juxadm
Goto Top

Netzwerk absichern vor fremder Hardware Ports sperren RJ45

Hallo zusammen,

ich suche eine Lösung, die Netzwerke absichert vor unerlaubten Zugriff.
Sobald ein User ein unbekanntes Gerät ins Netzerk einbinden möchte (z.B. per RJ45-Stecker), soll der entsprechende RH45-Stecker geblockt werden. Identifizierung des Gerätes via MAC-Adresse. Der Port / Stecker soll dannmanuell wieder aktiviert (freigeschaltet) werden.

Welche guten Lösungen kennt Ihr?
- Marktführer?
- OpenSource-Lösungen?

Vielen Dank und beste Grüße
juadmx

Content-ID: 43180029163

Url: https://administrator.de/forum/netzwerk-absichern-vor-fremder-hardware-ports-sperren-rj45-43180029163.html

Ausgedruckt am: 30.12.2024 um 17:12 Uhr

tomolpi
tomolpi 18.12.2023 aktualisiert um 10:25:22 Uhr
Goto Top
Hallo,

was ist mit Port Security auf deinem Switch? https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4000/8-2glx/c ...

Das ist doch am naheliegendsten, wenn du nach MAC-Adressen filtern willst.
Dass das keine gute (und sichere) Idee ist, weil diese einfach geändert werden können, weißt du sicher. Ein Zugriff nach Authentifizierung über Zertifikate o.ä. mit RADIUS wäre deutlich sinnvoller und zielführender.

Grüße

tomolpi
elix2k
elix2k 18.12.2023 um 10:29:29 Uhr
Goto Top
Wir haben eine deutsche Lösung im Einsatz:

arp-guard.com/de

Man kann sich schön das Regelwerk zusammenklicken.
em-pie
em-pie 18.12.2023 um 10:30:48 Uhr
Goto Top
Moin,

suche einfach mal nach NAC
Damit wirst du fündig.
Spirit-of-Eli
Spirit-of-Eli 18.12.2023 um 10:55:58 Uhr
Goto Top
Moin,

Aruba Clearpass funktioniert gut.

Gruß
Spirit
Lochkartenstanzer
Lochkartenstanzer 18.12.2023 um 11:11:14 Uhr
Goto Top
Moin,

Ein Pi mit Freeradius face-smile

Im Prinzip kannst Du alles nehmen, was 802.1x erlaubt.

lks
aqui
aqui 18.12.2023 um 15:00:04 Uhr
Goto Top
ich suche eine Lösung, die Netzwerke absichert vor unerlaubten Zugriff.
Einfach mal die Suchfunktion hier benutzen...
Freeradius Management mit WebGUI ....und die weiterführenden Links am Schluss! 😉
maretz
maretz 19.12.2023 um 06:39:25 Uhr
Goto Top
Ich würde mir nur eines überlegen - die MACs können sich halt auch ändern. Das macht der Anwender nicht mal böse, bewusst oder sonstwie - sondern weil das OS meint die Privacy-Funktion wieder einzuschalten.

Es kommt hier eher auf die Grössenordnung an - redest du da in nem kleinem Bereich kein Ding, kann man dann manuell machen. Redest du bei nem Konzern von einigen 100.000 Geräten willst du den Weg nicht mehr wirklich gehen.
Doskias
Doskias 19.12.2023 um 11:27:35 Uhr
Goto Top
Moin,

wir nutzen MACMON NAC in Kombination mit Gehirn. Letzteres heißt, dass nur Dosen gepatched sind, die auch in Verwendung sind.. In unser Konfiguration blockiert das System fremde MAC-Adressen im Netzwerk. Andere Möglichkeiten, wie z. B. in definierte VLANs verschieben, ist aber auch möglich. Bei Änderung der Dose, wird ebenfalls eine Nachricht erzeugt. Ausnahme sind die Anschüsse zu den virtuellen Servern. Hier sind IP-Adressen und Ports hinterlegt, bei denen ein MAC-Adressenwechsel akzeptiert wird.

Zitat von @maretz:

Ich würde mir nur eines überlegen - die MACs können sich halt auch ändern. Das macht der Anwender nicht mal böse, bewusst oder sonstwie - sondern weil das OS meint die Privacy-Funktion wieder einzuschalten.
face-smile. Wir nutzen das System seit nun 7 Jahren und hatten noch nicht einen Client, der wg. Privacy-Funktionen ausgeschlossen wurde. Theoretisch kann das passieren und bei Apple- bzw. Samsung-Geräten wohl deutlich häufiger als bei Windows-Geräten. Liegt vielleicht daran, dass wir ein homogenes Windows-Clients-Only-Netzwerk damit überwachen.

Gruß
Doskias
tech-flare
tech-flare 19.12.2023 um 13:24:26 Uhr
Goto Top
Hallo,

Wir nutzen dafür global für ca 9.000 Geräte Packetfence.

Ist OpenSource und wird von vielen Unis eingesetzt.

Läuft seit ca 6 Jahren stabil bei uns.

Gruß
Maxilo311
Maxilo311 19.12.2023 um 15:16:23 Uhr
Goto Top
Hallo,

wir nutzen ebenfalls Packetfence, haben 15 Installationen die ohne Probleme laufen.
Nutzen zur Authentifizierung Zertifikate oder MAC Adressen.

Infrastruktur aus Cisco Switchen.
aqui
aqui 30.12.2023 um 12:43:56 Uhr
Goto Top
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt markieren!
Wie kann ich einen Beitrag als gelöst markieren?