staybb
Goto Top

Netzwerk von unbekannten Geräten absichern

Hallo zusmmen,

wir haben bei uns auf de Cisco Switches noch kein Port Security aktiviert.

Nun wollen wir auf den Switches die Portsecurity aktivieren, damit externe unbekannte Clients von Besuchern die nicht im Netzwerk gestattet sind blockiert werden.

Ich kenne das von Huawei Switches mit dem MAC learning. Ich nehme an auf den Cisco ist ähnliches möglich, das der Switchport in shutdown mode kommt, sobald eine unbekannter client mit unbekannter MAC Adresse sich daran verbindet.

Nun ist meine Frage aber noch, wie macht ihr das wenn ihr externe Besucher habt, welche sich am Netzwerk anmelden dürfen?
Gebt ihr dann immer manuell die MAC Adresse von den CLients frei auf den Switches oder was gibt es da für best practises?

Ich bin gerade auch an einem anderen Thema DNSSEC am nachschauen, um unser DNS Server besser zu schützen.

Lässt sich dies vielleicht auch über den DHCP Lösen, das nur Clients welche z.B ein gültiges Zertifikat besitzen von der Domain Root CA, eine IP Adresse vom DHCP server erhalten?

Danke und Gruss
staybb

Content-Key: 5771763656

Url: https://administrator.de/contentid/5771763656

Printed on: February 24, 2024 at 00:02 o'clock

Member: chkdsk
chkdsk Feb 01, 2023 at 10:03:21 (UTC)
Goto Top
Moin,
einfach ein eigenes VLAN für Gäste. Bei uns bspw. Gäste WLAN oder in den Meetingräumen einfach ein paar Netzwerkdosen in andere VLANs.

Grüße
Member: staybb
staybb Feb 01, 2023 at 10:16:41 (UTC)
Goto Top
Zitat von @chkdsk:

Moin,
einfach ein eigenes VLAN für Gäste. Bei uns bspw. Gäste WLAN oder in den Meetingräumen einfach ein paar Netzwerkdosen in andere VLANs.

Grüße

Moin,

ja das haben wir schon fürs WLAN mit einem captiveportal. Es geht mehr noch darum, dass kein "Einbrecher" sich einfach an ein Port anschliessen kann im Haus und dann ins produktive vlan kommt. Vermutlich geht das wohl nur über MAC authentication am Switch port?
Member: Deepsys
Deepsys Feb 01, 2023 updated at 10:22:16 (UTC)
Goto Top
Hallo,

entweder mit MAC am Port oder mit 802.1x und RADIUS, Zauberwort heißt Network Access Control.

Wenn du eine größere Umgebung hast, würde ich dir zu z.B. macmon raten:
https://www.macmon.eu/

Ach ja zu deiner Frage, du hast das Gast-VLAN doch an bestimmten Ports, diese nimmst du dann einfach aus der Überwachung.
Member: Mr-Gustav
Mr-Gustav Feb 01, 2023 at 10:34:44 (UTC)
Goto Top
802.1x Für LAN und WLAN für INTERNE Benutzer.
WLAN mit WPA2 für Gäste über Captiv Portal.

Sonst alles unbekannten Geräte in extra VLAN mit Portisolation damit die Systeme nirgends hinkommen können.

Wir haben auch ein Extra VLAN fürs Deployment neuer Systeme. Hier wird dann das Gerät als User im AD angelegt ( via MAC ) und dann kommts ins passende VLAN und kann dann da betankt werden.

Ausnahme: Ports im Konf.Raum auf den Tischen geht wie WLAN im EXTRA VLAN direkt zum Captive Portal wie WLAN auch. Ist eigentlich das gleiche Netz. Die Ports an den Tischen sind aber FIX auf VLAN´s verteilt.

Mitarbeiter gehen sowieso übers WLAN. Wenns länger dauernde Sachen sind dann wird ggf. der ein oder andere Port uf INTERNES Netz mit 802.1x umgestellt. Das passiert aber nur 2 bis 3 mal im Jahr und is auf 2 bis 4 Ports begrenzt

Das ganze alles per NPS und Cisco / HP Switchen umgesetzt da VORGABE. WLAN Übrigens die Notebooks nur per Zertifikat / Managed Mobile Devices ebenfalls. Nicht Managed Geräte ( gibt auch welche die nicht durch eine MDM Software verwaltet werden können ) landen in einem Extra Netz und Terminieren direkt auf der Firewakk
Member: Dani
Dani Feb 01, 2023 at 11:34:17 (UTC)
Goto Top
Moin,
Gebt ihr dann immer manuell die MAC Adresse
das hilft evtl. gegen Kiddies, aber sonst keine wirkliche Hürde. Eine MAC-Adresse ist heute schnell geändert.

wir haben bei uns auf de Cisco Switches noch kein Port Security aktiviert.
Da bietet sich bei entsprechender Lizenzierung die Cisco ISE an.

Ich bin gerade auch an einem anderen Thema DNSSEC am nachschauen, um unser DNS Server besser zu schützen.
Oha... ehrgeiziges Ziel was du hast. Das ist kein Thema für nebenbei sondern Bedarf einer sauberen Planung. Gerade Hinblick mit Rollierung der Schlüssel, Clients die kein DNSSEC unterstützen, Man Power für den laufenden Betrieb und Fehlerfall. Im Worst Case geht nämlich nix mehr im LAN/DMZ.


Gruß,
Dani
Member: Mr-Gustav
Mr-Gustav Feb 01, 2023 at 12:25:45 (UTC)
Goto Top
Das mit der Cisco ISE Engine ist eine gute IDEE
Member: Starmanager
Starmanager Feb 01, 2023 at 13:44:02 (UTC)
Goto Top
Mobile Geraete kann man auch mit VPN ueber das Gaeste WLAN verbinden. Dann geht ohne VPN nichts ins interne Netz. . Sicherer als MAC Kontrolle.
Member: maretz
maretz Feb 01, 2023 at 15:50:35 (UTC)
Goto Top
Zitat von @Dani:

Moin,
Gebt ihr dann immer manuell die MAC Adresse
das hilft evtl. gegen Kiddies, aber sonst keine wirkliche Hürde. Eine MAC-Adresse ist heute schnell geändert.

wir haben bei uns auf de Cisco Switches noch kein Port Security aktiviert.
Da bietet sich bei entsprechender Lizenzierung die Cisco ISE an.

Ich bin gerade auch an einem anderen Thema DNSSEC am nachschauen, um unser DNS Server besser zu schützen.
Oha... ehrgeiziges Ziel was du hast. Das ist kein Thema für nebenbei sondern Bedarf einer sauberen Planung. Gerade Hinblick mit Rollierung der Schlüssel, Clients die kein DNSSEC unterstützen, Man Power für den laufenden Betrieb und Fehlerfall. Im Worst Case geht nämlich nix mehr im LAN/DMZ.


Gruß,
Dani

Natürlich kann man das mit der MAC umgehen - aber das erfordert eben schon etwas mehr Planung als sich nur "irgendwo" anzustecken, da du ja zumindest mal ne gültige MAC benötigst UND die eben bestenfalls nicht noch woanders gleichzeitig aktiv ist.

Es kommt halt drauf an was man machen will - und wieviel Aufwand man da zu Anfang reinhängen will...