14
NIC mit Port Security
Aloha an alle,
Ich stelle mich gerade eine Frage im Bezug auf Portsecurity bei NIC's.
Wird die Port Security am Switch aktiviert wird dies ja anhand der MAC Adresse ausgeführt.
Nun würde ich gern verhindern, dass jemand die MAC Adresse am NIC auslesen kann um dann die Port Security zu umgehen.
In erster Linie indem ich das Prinzip gern umkehren würde. Wird an den NIC ein anderes Gerät als der Switch angeschlossen wird der Port abgeschaltet und schickt nicht seine MAC Adresse an diesen Rechner.
Kennt jemand dafür einen Mechanismus oder einen NIC der das unterstützt?
LG
Theo
Ich stelle mich gerade eine Frage im Bezug auf Portsecurity bei NIC's.
Wird die Port Security am Switch aktiviert wird dies ja anhand der MAC Adresse ausgeführt.
Nun würde ich gern verhindern, dass jemand die MAC Adresse am NIC auslesen kann um dann die Port Security zu umgehen.
In erster Linie indem ich das Prinzip gern umkehren würde. Wird an den NIC ein anderes Gerät als der Switch angeschlossen wird der Port abgeschaltet und schickt nicht seine MAC Adresse an diesen Rechner.
Kennt jemand dafür einen Mechanismus oder einen NIC der das unterstützt?
LG
Theo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 240750
Url: https://administrator.de/contentid/240750
Printed on: April 19, 2024 at 23:04 o'clock
14 Comments
Latest comment
Hallo,
Gruß
Dobby
Wird die Port Security am Switch aktiviert wird dies ja anhand der MAC Adresse ausgeführt.
Nun würde ich gern verhindern, dass jemand die MAC Adresse am NIC auslesen kann um
dann die Port Security zu umgehen.
Das kann man ganz einfach mittels eines Radius Servers und Zertifikaten erledigen.Nun würde ich gern verhindern, dass jemand die MAC Adresse am NIC auslesen kann um
dann die Port Security zu umgehen.
In erster Linie indem ich das Prinzip gern umkehren würde. Wird an den NIC ein anderes
Gerät als der Switch angeschlossen wird der Port abgeschaltet und schickt nicht seine
MAC Adresse an diesen Rechner.
Und wie soll das bitte funktionieren?Gerät als der Switch angeschlossen wird der Port abgeschaltet und schickt nicht seine
MAC Adresse an diesen Rechner.
Gruß
Dobby
Hallo Dobby,
Per Radius geht das natürlich, aber das wäre ,eine 2. Option gewesen.
Das geht natürlich nur wenn es NICs gibt die das nativ unterstützten.
Bleibt natürlich das Problem, dass der Switch nunmal nur von dem NIC der Macadresse angesprochen wird und vom Netzwerk an den NIC wesentlich mehr MAC Adressen kommen...
Hat jemand noch eine andere Idee außer Radius? Auch wenn ich selber im Moment keine andere Option kenne.
LG
Theo
Per Radius geht das natürlich, aber das wäre ,eine 2. Option gewesen.
Das geht natürlich nur wenn es NICs gibt die das nativ unterstützten.
Bleibt natürlich das Problem, dass der Switch nunmal nur von dem NIC der Macadresse angesprochen wird und vom Netzwerk an den NIC wesentlich mehr MAC Adressen kommen...
Hat jemand noch eine andere Idee außer Radius? Auch wenn ich selber im Moment keine andere Option kenne.
LG
Theo
Hat jemand noch eine andere Idee außer Radius?
Es wird wohl noch andere Ideen dazu geben und auch Lösungswege nur,sollte man eben nicht davon ausgehen dass das alles via Treiber der NIC läuft.
Gruß
Dobby
Wird die Port Security am Switch aktiviert wird dies ja anhand der MAC Adresse ausgeführt.
Nein, das ist Unsinn und nur die halbe Miete.Bei Verwendung von 802.1x ist das auch mit Usernamen /Passwort oder Zertifikaten möglich
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Verwende also 802.1x am Switch dann hast du die Mac Adress Problematik nicht mehr !
Eine NIC wie du sie beschreibst gibt es de facto nicht !
1
Alles klar, das hatte ich mir schon fast gedacht.
Dann wird es Radius mit Zertifikaten am Switch.
Danke trotzdem an alle.
LG
Theo
Dann wird es Radius mit Zertifikaten am Switch.
Danke trotzdem an alle.
LG
Theo
Nein...auch wieder falsch ! Der Switch hat nicht die Zertifikate, der reicht nur durch. Die liegen auf dem Radius und wenn die OK sind sagt der Radius dem Switch dann "Port aufmachen !" 
Das ist mir schon klar aqui ;)
Damit meinte "wird am Switch realisiert"
Es ist nicht so als wäre mir 802.1X nicht geläufig aber trotzdem danke.
Damit meinte "wird am Switch realisiert"
Es ist nicht so als wäre mir 802.1X nicht geläufig aber trotzdem danke.
Sollte auch keine Klugsch...sein 
Dann viel Erfolg...bei Fragen weisst du ja wo du sie stellen musst...?!
Dann viel Erfolg...bei Fragen weisst du ja wo du sie stellen musst...?!
So sieht aus
Zitat von @aqui:
Bei Verwendung von 802.1x ist das auch mit Usernamen /Passwort oder Zertifikaten möglich
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Verwende also 802.1x am Switch dann hast du die Mac Adress Problematik nicht mehr !
Bei Verwendung von 802.1x ist das auch mit Usernamen /Passwort oder Zertifikaten möglich
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Verwende also 802.1x am Switch dann hast du die Mac Adress Problematik nicht mehr !
Da hilft aber nur 802.1x-2010 mit MACsec, und wo kann man das schon konsequent umsetzen?
Das 2004er heute noch von Grund auf neu zu implementieren (wenn die Infrastruktur nicht dafür vorbereitet ist), ist m.E. rausgeworfenes Geld.
-Richard
Da hilft aber nur 802.1x-2010 mit MACsec, und wo kann man das schon konsequent umsetzen?
MacSec ist per se erstmal was ganz anderes, nämlich in erster Linie Verschlüsselung und hat mit dem Thema hier bedingt etwas zu tun:http://www.juniper.net/techpubs/en_US/junos13.2/topics/concept/macsec.h ...
802.1x ist generell eine Benutzer oder Port Authentisierung und etablierter Standard den alle Hersteller supporten:
http://de.wikipedia.org/wiki/IEEE_802.1X
Da es EAP oder PPP-EAP-TLS Authentication verwendet kann die Authentisierung sowohl über den Client Usernamen und Passwort (Betriebssystem) oder eben Zertifikate erfolgen sofern man eine CA aufsetzt. Viele VoIP Telefone, Drucker, Switches haben heute deshalb oft auch .1x Clients an Bord um Zugang zu solch gesicherten Netzen zu bekommen.
Unverständlich was da "2004" oder "2010" bedeuten soll ?!
Einige Switchhersteller erlauben zusätzlich zur Client Usernamen und Passwort oder Zertifikats Authorisierung noch die über Mac Adressen der Clients. Mit dynamischer VLAN Zuweisung erreicht man so sog. Client based VLANs.
Aber genau das ist ja hier nicht gefordert, da man die Mac Adressen eben leicht faken kann, was mit den o.a. Verfahren so nicht möglich ist.
802.1x ist heute mittlerweile Commodity geworden da es im kommerziellen Umfeld sehr häufig in WLANs großflächig zum Einsatz kommt.
Zitat von @aqui:
Aber genau das ist ja hier nicht gefordert, da man die Mac Adressen eben leicht faken kann, was mit den o.a. Verfahren so nicht
möglich ist.
Aber genau das ist ja hier nicht gefordert, da man die Mac Adressen eben leicht faken kann, was mit den o.a. Verfahren so nicht
möglich ist.
Nein, das ist eben ein weit verbreiteter Irrglaube, weshalb ich es zu 802.1x kurz ansprechen wollte, auch wenn es jetzt über eine Frage, die von simpler Port-Security ausgeht, hinaus reicht. Das ist auch bei Wikipedia bei Sicherheitslücken knapp bemerkt (dort auch zur Unterscheidung 2004er- bzw. 2010er-Standard).
Das Problem ohne MACsec ist, dass es gerade so einfach ist, wie Du oben schreibst: Der Client authentisiert sich, der Switch macht den Port auf, und zwar für die MAC des authentifizierten Clients. An dem Port des authentifizierten Clients besteht insofern weiterhin eine MAC-Problematik, unabhängig von der Art der Authentifizierung.
Sicher eine Abwägungsfrage, aber da Zertifikat-Authentifizierung und Pipapo für kleine Unternehmen manchmal nur schwer umsetzbar ist, halte ich 802.1x deshalb in vielen Fällen für vergebene Liebesmühe.
Man sollte sich zumindest im Klaren sein, dass die praktische Einschränkung für den Angreifer sich darin erschöpft, dass er als Man-in-the-Middle an einen authentifizierten Client gebunden ist. Der Angriff sieht so aus, dass man auf einem MITM-Gerät eine EAPOL-durchlässige Bridge aufsetzt, die dann "als Client" Pakete injizieren kann.
Ahhh...OK so war das gemeint, das hatte ich missverstanden. Ja da hast du natürlich Recht, denn wenn der Client wie auch immer authentisiert ist trägt der Switch einfach dessen Mac Adresse ein in seine Port Forwarding Tabelle (Mac Table) und damit wird dann generell dessen Traffic geforwardet. Stimmt da hast du Recht !
Da besteht dann ein gewisses Risiko mit der Mac.
Nur auch wenn das der Fall ist und man den Port so aufbekommt müsste man mit GENAU der Mac von einem 2ten Gerät senden und hätte dann doppelte Macs im Netz.
Denn abziehen darf man den Client nicht, ein Link Loss triggert die Authentisierung neu. Wenn man aber ohne Link Loss die Ursprungs Mac ändert und mit dem Angreifer dann weitersendet ist man natürlich drin, richtig.
Man müsste dann den Reauth Timer entsprechend niedrig setzen was so den Zugang dann erheblich erschweren würde aber ganz könnte man ihn nicht verhindern...das stimmt.
Sorry nochmal für das Missverständniss !
Da besteht dann ein gewisses Risiko mit der Mac.
Nur auch wenn das der Fall ist und man den Port so aufbekommt müsste man mit GENAU der Mac von einem 2ten Gerät senden und hätte dann doppelte Macs im Netz.
Denn abziehen darf man den Client nicht, ein Link Loss triggert die Authentisierung neu. Wenn man aber ohne Link Loss die Ursprungs Mac ändert und mit dem Angreifer dann weitersendet ist man natürlich drin, richtig.
Man müsste dann den Reauth Timer entsprechend niedrig setzen was so den Zugang dann erheblich erschweren würde aber ganz könnte man ihn nicht verhindern...das stimmt.
Sorry nochmal für das Missverständniss !
Ich habe in der Firma vor kurzem eine 2012er Gesamtstruktur (Win 7 Clients) umgesetzt.
Die Zertifikate für die Webserver ( davon unabhängig) sind (logischerweise) von einer CA signiert.
Für Radius würde ich aber durchaus eine CA auf dem DC einrichten. Habe ich zwar noch nie gemacht aber für sowas gibts ja Testumgebungen.
Allerdings würde ich mir natürlich kein signiertes Ca Zertifikat ausstellen lassen dafür ist die Firma nicht groß genug. Aber für Radius Firmenintern muss das ja auch nicht sein.
Das klappt gerade mit einem kleinen Linux Server mit Freeradius fürs Gast WLAN wunderbar..
LG
Theo
Die Zertifikate für die Webserver ( davon unabhängig) sind (logischerweise) von einer CA signiert.
Für Radius würde ich aber durchaus eine CA auf dem DC einrichten. Habe ich zwar noch nie gemacht aber für sowas gibts ja Testumgebungen.
Allerdings würde ich mir natürlich kein signiertes Ca Zertifikat ausstellen lassen dafür ist die Firma nicht groß genug. Aber für Radius Firmenintern muss das ja auch nicht sein.
Das klappt gerade mit einem kleinen Linux Server mit Freeradius fürs Gast WLAN wunderbar..
LG
Theo
