8
Konzept zur sicheren Nutzung eines Netwerkes
Hallo Zusammen,
ich habe zwei Netzwerke eines für Besucher und eines für Mitarbeiter. Nun haben wir mehrere Besprechnungsräume sowie leere Büros. In den ganzen Besprechnungsräumen sind momentan alle Dosen auf dem BesucherLAN gepatcht damit keiner der Besucher durch anstecken eines LAN Steckers bei uns ins Netzwerk kommt.
Leider wollen wir das eigentlich anders handhaben undzwar sollen jegliche Besucher immer in das Besucher WLAN hingehen! Leider passiert das nicht immer und sie stecken sich einfach das LAN Kabel in Ihren Rechner. (Was momentan ja noch nicht schlimm ist, aber wollen ja in Zukunft die Dosen auf unserem Mitarbeiter LAN patchen so der Plan)
Nun gibt es Möglichkeiten, dass ich wenn ein unbekannter Rechner sich z.B. ans Netzwerk hängt erst gar kein Link bekommt.
Ich weiß man kann das ganze z.B. via einen MAC Adressen Filter lösen, aber ich wollte gerne wissen ob es noch andere Möglichkeiten gibt, die zu realisieren! Zumal wenn ich diesen in userem Switch aktiviere alles betroffen wäre... Dann müsste man die anderen Räume wieder auf einen extra Switch hängen!)
Würde mich sehr über positive Rückmeldung freuen!
Gruß
Marcel
ich habe zwei Netzwerke eines für Besucher und eines für Mitarbeiter. Nun haben wir mehrere Besprechnungsräume sowie leere Büros. In den ganzen Besprechnungsräumen sind momentan alle Dosen auf dem BesucherLAN gepatcht damit keiner der Besucher durch anstecken eines LAN Steckers bei uns ins Netzwerk kommt.
Leider wollen wir das eigentlich anders handhaben undzwar sollen jegliche Besucher immer in das Besucher WLAN hingehen! Leider passiert das nicht immer und sie stecken sich einfach das LAN Kabel in Ihren Rechner. (Was momentan ja noch nicht schlimm ist, aber wollen ja in Zukunft die Dosen auf unserem Mitarbeiter LAN patchen so der Plan)
Nun gibt es Möglichkeiten, dass ich wenn ein unbekannter Rechner sich z.B. ans Netzwerk hängt erst gar kein Link bekommt.
Ich weiß man kann das ganze z.B. via einen MAC Adressen Filter lösen, aber ich wollte gerne wissen ob es noch andere Möglichkeiten gibt, die zu realisieren! Zumal wenn ich diesen in userem Switch aktiviere alles betroffen wäre... Dann müsste man die anderen Räume wieder auf einen extra Switch hängen!)
Würde mich sehr über positive Rückmeldung freuen!
Gruß
Marcel
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 312123
Url: https://administrator.de/contentid/312123
Ausgedruckt am: 22.11.2024 um 07:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
das passiert in den Switchen mit MAC-Tabellen.
Bei den Zyxel gibt es auch ein nettes Auto-MAC-zu-VLAN. Damit kann man die Dosen für Besuchen und interne verwenden.
Btw. MAC-Adressen kann man ja nun gut fälschen. Aber man braucht trotzdem ein "bisschen" Glück.
Stefan
das passiert in den Switchen mit MAC-Tabellen.
Bei den Zyxel gibt es auch ein nettes Auto-MAC-zu-VLAN. Damit kann man die Dosen für Besuchen und interne verwenden.
Btw. MAC-Adressen kann man ja nun gut fälschen. Aber man braucht trotzdem ein "bisschen" Glück.
Stefan
Hallo,
du könntest authentificated ethernet (802.1X) nutzen. So bekommen nur Clients mit entsprechenden Zugangsdaten Netzwerk.
Phill93
du könntest authentificated ethernet (802.1X) nutzen. So bekommen nur Clients mit entsprechenden Zugangsdaten Netzwerk.
Phill93
Dann gibt es aber so nette Mitarbeiter die die Gäste mit ihren Zugangsdaten einloggen.. 
Zitat von @xbast1x:
Dann gibt es aber so nette Mitarbeiter die die Gäste mit ihren Zugangsdaten einloggen..
Dann gibt es aber so nette Mitarbeiter die die Gäste mit ihren Zugangsdaten einloggen..
Maschinenauthentifizierung - nicht Benutzer
Zitat von @Phill93:
Hallo,
du könntest authentificated ethernet (802.1X) nutzen. So bekommen nur Clients mit entsprechenden Zugangsdaten Netzwerk.
Hallo,
du könntest authentificated ethernet (802.1X) nutzen. So bekommen nur Clients mit entsprechenden Zugangsdaten Netzwerk.
802.1x wäre auch meine Empfehlung.
Wenn die Rechner Mitglied eines AD sind, gibt es noch eine bessere Alternative: man kann per Gruppenrichtlinie konfigurieren, dass Server und Clients nur IPSec-verschlüsselt und authentifiziert miteinander reden. Das ist aber aufwändiger umzusetzen, als es sich zunächst anhört.
Zitat von @xbast1x:
Dann gibt es aber so nette Mitarbeiter die die Gäste mit ihren Zugangsdaten einloggen..
Das gehört in den Bereich physische Sicherheit (Sprengfallen) und Bestrafung (Peitschen).Dann gibt es aber so nette Mitarbeiter die die Gäste mit ihren Zugangsdaten einloggen..
Moin,
Abschließbare Netzwerkdosen.
Eine Handvoll Dosen bleiben offen (Gast-LAN) und die Dosen, die ans interne Netz angeschlossen sind haben ein Schloss.
So besteht keine Verwechselungsgefahr und die Frage nach Zugangscodes hat sich damit auch erledigt.
Gruß
Holger
Abschließbare Netzwerkdosen.
Eine Handvoll Dosen bleiben offen (Gast-LAN) und die Dosen, die ans interne Netz angeschlossen sind haben ein Schloss.
So besteht keine Verwechselungsgefahr und die Frage nach Zugangscodes hat sich damit auch erledigt.
Gruß
Holger
Das mit dem Extra Switch wäre ja auch Unsinn, man würde logischerweise die Besucher in ein separates VLAN hängen ohne Switch.
Wie oben schon mehrfach gesagt ist 802.1x mit Mac Adresse oder User/Pass oder beidem und dynamischer VLAN Vergabe ist die beste und einfachste Lösung für dich.
Besucher mit unbekannten Mac Adressen oder .1x Credentials landen dann automatisch in einem Gast VLAN indem auch die WLAN MSSID liegt und dort kommen sie per Captive Portal und Einmalpasswort raus.
Alle registrieten, firmeneigenen Rechner / User kommen dann in die firmeneigenen VLANs.
Ein simples Allerweltskonstrukt was in fast allen Firmen so im Einsatz ist.
Grundlegende Dokumente dazu findest du hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Letzteres in einem VLAN Umfeld: (Kapizel Praxisbeispiel)
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Damit wäre deine Anforderung im Handumdrehen gelöst.
Wie oben schon mehrfach gesagt ist 802.1x mit Mac Adresse oder User/Pass oder beidem und dynamischer VLAN Vergabe ist die beste und einfachste Lösung für dich.
Besucher mit unbekannten Mac Adressen oder .1x Credentials landen dann automatisch in einem Gast VLAN indem auch die WLAN MSSID liegt und dort kommen sie per Captive Portal und Einmalpasswort raus.
Alle registrieten, firmeneigenen Rechner / User kommen dann in die firmeneigenen VLANs.
Ein simples Allerweltskonstrukt was in fast allen Firmen so im Einsatz ist.
Grundlegende Dokumente dazu findest du hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Letzteres in einem VLAN Umfeld: (Kapizel Praxisbeispiel)
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Damit wäre deine Anforderung im Handumdrehen gelöst.
