tacobell03
Goto Top

NAC oder RADIUS für Zugriffskontrollen von Clients und dynamischen VLAN

Hallo zusammen,
Vor einigen Wochen habe ich den Grundstein für VLAN in unserer Firma gelegt. Ich habe die ersten VLANs erstellt und unsere Infrastruktur entsprechend angepasst. Die VLANs laufen bereits ohne Probleme und wir werden nach und nach weitere Bereiche segmentieren. Jetzt bin ich vor einigen Tagen auf den Begriff 'Dynamisches VLAN' gestoßen, was sich erstmal gut anhört. Habe mich dann kurz damit auseinandergesetzt und bin über 'NAC' und 'RADIUS' gestolpert, welche mir natürlich schon ein Begriff waren, aber ich wusste nicht das man damit auch dynamische VLANs umsetzten kann. Das ganze könnte mir auch bei einem anderen Problem helfen mit dem ich betraut bin: Ich soll dafür sorgen, dass es nicht möglich ist, dass prinzipiell jeder seine eigenen Geräte ins LAN hauen kann und bei uns im Produktivnetz ist. So wie ich es verstanden haben kann man das Ganze so aufbauen, dass jedes Gerät erst in einen Quarantänebereich kommt und man das Gerät dann Freigeben muss und direkt eine VLAN-ID mitgeben kann. Der Port an dem das Gerät am Switch angeschlossen ist, soll anhand der MAC-Adresse dann automatisch dem Richtigen VLAN zugeordnet werden.

Umgebung:
- ca. 200 Clients
- ca. 50 Layer 2 Switche (alle von HP, managebar)
- Sophos XGS Firewall

Jetzt zu meinen Fragen:
- Ist es möglich, alles so umzusetzen, wie ich es beschrieben habe?
- Welche Software Lösung gibt es um das Ganze umzusetzen? (Am besten Open-Source oder nicht zu teuer)

PS: Sollten irgendwelche Angaben zur Umgebung fehlen, stelle ich euch die gerne zur Verfügung.

LG tacobell03

Content-ID: 1542222019

Url: https://administrator.de/contentid/1542222019

Ausgedruckt am: 16.12.2024 um 10:12 Uhr

tech-flare
tech-flare 24.01.2024 um 11:37:23 Uhr
Goto Top
Hallo,

Grundsätzlich lässt sich das so umsetzen und ist auch Standard in größeren Unternehmen.

Wir nutzen dies auch bereits seit 8 Jahren so.

Die Authentifizierung kannst du, wie schon geschrieben, über MAC Adressen machen oder über Zertifikat mit 802.1x. Für Beide Fälle brauchst du ein NAC System.

Zertifikat unterstützen selbst die meisten Drucker heutzutage.

Also NAC gibts u.a. Aruba Clearpass, Packetfence, Cisco ISE uvm.

Wir nutzen bei tausende Geräten seit 8 Jahren Packetfence. Dies ist OpenSource und kostenlos verwendbar. Bei Bedarf gibt es kommerziellen Support. Die Version 13.1 wurde erst vor wenigen Tagen veröffentlicht

Der Kollege @aqui hat auch Hier ein gutes Tutorial geschrieben.
MysticFoxDE
MysticFoxDE 24.01.2024 um 11:45:08 Uhr
Goto Top
Moin @tacobell03,

NAC mit RADIUS, nicht oder.

Aber bitte nicht über MAC Adressen, zumindest dann wenn du es wirklich sicher machen möchtest.

Gruß Alex
elix2k
elix2k 24.01.2024 aktualisiert um 11:52:54 Uhr
Goto Top
Geht auch sicher mit MAC-Adressen. Setzen ARP-GUARD von ISL ein. Da werden pro Gerät Fingerprints erstellt. ARP-Guard analysiert das Endgerät, schaut sich die Gerätezertifikate etc. und bildet einen eindeutigen Fingerprint der jedes mal abgeglichen wird, sobald das Gerät eingesteckt oder eingeschaltet wird.

Nachtrag:
Und es ist ein deutsches Unternehmen.
MysticFoxDE
MysticFoxDE 24.01.2024 um 12:05:58 Uhr
Goto Top
Moin @elix2k.

Geht auch sicher mit MAC-Adressen. Setzen ARP-GUARD von ISL ein. Da werden pro Gerät Fingerprints erstellt. ARP-Guard analysiert das Endgerät, schaut sich die Gerätezertifikate etc. und bildet einen eindeutigen Fingerprint der jedes mal abgeglichen wird, sobald das Gerät eingesteckt oder eingeschaltet wird.

ia, OK, das ist dann aber nicht nur über MAC-Adressen.

Gruss Alex
Spirit-of-Eli
Spirit-of-Eli 24.01.2024 um 12:07:02 Uhr
Goto Top
Nein, nur mit MAC ist es nicht sicher! Da ändert auch ARP-Guard nix dran wenn nur dieses Mittel zu Authentifizierung genutzt wird!
MysticFoxDE
MysticFoxDE 24.01.2024 um 12:12:00 Uhr
Goto Top
Moin @Spirit-of-Eli,

Nein, nur mit MAC ist es nicht sicher! Da ändert auch ARP-Guard nix dran wenn nur dieses Mittel zu Authentifizierung genutzt wird!

wenn ich @elix2k richtig verstanden habe, dann macht ARP-GUARD eben nicht nur MAC.

Gruss Alex
Spirit-of-Eli
Spirit-of-Eli 24.01.2024 aktualisiert um 13:45:39 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin @Spirit-of-Eli,

Nein, nur mit MAC ist es nicht sicher! Da ändert auch ARP-Guard nix dran wenn nur dieses Mittel zu Authentifizierung genutzt wird!

wenn ich @elix2k richtig verstanden habe, dann macht ARP-GUARD eben nicht nur MAC.

Gruss Alex

Das mag schon sein. Aber im Default macht ARP-Guard auch nicht mehr. Darauf wollte ich hinaus
aqui
aqui 24.01.2024 aktualisiert um 14:58:37 Uhr
Goto Top
Ist es möglich, alles so umzusetzen, wie ich es beschrieben habe?
Ja.
Welche Software Lösung gibt es um das Ganze umzusetzen?
Guckst du hier inkl. weiterführender Links mit Praxis Setups:
Freeradius Management mit WebGUI
aqui
aqui 03.02.2024 um 11:33:36 Uhr
Goto Top
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt markieren!
Wie kann ich einen Beitrag als gelöst markieren?