12
Radius im LAN - Nicht WLAN!
Hallo LIebe Community,
mal wieder eine Frage von mir.
Wir haben in unserer Windows Domäne mehrere Server und Clients und suchen nun eine gute Sicherheit um fremdgeräten den Zugang zum Netz dicht zu machen.
Seiner Zeit hatten wir mal die ArpGuard im Einsatz. Grundsätzlich auch ne schöne Sache aber die hat dermaßen die Performance runtergezogen und dann gab es auch noch sachen das mit mal ALLE Mac adressen gesperrt waren...ergo; Arp Guard aus!
Jetzt kam von unserem Dienstleister für NEtzwerk der Hinweis Radius zu nutzen. Bislang war mir Radius nur für WLAN bekannt.
Habt ihr Erfahrung damit/könnt mir sagen wie das im LAN funktionieren soll?
Was benötigt man dafür?
Vielen Dank!
mal wieder eine Frage von mir.
Wir haben in unserer Windows Domäne mehrere Server und Clients und suchen nun eine gute Sicherheit um fremdgeräten den Zugang zum Netz dicht zu machen.
Seiner Zeit hatten wir mal die ArpGuard im Einsatz. Grundsätzlich auch ne schöne Sache aber die hat dermaßen die Performance runtergezogen und dann gab es auch noch sachen das mit mal ALLE Mac adressen gesperrt waren...ergo; Arp Guard aus!
Jetzt kam von unserem Dienstleister für NEtzwerk der Hinweis Radius zu nutzen. Bislang war mir Radius nur für WLAN bekannt.
Habt ihr Erfahrung damit/könnt mir sagen wie das im LAN funktionieren soll?
Was benötigt man dafür?
Vielen Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 204861
Url: https://administrator.de/contentid/204861
Printed on: April 25, 2024 at 10:04 o'clock
12 Comments
Latest comment
Mit verwaltbaren Switches und 802.1X geht sowas.
Hi,
schau Dir mal diese Anleitung an: Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Gruß
Heiko
schau Dir mal diese Anleitung an: Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Gruß
Heiko
Hallo,
Kleiner Tipp von mir, geh mal zum nächsten Kiosk und hol Dir ein c´t, da wird das gerade auf zwei Seiten abgehandelt und recht verständlich erklärt.
Wie meine Vorredner es schon angesprochen haben, man braucht dafür mehrere Sachen die zusammen arbeiten.
- Switche die Radius Auth. unterstützen und/oder Switche mit einem eingebauten Radius Server, die kosten aber richtig.
- Einen Radius Server
- Klienten die via Radius authentifiziert werden können/sollen.
Aber so etwas "haut" Dir/Euch auch immer eine gewisse Last auf das LAN Kabel!
Also wenn das Routing bei Euch nur der Router oder die Firewall macht und im LAN kein Layer 3 Switch zur Verfügung steht, am bsten ein "Non Blocking" Switch, dann würde ich das mal lieber lassen, allerdings
kommt es hier auch immer auf die Anzahl der Geräte an!!!
Also Kabel gebundene Geräte würde ich immer via LDAP und kabellose Geräte via Radius absichern wollen,
einzige Ausnahme ist die DMZ in der ein DMZ Radius Server steht um diese noch besser abzusichern.
Gruß
Dobby
Kleiner Tipp von mir, geh mal zum nächsten Kiosk und hol Dir ein c´t, da wird das gerade auf zwei Seiten abgehandelt und recht verständlich erklärt.
Wie meine Vorredner es schon angesprochen haben, man braucht dafür mehrere Sachen die zusammen arbeiten.
- Switche die Radius Auth. unterstützen und/oder Switche mit einem eingebauten Radius Server, die kosten aber richtig.
- Einen Radius Server
- Klienten die via Radius authentifiziert werden können/sollen.
Aber so etwas "haut" Dir/Euch auch immer eine gewisse Last auf das LAN Kabel!
Also wenn das Routing bei Euch nur der Router oder die Firewall macht und im LAN kein Layer 3 Switch zur Verfügung steht, am bsten ein "Non Blocking" Switch, dann würde ich das mal lieber lassen, allerdings
kommt es hier auch immer auf die Anzahl der Geräte an!!!
Also Kabel gebundene Geräte würde ich immer via LDAP und kabellose Geräte via Radius absichern wollen,
einzige Ausnahme ist die DMZ in der ein DMZ Radius Server steht um diese noch besser abzusichern.
Gruß
Dobby
nun eine gute Sicherheit um fremdgeräten den Zugang zum Netz dicht zu machen.
Dann vergiss RADIUS.
Das ist im LAN so effektiv wie die MAC-ID-Sperrlisten bei WLAN.
Hallo @dog,
zusammen bekommt, entweder als .pem (Windows) oder als .pam (Linux) Datei und wer keine solche Datei hat dem wird der Zugang zum Netzwerk verweigert, oder????
Gruß
Dobby
Das ist im LAN so effektiv wie die MAC-ID-Sperrlisten bei WLAN.
Normaler weise läuft das doch so ab, zumindest meinem Wissensstand zufolge, aber ich lasse mich auch gerne korrigieren, das jedes Netzwerkgerät ein Zertifikat und einen Schlüsselzusammen bekommt, entweder als .pem (Windows) oder als .pam (Linux) Datei und wer keine solche Datei hat dem wird der Zugang zum Netzwerk verweigert, oder????
Gruß
Dobby
Normaler weise läuft das doch so ab, [...] das jedes Netzwerkgerät ein Zertifikat und einen Schlüssel zusammen bekommt,
Ja, du kannst zwar kontrollieren, wie die Authentifizierung stattfindet, was authentifiziert wird ist aber immer die MAC-ID und der Port-State.
Wenn du also einen "legalen" Client über einen Hub mit dem Switch verbindest, den die Anmeldung durchlaufen lässt, dann dem "Rouge" Client dessen IP und MAC-ID gibst, und am Hub statt dem echten Client deinen anschließt hast du vollen Zugriff, weil 802.1x im LAN eben nicht jedes einzelne Paket verifiziert (im Gegensatz zum WLAN, wo WPA das übernimmt), sondern nur einmal beim Port-State-Wechsel die Freigabe.
Zwar kann man an Switchen die periodische Re-Authentifizierung konfigurieren, aber wer ein bisschen Ahnung von Linux hat kann sich auch einen 'Switch' bauen, der alle RADIUS-Pakete an den legalen Client weiterleitet und den Rest vom Traffic an den eigenen...
1
@dog,
Danke, das war ja mal eine ausführliche Erklärung.
Also das heißt doch dann eigentlich:
- WLAN über Radius mit Zertifikat
- LAN via LDAP
- Und an den Switchen dann VLANs, ACLs und Port Security
Wäre das so für das LAN in Ordnung?
Gruß
Dobby
Danke, das war ja mal eine ausführliche Erklärung.
Also das heißt doch dann eigentlich:
- WLAN über Radius mit Zertifikat
- LAN via LDAP
- Und an den Switchen dann VLANs, ACLs und Port Security
Wäre das so für das LAN in Ordnung?
Gruß
Dobby
Wenn du im LAN wirklich sicher gehen willst:
Microsoft nennt das "Domain Isolation".
- Verhindern, dass Benutzer lokale Admin-Rechte haben
- Bitlocker benutzen, damit niemand eine Live-CD benutzen kann, um Zertifikate offline zu klauen
- Zertifikate auf alle Clients ausrollen
- Zertifikatbasiertes IPSec im Transport-Modus benutzen
Microsoft nennt das "Domain Isolation".
1
Danke für die vielen Antworten...
Also zum Verständnis:
Wir haben ein Netz mit ca.
- 300 Thin Clients
- 400 PC's
- 120 Server (Virtuell und physikalisch)
Es sind etwa 45 Brocade Switche und 2 FastIrons als naja...äh...Backbone im Einsatz.
Unsere AD beherbergt etwa 1400 User Accounts.
Das Routing wird von unserer Firewall (Sophos UTM9) übernommen. Ist es denn tatsächlich so, dass ich auch bei einer Client und Userauth. beim RADIUS mit einem Mac-Changer o.ä. das System umgehen könnte?
Die Switche beherrschen die Technologie und sind natürlich Layer 3.
Was ist denn eine gute Technologie und alternative zur Arp-Guard?
Also zum Verständnis:
Wir haben ein Netz mit ca.
- 300 Thin Clients
- 400 PC's
- 120 Server (Virtuell und physikalisch)
Es sind etwa 45 Brocade Switche und 2 FastIrons als naja...äh...Backbone im Einsatz.
Unsere AD beherbergt etwa 1400 User Accounts.
Das Routing wird von unserer Firewall (Sophos UTM9) übernommen. Ist es denn tatsächlich so, dass ich auch bei einer Client und Userauth. beim RADIUS mit einem Mac-Changer o.ä. das System umgehen könnte?
Die Switche beherrschen die Technologie und sind natürlich Layer 3.
Was ist denn eine gute Technologie und alternative zur Arp-Guard?
Hallöle,
schon was neues in der Geschichte?
Hat sich der Beitrag erledigt?
Sollte er sogar gelöst worden sein wäre eine Mitteilung hierüber auch für uns alle interessant,
denn so ein Forum lebt nun einmal davon das andere Mitglieder die Suchfunktion benutzen und Ergebnisse vorfinden.
Gruß
Dobby
schon was neues in der Geschichte?
Hat sich der Beitrag erledigt?
Sollte er sogar gelöst worden sein wäre eine Mitteilung hierüber auch für uns alle interessant,
denn so ein Forum lebt nun einmal davon das andere Mitglieder die Suchfunktion benutzen und Ergebnisse vorfinden.
Gruß
Dobby
Ney, jibt noch niks neues. Haben demnächst einen Workshop um komplett einmal die Radius Sache zu analysieren und auch an einer DMZ Strategie zu feilen. werde dann berichten!
