9
NAC oder RADIUS für Zugriffskontrollen von Clients und dynamischen VLAN
Hallo zusammen,
Vor einigen Wochen habe ich den Grundstein für VLAN in unserer Firma gelegt. Ich habe die ersten VLANs erstellt und unsere Infrastruktur entsprechend angepasst. Die VLANs laufen bereits ohne Probleme und wir werden nach und nach weitere Bereiche segmentieren. Jetzt bin ich vor einigen Tagen auf den Begriff 'Dynamisches VLAN' gestoßen, was sich erstmal gut anhört. Habe mich dann kurz damit auseinandergesetzt und bin über 'NAC' und 'RADIUS' gestolpert, welche mir natürlich schon ein Begriff waren, aber ich wusste nicht das man damit auch dynamische VLANs umsetzten kann. Das ganze könnte mir auch bei einem anderen Problem helfen mit dem ich betraut bin: Ich soll dafür sorgen, dass es nicht möglich ist, dass prinzipiell jeder seine eigenen Geräte ins LAN hauen kann und bei uns im Produktivnetz ist. So wie ich es verstanden haben kann man das Ganze so aufbauen, dass jedes Gerät erst in einen Quarantänebereich kommt und man das Gerät dann Freigeben muss und direkt eine VLAN-ID mitgeben kann. Der Port an dem das Gerät am Switch angeschlossen ist, soll anhand der MAC-Adresse dann automatisch dem Richtigen VLAN zugeordnet werden.
Umgebung:
- ca. 200 Clients
- ca. 50 Layer 2 Switche (alle von HP, managebar)
- Sophos XGS Firewall
Jetzt zu meinen Fragen:
- Ist es möglich, alles so umzusetzen, wie ich es beschrieben habe?
- Welche Software Lösung gibt es um das Ganze umzusetzen? (Am besten Open-Source oder nicht zu teuer)
PS: Sollten irgendwelche Angaben zur Umgebung fehlen, stelle ich euch die gerne zur Verfügung.
LG tacobell03
Vor einigen Wochen habe ich den Grundstein für VLAN in unserer Firma gelegt. Ich habe die ersten VLANs erstellt und unsere Infrastruktur entsprechend angepasst. Die VLANs laufen bereits ohne Probleme und wir werden nach und nach weitere Bereiche segmentieren. Jetzt bin ich vor einigen Tagen auf den Begriff 'Dynamisches VLAN' gestoßen, was sich erstmal gut anhört. Habe mich dann kurz damit auseinandergesetzt und bin über 'NAC' und 'RADIUS' gestolpert, welche mir natürlich schon ein Begriff waren, aber ich wusste nicht das man damit auch dynamische VLANs umsetzten kann. Das ganze könnte mir auch bei einem anderen Problem helfen mit dem ich betraut bin: Ich soll dafür sorgen, dass es nicht möglich ist, dass prinzipiell jeder seine eigenen Geräte ins LAN hauen kann und bei uns im Produktivnetz ist. So wie ich es verstanden haben kann man das Ganze so aufbauen, dass jedes Gerät erst in einen Quarantänebereich kommt und man das Gerät dann Freigeben muss und direkt eine VLAN-ID mitgeben kann. Der Port an dem das Gerät am Switch angeschlossen ist, soll anhand der MAC-Adresse dann automatisch dem Richtigen VLAN zugeordnet werden.
Umgebung:
- ca. 200 Clients
- ca. 50 Layer 2 Switche (alle von HP, managebar)
- Sophos XGS Firewall
Jetzt zu meinen Fragen:
- Ist es möglich, alles so umzusetzen, wie ich es beschrieben habe?
- Welche Software Lösung gibt es um das Ganze umzusetzen? (Am besten Open-Source oder nicht zu teuer)
PS: Sollten irgendwelche Angaben zur Umgebung fehlen, stelle ich euch die gerne zur Verfügung.
LG tacobell03
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1542222019
Url: https://administrator.de/contentid/1542222019
Printed on: April 27, 2024 at 12:04 o'clock
9 Comments
Latest comment
Hallo,
Grundsätzlich lässt sich das so umsetzen und ist auch Standard in größeren Unternehmen.
Wir nutzen dies auch bereits seit 8 Jahren so.
Die Authentifizierung kannst du, wie schon geschrieben, über MAC Adressen machen oder über Zertifikat mit 802.1x. Für Beide Fälle brauchst du ein NAC System.
Zertifikat unterstützen selbst die meisten Drucker heutzutage.
Also NAC gibts u.a. Aruba Clearpass, Packetfence, Cisco ISE uvm.
Wir nutzen bei tausende Geräten seit 8 Jahren Packetfence. Dies ist OpenSource und kostenlos verwendbar. Bei Bedarf gibt es kommerziellen Support. Die Version 13.1 wurde erst vor wenigen Tagen veröffentlicht
Der Kollege @aqui hat auch Hier ein gutes Tutorial geschrieben.
Grundsätzlich lässt sich das so umsetzen und ist auch Standard in größeren Unternehmen.
Wir nutzen dies auch bereits seit 8 Jahren so.
Die Authentifizierung kannst du, wie schon geschrieben, über MAC Adressen machen oder über Zertifikat mit 802.1x. Für Beide Fälle brauchst du ein NAC System.
Zertifikat unterstützen selbst die meisten Drucker heutzutage.
Also NAC gibts u.a. Aruba Clearpass, Packetfence, Cisco ISE uvm.
Wir nutzen bei tausende Geräten seit 8 Jahren Packetfence. Dies ist OpenSource und kostenlos verwendbar. Bei Bedarf gibt es kommerziellen Support. Die Version 13.1 wurde erst vor wenigen Tagen veröffentlicht
Der Kollege @aqui hat auch Hier ein gutes Tutorial geschrieben.
Moin @tacobell03,
NAC mit RADIUS, nicht oder.
Aber bitte nicht über MAC Adressen, zumindest dann wenn du es wirklich sicher machen möchtest.
Gruß Alex
NAC mit RADIUS, nicht oder.
Aber bitte nicht über MAC Adressen, zumindest dann wenn du es wirklich sicher machen möchtest.
Gruß Alex
1
Geht auch sicher mit MAC-Adressen. Setzen ARP-GUARD von ISL ein. Da werden pro Gerät Fingerprints erstellt. ARP-Guard analysiert das Endgerät, schaut sich die Gerätezertifikate etc. und bildet einen eindeutigen Fingerprint der jedes mal abgeglichen wird, sobald das Gerät eingesteckt oder eingeschaltet wird.
Nachtrag:
Und es ist ein deutsches Unternehmen.
Nachtrag:
Und es ist ein deutsches Unternehmen.
Moin @elix2k.
ia, OK, das ist dann aber nicht nur über MAC-Adressen.
Gruss Alex
Geht auch sicher mit MAC-Adressen. Setzen ARP-GUARD von ISL ein. Da werden pro Gerät Fingerprints erstellt. ARP-Guard analysiert das Endgerät, schaut sich die Gerätezertifikate etc. und bildet einen eindeutigen Fingerprint der jedes mal abgeglichen wird, sobald das Gerät eingesteckt oder eingeschaltet wird.
ia, OK, das ist dann aber nicht nur über MAC-Adressen.
Gruss Alex
Nein, nur mit MAC ist es nicht sicher! Da ändert auch ARP-Guard nix dran wenn nur dieses Mittel zu Authentifizierung genutzt wird!
Moin @Spirit-of-Eli,
wenn ich @elix2k richtig verstanden habe, dann macht ARP-GUARD eben nicht nur MAC.
Gruss Alex
Nein, nur mit MAC ist es nicht sicher! Da ändert auch ARP-Guard nix dran wenn nur dieses Mittel zu Authentifizierung genutzt wird!
wenn ich @elix2k richtig verstanden habe, dann macht ARP-GUARD eben nicht nur MAC.
Gruss Alex
Zitat von @MysticFoxDE:
Moin @Spirit-of-Eli,
wenn ich @elix2k richtig verstanden habe, dann macht ARP-GUARD eben nicht nur MAC.
Gruss Alex
Moin @Spirit-of-Eli,
Nein, nur mit MAC ist es nicht sicher! Da ändert auch ARP-Guard nix dran wenn nur dieses Mittel zu Authentifizierung genutzt wird!
wenn ich @elix2k richtig verstanden habe, dann macht ARP-GUARD eben nicht nur MAC.
Gruss Alex
Das mag schon sein. Aber im Default macht ARP-Guard auch nicht mehr. Darauf wollte ich hinaus
Ist es möglich, alles so umzusetzen, wie ich es beschrieben habe?
Ja.Welche Software Lösung gibt es um das Ganze umzusetzen?
Guckst du hier inkl. weiterführender Links mit Praxis Setups:Freeradius Management mit WebGUI
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt markieren!
How can I mark a post as solved?
How can I mark a post as solved?