user217
Goto Top

Mac based Access - Security mit zentralem Mgmt

Guten Morgen zusammen,

ich habe ca. 30 Switche (div. Hersteller) einen Sophos XG HA und möchte Herstellerunabhängig einen Mac basierenden zugang etablieren welcher ggf. noch das VLAN zuweist. Es sind bereits 2 Netzwerkrichtlinienserver für EAP WLAN vorhanden.
Da ich mar zwar schon damit befasst habe aber das lange lange her ist wollte ich fragen ob hier jemand eine Software empfehlen kann bzw. was dabei an voraussetzungen zu beachten ist.

Gruß user217

PS: Es geht um MAC Access Controll nicht darum einer am DHCP hinterlegten Liste von MAC Adressen die IP's zuzuweisen. Diese halbsichere Variante ist bekannt.

Content-ID: 94202906667

Url: https://administrator.de/forum/mac-based-access-security-mit-zentralem-mgmt-94202906667.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

em-pie
Lösung em-pie 13.11.2023 aktualisiert um 08:42:39 Uhr
Goto Top
Moin,

macmon wäre da ein Ansatz.
https://www.macmon.eu/

Alternativ via NPS/Radius und 802.1x direkt an den Switchen arbeiten…
Dann müsste man allerdings die Liste mit den MAC-Adressen (so hab ich es im Kopf) am Radius/ NPS pflegen
aqui
aqui 13.11.2023 um 08:54:57 Uhr
Goto Top
Grundlagen auch hier:
Freeradius Management mit WebGUI
...und weiterführende Links
LordGurke
LordGurke 13.11.2023 um 10:53:45 Uhr
Goto Top
Muss es denn zwingend über MAC authentifiziert werden?
Wenn du schon die Infrastruktur für NPS hast, kannst du doch auch 802.1X-Auth auf den Switches machen? Funktioniert identisch zu WLAN.
Mr-Gustav
Mr-Gustav 13.11.2023 um 11:02:38 Uhr
Goto Top
Zitat von @em-pie:
Alternativ via NPS/Radius und 802.1x direkt an den Switchen arbeiten…
Dann müsste man allerdings die Liste mit den MAC-Adressen (so hab ich es im Kopf) am Radius/ NPS pflegen

BSW. die Konten im AD anlegen wenn gegen den AD authentifiziert werden soll.

Machen wir auch so und läuft.

Kurze Beschreibung des Setups - vllt hilft es dir ja......

Wir haben ca 350/400 Systeme in DE / US / NL / AUS / AT / FR / DK ( über 3/4 in DE )
Switches alles CISCO wo neu bzw. alte HP Procurve im Bestand welche aber getauscht werden
Zentrales Konzern AD mit DC und RODC vor ORT / Subnetzte sind gepflegt im AD usw.....
Wir selber haben ein 2 NPS Cluster am laufen ( 2 x 3 Server + 2 Fallback )
Die NPS machen die Authentifizierung fürs WLAN über Zertifikate bzw. Benutzer/Passwort für Geräte welche keine Zertifikate können oder es nicht gewünscht ist wie z.B. im WLAN für die Privaten Endgeräte welche dann nur ins Internet dürfen. Für die Clients wird in 90% der Fälle eine Anmeldung via Zertifikat gefordert aber auch hier gibts Geräte die das nicht können oder wo es nicht notwendig ist da wird dann über die MAC authentifiziert.
Das ganze läuft dann alles auf den Switchen ab über 802.1x und fertig. Die Liste der MAC´s wird bei uns im AD gepflegt bzw neue Geräte werden über das Asset Management ( Lannsweeper ) erstellt und angelegt.
Kurzes Bsp.
Es kommt ein neues Gerät wie z.B. ein Netzwerk Temperatur Wächter/Alarmgeber welcher ins Netzwerk muss.
Wenn wir von der IT nicht´s davon wissen und das Ding einfach ins Netz gehängt wird dann passiert genau GARNICHTS. Das Ding landet in einem Default VLAN was nirgens hin kommt und hier ist auch noch die "Client isolation" eingeschaltet also geht hier wirklich GARNIX. Zudem wird das Netz auf neue Geräte überwacht und es gibt eine Mail.*
Wenn wir dann irgendwann von dem Teil erfahren dann wollen wir eine Rechnung / Lieferschein vom Gerät und die Konfiguration wissen von der Kiste für die Doku. Hierzu müssen die Benutzer ( Wir haben Entwickler in hard und Software die bekommen sowas normalerweise hin :- ) ) ein Formblatt / Formular auf dem Sharepoint ausfüllen und die geforderten Dokumente hochladen und dan die IT senden. Wir legen das Gerät dann im Lansweeper an und von da aus läuft dann ein TASK ( über eine Extra Lansweeper Gruppe gesteuert ) alle 3 Stunden welcher sich dann aus versch. Custom Fileds Daten und die MAC hohlt und dann das Gerät im AD anlegt. Fertig.
Eventuell muss allerdings vorher der Port auf dem Switch aktiviert werden aber das sehen wir anhand der Doku.
Das ganze läuft auch ganz gut wenn es Änderungen gibt was z.B. ein VLAN / IP wechsel angeht. Im Lansweeper wird die VLAN ID geändert und die Deployment Gruppe hinzugefügt und dann läuft der Task los und ändert das im NPS bzw. im DHCP ( Registrierung + Mail an Geräteverantwortlichen mit der neuen IP des Devices ).

Das ganze ist kein wirklicher Aufwand gewesen lediglich die Abfragen aus der SQL DB Seitens Lansweeper haben damals wohl den ein oder anderen Entwickler gefordert da es damals keine API gab für den Zugriff / Steuerung.
Befor wir das hatten haben wir immer einmal die Woche einen Export und dann einen Import ins Deployment Tool gemacht ( PS Scriptsammlung ) und dann war das ganze auch erledigt. Allerdings wollten wir das dann doch irgendwann mehr Automatisiert und haben uns dann auch mal umgesehn ob es hier Lösungen gibt welche unsere Anforderungen erfüllen bzw. erfüllen können.

Macmon fiel auch darunter. War ganz cool aber leider hat das mit der Automatisierung so nicht funktioniert. Ich glaube wir hatten damals im Test eine Mail bekommen welche MACMON versendet hatte alla: Hey IT ich hab da ein Device gefunden mit der MAC ............ - Kenn ich nicht. Jetzt wisst ihr es. Das Gerät ist auf Switch - y Port - x und in VLAN Z.
Damit hätte man auch arbeiten können aber die Mitarbeiter waren gewöhnt das ganze als Formular auszufüllen und die entsprechenden Doku Dokumente benötigen wir ja trotzdem. Das ganze läuft aber mit der o.G. Lösung sehr stabil und zufriedenstellend. Der Vorteil ist dass das ganze auch relativ schnell angepasst werden kann.
Die Scripte machen ja nix anderes als ein Benutzer/Computerkonto anzulegen mit der MAC und verschieben es dann gemäß des Taggings in Lansweeper in die passende AD Gruppe. lediglich die Gruppen müssen wenn es neue gibt einmal in einer Config Datei miteinander verbunden werden und fertig ist das ganze. Sind alles in allem glaube ich 3 einzelne Scripte ( 1 x Lansweeper Deployment Group scannen und Exportieren --- Dann Computer User mit MAC / MAC Passwort im AD anlagen und erstmal einer default AD Gruppe "MAC Auth Only " hinzufügen und Description erstellen ---- Anschließend Script 3 welches sich die Daten der zugehörigen Gruppe für den NPS aus dem Export von Script 3 hohlt und dann das System entsprechend im AD zur notwendigen Gruppe hinzufügen bzw. die vorherige löschen.
Problematisch war nur die Sicherstellung das die Geräte in nur genau 1 NPS Gruppe Mitglied sein dürfen. Lies sich aber relativ einfach lösen: Es werden alle Gruppen die mit MAC-NPS_Auth_$$ beginnen gelöscht und dann wird die neue Gruppe hinzugefügt bzw. die Standard Gruppen für die Verwaltung heißen anders und somit gibts keine Probleme. Selbst eine IP Reservierung im DHCP zu erstellen ist kein Problem über unser Deployment wenn das Gerät in der Entsprechenden Gruppe ist ( je VLAN gibts eine AD Gruppe für eine FIXE IP Adresse. Gerät in der Gruppe ? -- Scan der IP alle 4 Stunden --- JA >> Reservierung anhand von MAC und Subnetz im DHCP erstellen und dann die aktuelle IP nehmen und die wird dann per Mail versendet.

Meistens geht aber nix bis gar nie nix weil der Port des Switches auf shutdown steht also geht da auch erstmal nix ohne das die IT den Port aktiviert.
Bei uns sind alle Dosen Ports airekt auf den Switch aufgelegt. Also A1 - Sw 1-1 / A2 - Sw 1-2 usw....


Ich hoffe ich konnte dir helfen.
user217
user217 13.11.2023 aktualisiert um 13:47:05 Uhr
Goto Top
Zitat von @LordGurke:

Muss es denn zwingend über MAC authentifiziert werden?
Wenn du schon die Infrastruktur für NPS hast, kannst du doch auch 802.1X-Auth auf den Switches machen? Funktioniert identisch zu WLAN.

Vielen Dank für eure Antworten!

Vollkommen richtig, hätte das irgendwelche Nachteile gegenüber MAC? (Sicherheitstechnisch)
- Ich antworte mir mal selbst: Es ist doch viel einfach eine MAC zu spoofen als einen AD Account oder liege ich falsch.
Ich denke der Arbeitsaufwand müsste viel geringer sein oder liege ich falsch?
Händisch gepflegt müsste das wohl so oder so werden auf die eine oder andere Art aber da fällt mir der WIN DHCP ein, gibts kein Hilfstool welches bei neuen Geräten am DHCP eine Mail sendet und man einfach draufklicken kann Allow oder Deny?
Mr-Gustav
Mr-Gustav 13.11.2023 um 14:54:45 Uhr
Goto Top
Kann man bauen.
Musst alle x Minuten die MAC´s des DHCP´s exportieren und dann mit neuen oder unbekannten vergleichen 8 kann über Powershell gemacht werden. Dann gehst du hin und wählst die MAC(s) die du hinzufügen willst und trägst diese mit Powershell als AD User ( Computerkonto ) ein und weist Sie der passenden Gruppe zu und dann läuft das ganze.

Automatisch und ohne Programmieraufwand wird das ganze dann nur mit MACMON oder Packetfence und co. Der WIN DHCP bietet so eine "allow MAC" nicht so ohne weiteres.
Früher gab es mal die Device Attestiation Funktion wo ein System in ein Xtra VLAN geschoben werden konnte wenn der NPS es nicht kannt oder es nicht authentifiziert werden konnte oder wenn der Update Status falsch war. Keine Ahnung ob es das noch gibt
LG
aqui
aqui 13.11.2023 um 17:35:13 Uhr
Goto Top
wo ein System in ein Xtra VLAN geschoben werden konnte wenn der NPS es nicht kannt oder es nicht authentifiziert werden konnte
Das kann heute jeder Radius Server und nennt sich "dynamic VLANs". face-wink
aqui
aqui 27.11.2023 um 13:46:15 Uhr
Goto Top