Netzwerk von unbekannten Geräten absichern
Hallo zusmmen,
wir haben bei uns auf de Cisco Switches noch kein Port Security aktiviert.
Nun wollen wir auf den Switches die Portsecurity aktivieren, damit externe unbekannte Clients von Besuchern die nicht im Netzwerk gestattet sind blockiert werden.
Ich kenne das von Huawei Switches mit dem MAC learning. Ich nehme an auf den Cisco ist ähnliches möglich, das der Switchport in shutdown mode kommt, sobald eine unbekannter client mit unbekannter MAC Adresse sich daran verbindet.
Nun ist meine Frage aber noch, wie macht ihr das wenn ihr externe Besucher habt, welche sich am Netzwerk anmelden dürfen?
Gebt ihr dann immer manuell die MAC Adresse von den CLients frei auf den Switches oder was gibt es da für best practises?
Ich bin gerade auch an einem anderen Thema DNSSEC am nachschauen, um unser DNS Server besser zu schützen.
Lässt sich dies vielleicht auch über den DHCP Lösen, das nur Clients welche z.B ein gültiges Zertifikat besitzen von der Domain Root CA, eine IP Adresse vom DHCP server erhalten?
Danke und Gruss
staybb
wir haben bei uns auf de Cisco Switches noch kein Port Security aktiviert.
Nun wollen wir auf den Switches die Portsecurity aktivieren, damit externe unbekannte Clients von Besuchern die nicht im Netzwerk gestattet sind blockiert werden.
Ich kenne das von Huawei Switches mit dem MAC learning. Ich nehme an auf den Cisco ist ähnliches möglich, das der Switchport in shutdown mode kommt, sobald eine unbekannter client mit unbekannter MAC Adresse sich daran verbindet.
Nun ist meine Frage aber noch, wie macht ihr das wenn ihr externe Besucher habt, welche sich am Netzwerk anmelden dürfen?
Gebt ihr dann immer manuell die MAC Adresse von den CLients frei auf den Switches oder was gibt es da für best practises?
Ich bin gerade auch an einem anderen Thema DNSSEC am nachschauen, um unser DNS Server besser zu schützen.
Lässt sich dies vielleicht auch über den DHCP Lösen, das nur Clients welche z.B ein gültiges Zertifikat besitzen von der Domain Root CA, eine IP Adresse vom DHCP server erhalten?
Danke und Gruss
staybb
Please also mark the comments that contributed to the solution of the article
Content-ID: 5771763656
Url: https://administrator.de/contentid/5771763656
Printed on: October 10, 2024 at 05:10 o'clock
8 Comments
Latest comment
Hallo,
entweder mit MAC am Port oder mit 802.1x und RADIUS, Zauberwort heißt Network Access Control.
Wenn du eine größere Umgebung hast, würde ich dir zu z.B. macmon raten:
https://www.macmon.eu/
Ach ja zu deiner Frage, du hast das Gast-VLAN doch an bestimmten Ports, diese nimmst du dann einfach aus der Überwachung.
entweder mit MAC am Port oder mit 802.1x und RADIUS, Zauberwort heißt Network Access Control.
Wenn du eine größere Umgebung hast, würde ich dir zu z.B. macmon raten:
https://www.macmon.eu/
Ach ja zu deiner Frage, du hast das Gast-VLAN doch an bestimmten Ports, diese nimmst du dann einfach aus der Überwachung.
802.1x Für LAN und WLAN für INTERNE Benutzer.
WLAN mit WPA2 für Gäste über Captiv Portal.
Sonst alles unbekannten Geräte in extra VLAN mit Portisolation damit die Systeme nirgends hinkommen können.
Wir haben auch ein Extra VLAN fürs Deployment neuer Systeme. Hier wird dann das Gerät als User im AD angelegt ( via MAC ) und dann kommts ins passende VLAN und kann dann da betankt werden.
Ausnahme: Ports im Konf.Raum auf den Tischen geht wie WLAN im EXTRA VLAN direkt zum Captive Portal wie WLAN auch. Ist eigentlich das gleiche Netz. Die Ports an den Tischen sind aber FIX auf VLAN´s verteilt.
Mitarbeiter gehen sowieso übers WLAN. Wenns länger dauernde Sachen sind dann wird ggf. der ein oder andere Port uf INTERNES Netz mit 802.1x umgestellt. Das passiert aber nur 2 bis 3 mal im Jahr und is auf 2 bis 4 Ports begrenzt
Das ganze alles per NPS und Cisco / HP Switchen umgesetzt da VORGABE. WLAN Übrigens die Notebooks nur per Zertifikat / Managed Mobile Devices ebenfalls. Nicht Managed Geräte ( gibt auch welche die nicht durch eine MDM Software verwaltet werden können ) landen in einem Extra Netz und Terminieren direkt auf der Firewakk
WLAN mit WPA2 für Gäste über Captiv Portal.
Sonst alles unbekannten Geräte in extra VLAN mit Portisolation damit die Systeme nirgends hinkommen können.
Wir haben auch ein Extra VLAN fürs Deployment neuer Systeme. Hier wird dann das Gerät als User im AD angelegt ( via MAC ) und dann kommts ins passende VLAN und kann dann da betankt werden.
Ausnahme: Ports im Konf.Raum auf den Tischen geht wie WLAN im EXTRA VLAN direkt zum Captive Portal wie WLAN auch. Ist eigentlich das gleiche Netz. Die Ports an den Tischen sind aber FIX auf VLAN´s verteilt.
Mitarbeiter gehen sowieso übers WLAN. Wenns länger dauernde Sachen sind dann wird ggf. der ein oder andere Port uf INTERNES Netz mit 802.1x umgestellt. Das passiert aber nur 2 bis 3 mal im Jahr und is auf 2 bis 4 Ports begrenzt
Das ganze alles per NPS und Cisco / HP Switchen umgesetzt da VORGABE. WLAN Übrigens die Notebooks nur per Zertifikat / Managed Mobile Devices ebenfalls. Nicht Managed Geräte ( gibt auch welche die nicht durch eine MDM Software verwaltet werden können ) landen in einem Extra Netz und Terminieren direkt auf der Firewakk
Moin,
Gruß,
Dani
Gebt ihr dann immer manuell die MAC Adresse
das hilft evtl. gegen Kiddies, aber sonst keine wirkliche Hürde. Eine MAC-Adresse ist heute schnell geändert.wir haben bei uns auf de Cisco Switches noch kein Port Security aktiviert.
Da bietet sich bei entsprechender Lizenzierung die Cisco ISE an.Ich bin gerade auch an einem anderen Thema DNSSEC am nachschauen, um unser DNS Server besser zu schützen.
Oha... ehrgeiziges Ziel was du hast. Das ist kein Thema für nebenbei sondern Bedarf einer sauberen Planung. Gerade Hinblick mit Rollierung der Schlüssel, Clients die kein DNSSEC unterstützen, Man Power für den laufenden Betrieb und Fehlerfall. Im Worst Case geht nämlich nix mehr im LAN/DMZ.Gruß,
Dani
Zitat von @Dani:
Moin,
Gruß,
Dani
Moin,
Gebt ihr dann immer manuell die MAC Adresse
das hilft evtl. gegen Kiddies, aber sonst keine wirkliche Hürde. Eine MAC-Adresse ist heute schnell geändert.wir haben bei uns auf de Cisco Switches noch kein Port Security aktiviert.
Da bietet sich bei entsprechender Lizenzierung die Cisco ISE an.Ich bin gerade auch an einem anderen Thema DNSSEC am nachschauen, um unser DNS Server besser zu schützen.
Oha... ehrgeiziges Ziel was du hast. Das ist kein Thema für nebenbei sondern Bedarf einer sauberen Planung. Gerade Hinblick mit Rollierung der Schlüssel, Clients die kein DNSSEC unterstützen, Man Power für den laufenden Betrieb und Fehlerfall. Im Worst Case geht nämlich nix mehr im LAN/DMZ.Gruß,
Dani
Natürlich kann man das mit der MAC umgehen - aber das erfordert eben schon etwas mehr Planung als sich nur "irgendwo" anzustecken, da du ja zumindest mal ne gültige MAC benötigst UND die eben bestenfalls nicht noch woanders gleichzeitig aktiv ist.
Es kommt halt drauf an was man machen will - und wieviel Aufwand man da zu Anfang reinhängen will...