binarybear
Goto Top

UniFi-APs - Sicherung des LAN-Anschlusses möglich?

Moin,

in der Schule haben wir größtenteils Cisco, welche soweit abgesichert sind, dass an dem LAN-Port nur ein isoliertes VLAN anliegt, wo der Controller erreichbar ist. Somit werden die Verbindungen des Verwaltungs-WLAN, etc dann über den Controller erst in die VLANs gebracht.

Da ich bald eine Ausbildung zum FiSi mache experimentiere ich gerade ein wenig mit AccessPoints rum, zuhause hauptsächlich mit einfachen OpenWrt-Routern, welche dann mehrere WLAN-Netzwerke aussenden. Entsprechend ist dann ein Trunk-Port konfiguriert, welcher die WLAN-Daten dann in die einzelnen VLANs packt.

Und da sehe ich genau das Problem: Sofern nun die APs (wie einige bei uns in der Schule) recht unbeaufsichtigt platziert sind wäre ja jeder dahergelaufene in der Lage dort sein eigenes Gerät anzuschließen und eben Spaß im z.B. Verwaltungs-LAN zu haben, nur weil dies auch tagged auf dem LAN-Port liegt.
Nun, bei mir zuhause sollte dies wohl nicht vorkommen, da auf dem Port auch passive PoE gefahren wird und somit mehr oder weniger eine physische Sicherung gegen Angreifergeräte vorliegt... :D

Nun habe ich vor einiger Zeit Ubiquiti-UAPs im Internet gefunden und finde deren Ansatz im Vergleich zu Cisco recht gut.
Diese setzen ja auch auf einen Controller, doch gibt es hier vergleichbare Sicherheitsfunktionen um einen Angriff über einen entsprechenden LAN-Port zu verhindern?
So wie ich das verstanden habe muss bei den UAPs auch jedes VLAN an dem Port verfügbar sein, wo der AP angeschlossen ist...

Ist dem so oder kann man das auch absichern, eben indem die Verbindung über den Controller umgeroutet wird oder ggf. durch 802.1x mit mehreren VLANs?

Content-ID: 366876

Url: https://administrator.de/contentid/366876

Ausgedruckt am: 08.11.2024 um 09:11 Uhr

wiesi200
wiesi200 03.03.2018 aktualisiert um 16:33:14 Uhr
Goto Top
Hallo,

das geht aktuell noch nicht. Ist aber eine der kommenten Funktionen.
In der aktuellen 5.8.3 (Beta) ist schon enthalten dass die AP's über ein Tagged V-Lan verbunden werden können . Ist aber der erste öffentliche Releas von 5.8.x und entsprechend noch nicht 100% gut.
Die nächste Version 5.8.7 sollte die nächsten Tage kommen.

Die V-Lan's der einzelnen SSID's müssen aber trotzdem als Tagged V-Lan geschaltet werden.
aqui
Lösung aqui 03.03.2018 aktualisiert um 16:59:51 Uhr
Goto Top
dass an dem LAN-Port nur ein isoliertes VLAN anliegt,
Ist ja auch der Normalfall in professionellen Installationen.
Entsprechend ist dann ein Trunk-Port konfiguriert, welcher die WLAN-Daten dann in die einzelnen VLANs packt.
Der Klassiker. Thema MSSID. Siehe auch hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und eben Spaß im z.B. Verwaltungs-LAN zu haben
Nicht wenn man eine Port Authentisierung mit 802.1x macht !!
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Netzwerk Management Server mit Raspberry Pi
um einen Angriff über einen entsprechenden LAN-Port zu verhindern?
Wenn die 802.1x supporten dann ja.
Nur taggen nützt nix, denn das ist in 5 Sekunden überwunden per Mausklick.
BinaryBear
BinaryBear 04.03.2018 um 15:03:40 Uhr
Goto Top
Aber genau das ist ja das Problem / die Frage:

Die UniFi APs werden meines Erachtens mittels VLAN-Trunk eingebunden, da der Controller ja nicht zwingend laufen muss. Somit müssen alle Netzwerke, die am AP als WLAN-Netz bereitgestellt werden auch via VLAN dort verfügbar sein...

Doch kann man überhaupt 802.1x einrichten, wenn man mehrere VLANs auf einem Port hat?
Bei den Cisco-Geräten geht das logischerweise, da diese ja nicht die einzelnen VLANs brauchen, sondern nur den Controller-Zugang...

An sich habe ich mich halt gefragt, wieso so viele auf die Cisco-APs setzen, anstatt auf die günstigeren UniFis... Das ist dann natürlich ein verständlicher Punkt, wenn man den Netzwerkanschluss nicht schützen kann... Gerade an Schulen ist das natürlich uncool, wenn man den AP rausziehen kann und dann mittels Wireshark nur noch die VLAN-ID von sensiblen Netzen "erschnüffeln" muss...