frommeyer
Goto Top

RADIUS Server für Switch Port Security?

Hallo,

folgende Frage:
Ist es möglich mit einem RADIUS Server eine Art Switch Port Security einzurichten??

Ich stell mir das ungefähr so vor:

Ein Benutzer schaltet seinen PC ein.
Der PC hängt an einem Switch.
Der Switch prüft auf dem RADIUS-Server ob dieser PC und/oder Benutzer die Berechtigung für das Netzwerk besitzt.
Falls ja, wird der Port auf dem Switch aktiviert.
Falls nein, bleibt der Port deaktivert.

Ist sowas möglich, oder liege ich total daneben.
Wenn ja, hat jemand sowas schon im Einsatz und mit welchem RADIUS-Server und welchen Switchen.
ICh habe schon gelesen, daß der Windows 2003 Server einen ISA-Server mitbringt, dieser kann aber nur 50 Clients.
Super wäre einen Einbindung in die bestehende Active Directory.

Danke im Voraus.

MfG,

Jens

Content-ID: 29170

Url: https://administrator.de/contentid/29170

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

27119
27119 28.03.2006 um 17:13:55 Uhr
Goto Top
Das geht, mit 802.1X. Das ist eine der wohl besten Methoden sein Netz abzusichern.

Port-Security ist eigentlich eine Cisco Switch Funktion, um nur bestimmte MACs auf Switchports zuzulassen. Eher aufwendig in der Pflege.
meinereiner
meinereiner 28.03.2006 um 17:25:46 Uhr
Goto Top
Kleine Erweiterung zu dunos Kommentar:

XP und 2000 unterstützen 802.1x von Haus aus und es geht über den IAS auch auf Benutzerebene und übers AD.

Die Begrenzung der Clients ist von Windows Standard zur Enterprise Edition unterschiedlich. Ohne jetzt die Zahlen im Kopf zu haben. Als Client zählt in dem Fall aber der Switch und nicht die Rechner, die am Switch hängen, da der Switch den IAS abfragt.
BartSimpson
BartSimpson 28.03.2006 um 17:43:26 Uhr
Goto Top
Auf alle Fälle benötigst du einen Switch der 802.1X fähig ist.
Dann der Sicherheit wegen eine PKI.
Und dann EAP-TLS aus Autentifizieungsmehtode. Als Radiusserver kannste entwerder freeradius oder den von MS nehmen. Je nach dem, was dir mehr liegt.
Allerdings solltest du die Schattenseite auch kennen lernen.
Dachen wie TFT Boot oder RIS fallen denn flach. Denn der PXE Stack kennte kein 802.1x
motivator77
motivator77 03.04.2006 um 16:29:26 Uhr
Goto Top
Hallo,

Ja das was Du vorhast ist möglich. Das ganze nennt sich dann Policy enabled Networking (PEN) unter Verwendung von IEEE 802.1x. Als RADIUS Server kannst Du jeden beliebigen nehmen. Egal ob Steel Belted Funk oder den Windows eigenen RADIUS Server. Nur die Switche müssen dieses Feature unterstützen.

Die Funktion ist folgendermassen:
Der User identifiziert sich am Switchport entweder per MAC-Adresse, per IP, per Benutzername/Passwort oder mit dem Rechnernamen. Der Switch schickt die Daten zum RADIUS Server und der schaut nach den Rechten des Benutzers. Dem Benutzer ist im AD eine Rolle mit den entsprechenden Rechten zugewiesen. Der RADIUS schickt dann einen String an den Switch und der Switch schaltet den entsprechenden Port frei oder sperrt ihn, oder aber lässt nur ganz bestimmte Protokolle zu.
Die Rechte lassen sich wie bei einer Firewall auf Protokollebene runterbrechen. So kann man zum Beispiel der Gruppe Vertriebler das Protokoll Telnet und ping verbieten.
Es lassen sich für jede Funktion der Angestellten im Unternehmen Rollen definieren. Zum Beispiel bekommt ein Benutzer, der sich nicht autentisieren kann (ein Gast mit einem Notebook) die Rolle mit den niedrigsten Rechten (default role, z.B. nur HTTP) zugewiesen. Die User, die sich autentisieren können, bekommen höherwertige Rollen zugewiesen.
Ich habe soetwas mal mit Komponenten von Enterasys Networks implementiert. Als Radius Server haben wir den IAS unter Windows Server 2003 genutzt, als Switche Enterasys Komponenten und als Software zum Konfigurieren der Regeln und Services den Enterasys Policy Manager.

gruss
motivator77
Frommeyer
Frommeyer 07.04.2006 um 08:57:10 Uhr
Goto Top
Hallo an alle,

brauch ich für die RADIUS Autentifizierung zwingend eine PKI Public Key Infrastructure??

MfG,

Jens
BartSimpson
BartSimpson 07.04.2006 um 09:05:08 Uhr
Goto Top
Wenn EAP-TLS genutzt werden soll, denn schon.
meinereiner
meinereiner 07.04.2006 um 09:48:04 Uhr
Goto Top
Wenn du es über PEAP machst nicht.
aqui
aqui 09.05.2006 um 16:17:21 Uhr
Goto Top
Für MD5 Hash auch nicht...
BartSimpson
BartSimpson 09.05.2006 um 16:45:54 Uhr
Goto Top
Aber ohne PKI bleibt auch die Sicherheit teilweise auf der Strecke.