darkzonesd
Goto Top

Port Security Management selber programmieren

Moin zusammen,

wir haben uns nach langem hin und her dafür entschieden unsere Switch-Schnittstellen mit einer festen MAC-Adresse zu verknüpfen. Nun ist die Konfiguration von diesen Ports nicht schwierig, aber ein bisschen nervig, vorallem da wir noch ein paar unterschiedliche (Aruba) Switchehaben die unterschiedliche Commands entgegen nehmen. Ich weiß es existieren Produkte wie Aruba Central die dies können, aber ich hätte gerne etwas simples und (im besten Fall) kostenfreies.

Da dachte ich mir, das kann ich ja selber Programmieren. Meine Idee wäre gewesen ein Open-Source Programm zu machen das nur das kann, Mac Adressen basiert Vlans konfigurieren. In einer Datenbank werden die Switch konfigurationen gespeichert, man kann von dem Programm aus die einzelnen Switche abfragen und Port basiert die Informationen zurückbekommen wie z.B. Patchpanel Port, MAC, Computername, etc..
Man gibt in eine Maske ein welche Werte man aktualisieren möchte und das Programm nimmt diese Werte und setzt sie in eine vorgefertigte Command-serie ein und schickt die commands dann per SSH auf den Switch den man ausgewählt hat. Man kann neue Switche anlegen oder löschen oder nur die Konfiguration abfragen.

Ich hätte die Commands für die benötigte Konfiguration wahrscheinlich im JSON, XML, o.ä. gespeichert sodass man Theoretisch jeden Switch den man verwenden möchte dann mit dem anhängen einer config Datei verwalten kann, sei es Aruba, Unify, MikroTik, etc..

Denkt Ihr so ein Programm macht Sinn? Ich habe nichts gefunden was mir für diesen Anwendungszweck hilft.
Was für Risiken würde soetwas bergen?
Oder gäbe es einen viel einfacheren Ansatz?

Ich würde das ganze mit C# .Net machen.

Grüße

Florian

Content-Key: 7816940039

Url: https://administrator.de/contentid/7816940039

Printed on: June 25, 2024 at 22:06 o'clock

Member: em-pie
em-pie Jul 11, 2023 at 17:06:02 (UTC)
Goto Top
Moin,

Man muss das Rad ja nicht neu erfinden.
Setze einen Radius auf und arbeite an den Switchen (und in WLAN) mit 802.1x
Kollege @aqui hat da mal was vorbereitet:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Member: DarkZoneSD
DarkZoneSD Jul 11, 2023 at 17:12:23 (UTC)
Goto Top
Moin,

hatten wir bis vor kurzem, es wurde sich allerdings gegen einen Radius entschieden da es bei uns ein SPOF war. Der mehrmals zu kritischen ausfällen geführt hatte. Port Security steht erstmal fest.

Grüße
Member: aqui
aqui Jul 11, 2023 updated at 17:16:51 (UTC)
Goto Top
Das statisch einzeln auf den Switches zu machen ist Unsinn und wenig skalierend. Ist so mit der Hose und der Kneifzange... Die Kollegen oben haben es ja schon gesagt.

Wenn, macht man das immer zentral mit einem Radius und Mac Bypass. Alles andere ist nicht wirklich vernünftig managebar. Das supporten auch alle deine Aruba Gurken.
Freeradius Management mit WebGUI
Member: em-pie
em-pie Jul 11, 2023 updated at 17:17:43 (UTC)
Goto Top
Dann bau den Radius redundant auf:
https://aacable.wordpress.com/tag/radius-high-availability/

Einen physisch (kleiner RPi oder ein Tiny von Lenovo/ Dell/ HP/ …) und einen in einer VM…

Und jeder Switch bekommt halt noch einen Port, der definiert im Managent VLAN hängt und von 802.1x ausgenommen ist - als Backup.
Member: clSchak
clSchak Jul 11, 2023 updated at 17:23:56 (UTC)
Goto Top
Hi

ich werfe mal PacketFence in dem Raum. Alternativ, gegen $$ macmon , kommen aus Berlin. Es müssen nicht immer "US Lösungen" sein face-wink.

Windows NPS kannst im "HA" Laufen lassen, allerdings nur über einen Loadbalancer, "direkt" kann der das leider nicht.

je nach Anzahl der Geräte sollte man ggf. eine Managementlösung einsetzen, wir nutzen für die Administration der Switche die Lösung von Manageengine "Networkconfiguration Manager", damit lassen sich Settings Zentral über Scripte recht schnell ausrollen, z.B. neues VLAN vom Router zum Endpunkt usw., ist aber nicht kostenlos.

Gruß
@clSchak
Member: DarkZoneSD
DarkZoneSD Jul 11, 2023 at 17:26:01 (UTC)
Goto Top
Moin,

PacketFence wurde tatsächlich bis vor kurzem noch verwendet face-smile Hat allerdings bei uns zu vielen Problemen geführt..

Grüße
Member: DarkZoneSD
DarkZoneSD Jul 11, 2023 at 17:28:29 (UTC)
Goto Top
@aqui @em-pie

Klingt alles sehr sinnig und auch sicher. Habt Ihr damit Erfahrungen? Wie zuverlässig ist das System?

Grüße
Member: aqui
aqui Jul 11, 2023 at 17:49:34 (UTC)
Goto Top
Sehr zuverlässig und sicher wenn man es wie oben einrichtet und extrem skalierbar. Bei der Nutzung einer VM ist man sehr flexibel was das Backup und die Migration angeht.
In größeren Umgebungen > 1000 Ports mit hohen Verfügbarkeitsanforderungen macht es ggf. Sinn 2 Radius Server laufen zu lassen. Alle Infrastrukturkomponenten supporten das.
Hängt aber auch immer von eigenen Backup und Verfügbarkeits Konzepten ab.
Member: DarkZoneSD
DarkZoneSD Jul 11, 2023 at 19:31:30 (UTC)
Goto Top
je nach Anzahl der Geräte sollte man ggf. eine Managementlösung einsetzen, wir nutzen für die Administration der Switche die Lösung von Manageengine "Networkconfiguration Manager", damit lassen sich Settings Zentral über Scripte recht schnell ausrollen, z.B. neues VLAN vom Router zum Endpunkt usw., ist aber nicht kostenlos.

Wie ist bis jetzt eure Erfahrung mit dem Configuration Manager? auf der Webseite sieht es ja aus als kann der weitaus mehr, da wir schon ein Endpoint management haben (Das aber in der Funktion recht eingeschränkt ist) verglichen mit dem hier, würde mich das schon interessieren.

Grüße

Florian
Member: tech-flare
tech-flare Jul 11, 2023 updated at 19:47:38 (UTC)
Goto Top
Zitat von @DarkZoneSD:

Moin,

PacketFence wurde tatsächlich bis vor kurzem noch verwendet face-smile Hat allerdings bei uns zu vielen Problemen geführt..

Grüße

Dann habt ihr scheinbar etwas fehl konfiguriert. Wir setzen es weltweit seit ca 5 Jahren für über 15.000 Geräte ein. Im HA Modus seit ca 2 Jahren .

Genutzt wird Packetfence für MAC Authentication Bypass (MAB) und je nach Netzwerk mit 802.1x.
Member: clSchak
clSchak Jul 11, 2023 at 21:52:13 (UTC)
Goto Top
Zitat von @DarkZoneSD:

je nach Anzahl der Geräte sollte man ggf. eine Managementlösung einsetzen, wir nutzen für die Administration der Switche die Lösung von Manageengine "Networkconfiguration Manager", damit lassen sich Settings Zentral über Scripte recht schnell ausrollen, z.B. neues VLAN vom Router zum Endpunkt usw., ist aber nicht kostenlos.

Wie ist bis jetzt eure Erfahrung mit dem Configuration Manager? auf der Webseite sieht es ja aus als kann der weitaus mehr, da wir schon ein Endpoint management haben (Das aber in der Funktion recht eingeschränkt ist) verglichen mit dem hier, würde mich das schon interessieren.

Grüße

Florian

läuft super, wenn man einmal den Script-Syntax verstanden hat, geht es recht simpel. VLAN Ausrollen auf den gesamten Edgebereich (ca. 80 Geräte) in unter 2 Minuten. Config-Backups werden täglich gezogen, Änderungen in jeglicher Form werden ermittelt via Audit-Report an einen Verteiler gesandt, damit sind dann alle die mit den Geräten arbeiten informiert.

Die Audit-Funktion prüft dann auch auf evtl. vorhandene Config-Fehler oder fehlenden Einstellungen die man ggf. noch setzen muss (Console-Timeout, inaktives Webinterface, kein Telnet usw.), somit ist dann sichergestellt, das diverse Sicherheitsvorgaben immer eingehalten werden.
Member: aqui
aqui Jul 23, 2023 at 09:09:57 (UTC)
Goto Top
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
Member: DarkZoneSD
DarkZoneSD Jul 23, 2023 at 09:44:25 (UTC)
Goto Top
Sollen Threads die nicht als Frage markiert wurden auch geschlossen werden?