sigkill
Goto Top

Simples NAC gesucht

Hallo,

Ich suche eine Lösung, welche die Ports von managbaren Switchen(TP-Link TL-SG3424, evtl. Cisco SG200-xx,
Netgear ProSafe ) überwacht und abhängig von den angeschlossenen MACs passenden VLANs zuordnet...
Prima wäre auch ein zugehöriger DHCP-Server so dass man neue Geräte(MACs) an einer stelle inventarisieren und
IPs/VLANs zuordnen kann. Das ganze für 50-100 Geräte.

Weitergehende NAC-Funktionalität wird nicht gebraucht, dafür sollte das ganze relativ einfach administrierbar und
kostengünstig sein. Open Source wäre erste Wahl. Alles was ich bis jetzt gefunden habe erscheint mir doch
recht überdimensioniert für den Zweck.

Content-ID: 235268

Url: https://administrator.de/forum/simples-nac-gesucht-235268.html

Ausgedruckt am: 26.12.2024 um 12:12 Uhr

aqui
Lösung aqui 11.04.2014, aktualisiert am 15.04.2014 um 10:36:47 Uhr
Goto Top
Hier findest du deine Lösung mit einem Raspberry Pi der für deine User Anzahl reicht oder wenn du etwas mehr brauchst nimmst du ein Intel NUC:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
bzw.
Netzwerk Management Server mit Raspberry Pi
Einfacher und preiswerter gehts nicht !
sigkill
sigkill 14.04.2014 um 16:39:52 Uhr
Goto Top
Danke für die Tipps face-smile

Eine ganze Menge der Clients sind nicht wirklich 802.1x-fähig. (IP-Kameras, RS232-Server und ähnliches emdedded Zeug)....
Spricht etwas dagegen grundsätzlich per Mac Authentisierung zu arbeiten, alle Geräte in einem LDAP zu verwalten und Radius-, DHCP- und DNS-Server daraus zu füttern? Also mal abgesehen von der Sicherheit. Dass man MACs fälschen kann, davon habe ich schon gehört ;)

Was passiert bei der Konfiguration, wenn an einem managbaren Switch ein einfacher Hub/Switch hängt, an dem wiederum mehrere Geräte hängen, die ins selbe VLAN gehören? Wird das passend erkannt oder muss man den Port am Switch manuell konfigurieren? (Ideal wäre in dem Fall: Alle Geräte am Port im selben VLAN->passendes VLAN zuordnen. Ist ein "falsches" oder unbekanntes Gerät dabei -> Gast- bzw. Quarantäne-VLAN)

noch mal paar allgemeine Infos:
Es handelt sich um eine kleine Firma, das Netz ist seit 15 Jahren flach und dumm. Damals bestand es allerdings aus Server+3 PCs. Nun hat es mittlerweile eine Größe erreicht, wo es so nicht weiter geht. Die ebenso alte Telefonanlage soll durch VoIP abgelöst werden, im recht großen und unübersichtlichen Firmengelände sind eine Anzahl Kameras und Zugangskontrollsysteme hinzugekommen, mehr Clients, mehr Server, mobile Devices etc....
Das Netz muss also völlig neu strukturiert werden. Budget ist (wie so oft) extrem knapp bemessen.

Geplant sind 5 VLANs ... eins für die "klassische" Rechentechnik, eins für das Security-Zeugs, eins für VoIP, ein Managment- und ein Gast-VLAN für private Geräte. Als Router und DHCP-Server soll vorerst ein Mikrotik RB750GL arbeiten, später eine Linux-Firewall. Auf einem Linux-Server könnte FreeRADIUS und PowerDNS laufen(bisher macht der Accesspoint DNS-Server).
aqui
Lösung aqui 14.04.2014, aktualisiert am 15.04.2014 um 10:36:53 Uhr
Goto Top
Eine ganze Menge der Clients sind nicht wirklich 802.1x-fähig
Für die reine Mac Authentisierung mit 802.1x ist das nicht relevant, denn die brauchen dafür keinen .1x Client !
Spricht etwas dagegen grundsätzlich per Mac Authentisierung zu arbeiten, alle Geräte in einem LDAP zu verwalten und Radius-, DHCP- und DNS-Server daraus zu füttern?
Nein, absolut nicht, denn das ist gängige und übliche Praxis das genau so zu machen !
Was passiert bei der Konfiguration, wenn an einem managbaren Switch ein einfacher Hub/Switch hängt, an dem wiederum mehrere Geräte hängen, die ins selbe VLAN gehören?
Sehr gute und sinnvolle Frage... face-wink
Bessere Switches machen die Weiterleitung NUR ausschliesslich auf Basis der Mac. Also die Mac muss sich explizit authentisieren auch wenn sie an einem Billigswitch davorhängt.
Zusätzlich dazu können solche Switches diese Macs auch dediziert in unterschiedliche VLANs forwarden. Das Feature nennt man dann "Mac based VLANs".
Bei den billigen Vertretern reicht es das eine Mac das .1x "Tor aufmacht" und alle anderen können passieren. Glücklicherweise halten sich solche Billigheimer aber in Grenzen. Es macht immer Sinn dort mal genau ins Manual VOR dem Kauf zu sehen wenn man solche Überraschung ausschliessen will !
Auch kleine bessere VLAN Switches wie der z.B. Cisco SG-200-8 hat auch einen .1x Client an Bord so das der Switch sich selber authentisieren kann.
das Netz ist seit 15 Jahren flach und dumm
Ist leider sehr häufig und traurige Realität bei einer Vielzahl von mittleren Unternehmen und Behörden !
Die ebenso alte Telefonanlage soll durch VoIP abgelöst werden
Das erfordert allein schon aus rechtlichen Gründen (Fernmeldegeheimnis) ein separates VLAN !
sind eine Anzahl Kameras und Zugangskontrollsysteme hinzugekommen
...und das ebenso zwingend !
Geplant sind 5 VLANs
Das ist genau der richtige Weg für einen sinnvolle Segmentierung ! Die Server solltest du auch in ein separates RZ VLAN abtrennen.

Grundlegende Infos dazu gibt es noch hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ggf. ist ein L3 fähiger Switch im Core der den VLAN Router ersetzt aus Performance Sicht günstiger, aber das ist letztlich abhängig von der Anzahl der User usw.
sigkill
sigkill 15.04.2014 um 10:09:34 Uhr
Goto Top
Hallo,

Danke für die Antwort, damit bin ich wohl erst mal auf dem richtigen Weg.


Zitat von @aqui:
Zusätzlich dazu können solche Switches diese Macs auch dediziert in unterschiedliche VLANs forwarden. Das Feature nennt
man dann "Mac based VLANs".
Auch kleine bessere VLAN Switches wie der z.B. Cisco SG-200-8 hat auch einen .1x Client an Bord so das der Switch sich selber
authentisieren kann.

Derzeit gibt es nur einen TP-Link TL-SG3424, weitere passende Switche müssen beschafft werden. So wie ich das jetzt sehe,
wären die Dynamische VLAN Zuweisung vom Switch und Mac based VLANs Must have - Features. Den TP-Link müsste ich
darauf testen(zumindest nach Spezifikation kann er "Port/ MAC/Protokoll-basiertes VLAN"). Laut
www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x-und-freeradius-am-lan-switch-154402.html#toc-8
unterstützen die Cisco SG-200 aber keine Dynamische VLAN Zuweisung. Muss ich mich nach Alternativen umschauen, denn
die 300er sprengen vermutlich das Budget. Mal schauen, was es noch so auf dem Markt gibt ... PoE wäre auch ein nützliches
Feature um die ganzen Netzteile und PoE-Injektoren der VoIP-Telefone, Kameras etc. abzuschaffen.

Das ist genau der richtige Weg für einen sinnvolle Segmentierung ! Die Server solltest du auch in ein separates RZ VLAN
abtrennen.

Habe ich in Erwägung gezogen, aber damit liefe so ziemlich der gesamte Traffic über den Router, was ich vermeiden wollte.
Es handelt sich dabei um ca. 10 Clients, 4 Server(virtualisiert auf einer Hardware) und 5 Drucker. Wenn das Netz weiter wächst,
kann ich die immer noch separieren.
aqui
Lösung aqui 15.04.2014 aktualisiert um 10:36:59 Uhr
Goto Top
So wie ich das jetzt sehe, wären die Dynamische VLAN Zuweisung vom Switch und Mac based VLANs Must have - Features
Ja, absolut richtig !
Mittlerweile sind diese Funktionen sehr weit verbreitet auch in den preiswerten Web Smart Switches. Wichtig für dich ist das du dediziert nachfragst ob dynamische VLANs mit der .1x Funktion supportet sind bevor du kaufst !
PoE wäre auch ein nützliches Feature um die ganzen Netzteile und PoE-Injektoren der VoIP-Telefone, Kameras etc. abzuschaffen.
Ebenso sehr richtig und sinnvoll ! Abgesehen davon reduziert es erheblich die Fehleranfälligkeit des Netzes speziell Voice durch Entfall der dann überflüssigen Injektoren !
damit liefe so ziemlich der gesamte Traffic über den Router,
Da hast du recht. Der Tip bezog sich auch eher dann auf den Einsatz eines L3 Switches wo es dann Sinn macht.
Wenn du mit einem externen Router arbeitest ist deine o.a. Segmentierung bei dieser doch sehr geringen Anzahl von Server und Clients sicher vorteilhafter, keine Frage.
sigkill
sigkill 15.04.2014 um 10:39:58 Uhr
Goto Top
Herzlichen Dank für die zielführenden Tipps face-smile
ae0n.io
ae0n.io 28.05.2016 um 13:18:50 Uhr
Goto Top
Zitat von @sigkill:
Derzeit gibt es nur einen TP-Link TL-SG3424, weitere passende Switche müssen beschafft werden. So wie ich das jetzt sehe,
wären die Dynamische VLAN Zuweisung vom Switch und Mac based VLANs Must have - Features. Den TP-Link müsste ich
darauf testen(zumindest nach Spezifikation kann er "Port/ MAC/Protokoll-basiertes VLAN").

Hallo, hast du das mittlerweile mal getestet? Wäre gut zu wissen da ich gerade vor dem selben Problem stehe.