: Sobald der Link weg ist, schaltet der Switch den Port vollständig und dauerhaft aus.
Er müßte dann manuell in der Konfiguration wieder aktiviert werden.
Kann man so etwas mit einem Mikrotik und einem Script realisieren?
Sei es per Event (port down) oder script alle 100ms.
Hat da zufällig Jemand ein howto zu Hand?
Sonst wühle ich mich mal durch das Wiki von denen (https://wiki.mikrotik.com/wiki/Manual:Scripting).
Stefan
Hm, gute Idee, aber was passiert, wenn der AP mal kurz stromlos ist? Entweder müsste dann ein kundiger Mitarbeiter den Switchport freischalten oder den ITler kommen lassen...
LG MOS
LG MOS
Zitat von @MOS6581:
Hm, gute Idee, aber was passiert, wenn der AP mal kurz stromlos ist? Entweder müsste dann ein kundiger Mitarbeiter den Switchport freischalten oder den ITler kommen lassen...
Ja, das fällt dann unter die "gewissen Nachteile".Hm, gute Idee, aber was passiert, wenn der AP mal kurz stromlos ist? Entweder müsste dann ein kundiger Mitarbeiter den Switchport freischalten oder den ITler kommen lassen...
Der AP ist PoE.
Also ganz kleine USV für AP und Switch.
Hi,
1. Nimm ein AP mit externen Antennen. Die externe Antennen schraubst du an die Wand außen.
2. Alle APs kommen in ein AP-Management VLAN. Aus dem VLAN gibt es kein Zugang zum Hausnetz oder Internet. Das heißt APs taggen WLAN in das Hausnetz haben aber selbst kein Zugriff in das Hausnetz.
MfG
1. Nimm ein AP mit externen Antennen. Die externe Antennen schraubst du an die Wand außen.
2. Alle APs kommen in ein AP-Management VLAN. Aus dem VLAN gibt es kein Zugang zum Hausnetz oder Internet. Das heißt APs taggen WLAN in das Hausnetz haben aber selbst kein Zugriff in das Hausnetz.
MfG
Sobald der Link weg ist, schaltet der Switch den Port vollständig und dauerhaft aus.
Wäre auch eine gute Idee.Bei Switches nennt man das den Error disable mode den man entsprechend customizen kann.
Mit "customizen" ist gemeint das man den Error Disable Mode entsprechend einstellen kann:
- Port Shutdown bleibt bis jemand über das GUI oder CLI ihn wieder aktiviert
- Error Disable wird nach x Minuten (Konfig) automatisch aufgehoben und Port reaktiviert
Das Positive ist das du sofort ein Log oder Syslog davon bekommst und als Admin weisst was los ist wenn da einer "fummeln" sollte am AP.
Warum nicht gleich ne vernünftige NAC Lösung Firmen weit ausrollen.
Das ist das beste was geht.
Bsp. Aruba ..
Das ist das beste was geht.
Bsp. Aruba ..
Scheitert wie immer vermutlich an den Kosten und wohl auch der Verhältnismässigkeit... Da wirds ja schnell 4 oder 5stellig wenn man sich die NAC Server von Aruba oder Ruckus ansieht. Im Vergleich zum 35 Euro Mikrotik schon ne Nummer Zumal der Kunde wohl nur ne Handvoll APs und sehr sehr geringe Anforderungen hat.
Mit dem hAP und nem Raspberry könnte man ja die NAC Lösung zu 80% auch deutlich unter 100 Euro machen für ne Handvoll APs...
Zumal der Kunde wohl nur ne Handvoll APs und sehr sehr geringe Anforderungen hat.Mit dem hAP und nem Raspberry könnte man ja die NAC Lösung zu 80% auch deutlich unter 100 Euro machen für ne Handvoll APs...
