20
LWL Strecke absichern gegen Unbefugte
Hi, ich hab da mal ne Frage, da ich nicht der super Netzwerker bin 
Folgendes Szenario:
Firma befindet sich im 3OG in einem Büro gebäude. Dort gibt es in jedem Stockwerk einen zentralen Patchraum, der mit anderen Mietern auf der Etage geteilt werden muss.
Dazu gibt es einen zentralen Serverraum im EG für alle Mieter. Zwischen den Patchräumen und dem Serverraum liegt Glasfaser.
Nun möchten wir einen Netzwerkschrank (oder besser den Inhalt) an unser Netzwerk im 3.OG anschliessen.
Vom Prinzip kein Problem, oben und unten eine LWL Switch und das ganze funktioniert.
ABER wir würden das gerne besser abischern. Nicht das einer einfach an dem einen Patchschrank im Keller das LWL Kabel abzieht und eineni anderen Switch dran hängt und schon ist er in unserem Netz.
Hat da jemand ne Idee wie man das gut Lösen kann?
Meine Idee war jetzt mit Portsecurity mit MAC Adressen Beschränkung auf den jeweiligen LWL Ports mit den "gegenüber" LWL Ports. Leider bieten das unserer Switche nicht an (Dell). Hab gehört mit Cisco Produkten wäre das kein Problem?!
Gibts noch andere Möglichkeiten? MIt Firewalls und VPN zu arbeiten? Wie mit sowas hier
Danke schon mal für eure Ideen!
Folgendes Szenario:
Firma befindet sich im 3OG in einem Büro gebäude. Dort gibt es in jedem Stockwerk einen zentralen Patchraum, der mit anderen Mietern auf der Etage geteilt werden muss.
Dazu gibt es einen zentralen Serverraum im EG für alle Mieter. Zwischen den Patchräumen und dem Serverraum liegt Glasfaser.
Nun möchten wir einen Netzwerkschrank (oder besser den Inhalt
) an unser Netzwerk im 3.OG anschliessen.Vom Prinzip kein Problem, oben und unten eine LWL Switch und das ganze funktioniert.
ABER wir würden das gerne besser abischern. Nicht das einer einfach an dem einen Patchschrank im Keller das LWL Kabel abzieht und eineni anderen Switch dran hängt und schon ist er in unserem Netz.
Hat da jemand ne Idee wie man das gut Lösen kann?
Meine Idee war jetzt mit Portsecurity mit MAC Adressen Beschränkung auf den jeweiligen LWL Ports mit den "gegenüber" LWL Ports. Leider bieten das unserer Switche nicht an (Dell). Hab gehört mit Cisco Produkten wäre das kein Problem?!
Gibts noch andere Möglichkeiten? MIt Firewalls und VPN zu arbeiten? Wie mit sowas hier
Danke schon mal für eure Ideen!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 160781
Url: https://administrator.de/contentid/160781
Printed on: April 23, 2024 at 19:04 o'clock
20 Comments
Latest comment
Also unsere Rackschränke kann man abschliessen, eure nicht?
Moin!
Wie ist denn bisher euer Netz abgesichert??
Wie ist denn bisher euer Netz abgesichert??
Moin,
@H41mSh1C0R + Didau23:
Wer lesen kann... zu den Patchschränken haben alle Mieter Zugang
@FireBlade:
VPN wäre nur sinnvoll, wenn du beide VPN Endpunkte gg. unbefugten Zugang absichern kannst - sonnst steck ich den Sniffer halt hinter dem VPN Tunnel an
Aufbau wäre dann in etwa so:
(lan)---switch---VPN-Gateway----(tunnel)----VPN-Gateway---switch--(server)
lg,
Slainte
@H41mSh1C0R + Didau23:
Wer lesen kann... zu den Patchschränken haben alle Mieter Zugang
@FireBlade:
VPN wäre nur sinnvoll, wenn du beide VPN Endpunkte gg. unbefugten Zugang absichern kannst - sonnst steck ich den Sniffer halt hinter dem VPN Tunnel an
Aufbau wäre dann in etwa so:
(lan)---switch---VPN-Gateway----(tunnel)----VPN-Gateway---switch--(server)
lg,
Slainte
@H41mSh1C0R & Didau23:
Unsere Serverschränke schon, allerdings die Patchschränke nicht, bzw da wo die LWL Endpunkte sind. Unsere Switche sind aber in den Serverschränken, also sind eigentlich gesichert.
@ slainte
Jo das mir klar
Die beiden Firewalls wären dann in unseren Serverschränken (die abschliessbar sind), also wäre das ja eine Möglichkeit. Könnten man die Idee ja mal weiter verfolgen.
Unsere Serverschränke schon, allerdings die Patchschränke nicht, bzw da wo die LWL Endpunkte sind. Unsere Switche sind aber in den Serverschränken, also sind eigentlich gesichert.
@ slainte
Jo das mir klar
Die beiden Firewalls wären dann in unseren Serverschränken (die abschliessbar sind), also wäre das ja eine Möglichkeit. Könnten man die Idee ja mal weiter verfolgen.
Zitat von @SlainteMhath:
Moin,
@H41mSh1C0R + Didau23:
Wer lesen kann... zu den Patchschränken haben alle Mieter Zugang
Moin,
@H41mSh1C0R + Didau23:
Wer lesen kann... zu den Patchschränken haben alle Mieter Zugang
Ich kann lesen...
Ich meinte eher die Absicherung von Datenverkehr etc. Stichwort: Firewall
Gruss
Hallo,
bedenke nur, dass eine Firewall, die Gigabit auch wirklich verschlüsseln kann, nicht gerade SoHo-Equipment benötigt...
In jeden Fall wäre das die einzig wirklich sichere Variante. Mit allem anderen kann man mitsniffen.
Wirklich einfach wäre es jedoch, einfach die Strecke zu überwachen. Die LWL-Strecke anzapfen kann man nur, wenn man sie unterbricht. Wenn Du sie wirklich aktiv monitorst, könnte das schon reichen.
Phil
bedenke nur, dass eine Firewall, die Gigabit auch wirklich verschlüsseln kann, nicht gerade SoHo-Equipment benötigt...
In jeden Fall wäre das die einzig wirklich sichere Variante. Mit allem anderen kann man mitsniffen.
Wirklich einfach wäre es jedoch, einfach die Strecke zu überwachen. Die LWL-Strecke anzapfen kann man nur, wenn man sie unterbricht. Wenn Du sie wirklich aktiv monitorst, könnte das schon reichen.
Phil
Über das
cdp Protokoll oder bei Nicht-Cisco das
lldp Protokoll (Link Layer Discovery Protokoll) kann man die Gegenstelle eindeutig erkennen.
Diese Parameter werden über das SNMP Protokoll ausgelesen. Somit gibt es einen Ansatz über eingebaute Funktionen ein Umstecken der Glasfaser zu erkennen und evtl. direkt zu verhindern.
Network Neighbour ... Bei Dell gibt es so etwas auch, aber bei welchen Typen.
cdp Protokoll oder bei Nicht-Cisco das
lldp Protokoll (Link Layer Discovery Protokoll) kann man die Gegenstelle eindeutig erkennen.
Diese Parameter werden über das SNMP Protokoll ausgelesen. Somit gibt es einen Ansatz über eingebaute Funktionen ein Umstecken der Glasfaser zu erkennen und evtl. direkt zu verhindern.
Network Neighbour ... Bei Dell gibt es so etwas auch, aber bei welchen Typen.
nach Aussen mit Firewall. Im internen Netz ist da nicht abgesichert.
bedenke nur, dass eine Firewall, die Gigabit auch wirklich verschlüsseln kann, nicht gerade SoHo-Equipment benötigt...
In jeden Fall wäre das die einzig wirklich sichere Variante. Mit allem anderen kann man mitsniffen.
Das is klar, hatte jetzt mal dei heir gefunden - astaro-security-gateway-425. Aber die dürfte auch ein wenig overpowerd sein oder?In jeden Fall wäre das die einzig wirklich sichere Variante. Mit allem anderen kann man mitsniffen.
Wirklich einfach wäre es jedoch, einfach die Strecke zu überwachen. Die LWL-Strecke anzapfen kann man nur, wenn man sie
unterbricht. Wenn Du sie wirklich aktiv monitorst, könnte das schon reichen.
unterbricht. Wenn Du sie wirklich aktiv monitorst, könnte das schon reichen.
Das würde sowieso passieren. Wenn Nagios meckert, dass der eine Switch nicht mehr da ist, dann weisws ich ja Bescheid. Aber wollte halt auch eine Sciherung auf "Netzwerkebene" .
Okay, das würde helfen, wenn einer das Ding abzieht. Aber das bietet nicht die Möglichkeit, dann auch automatisch zu verhindern, dass der "Angreifer" ins Netz kommt?
Zitat von @Der-Phil:
Hallo,
bedenke nur, dass eine Firewall, die Gigabit auch wirklich verschlüsseln kann, nicht gerade SoHo-Equipment benötigt...
In jeden Fall wäre das die einzig wirklich sichere Variante. Mit allem anderen kann man mitsniffen.
Wirklich einfach wäre es jedoch, einfach die Strecke zu überwachen. Die LWL-Strecke anzapfen kann man nur, wenn man sie
unterbricht. Wenn Du sie wirklich aktiv monitorst, könnte das schon reichen.
Phil
Hallo,
bedenke nur, dass eine Firewall, die Gigabit auch wirklich verschlüsseln kann, nicht gerade SoHo-Equipment benötigt...
In jeden Fall wäre das die einzig wirklich sichere Variante. Mit allem anderen kann man mitsniffen.
Wirklich einfach wäre es jedoch, einfach die Strecke zu überwachen. Die LWL-Strecke anzapfen kann man nur, wenn man sie
unterbricht. Wenn Du sie wirklich aktiv monitorst, könnte das schon reichen.
Phil
Hallo,
das ist leider faktisch Nicht korrekt ;)
Man kann auch ohne die LWL auch nur irgendwie zu berühren die Leitung anzapfen unter gewissen Bedingungen.
Dafür hat sich die Telekom sogar ein System patentieren lassen was die austretende Lichtstrahlung aus dem
LWL messen und somit die Daten (unter gewissen Umständen wie gesagt) mitlesen kann.
Non-touching-Methode: empfindliche Photodetektoren fangen die minimalen Lichtmengen auf, die aufgrund der Rayleigh-Streuung seitlich aus der Faser strahlen.
Das Signal wird dann bis zu einer brauchbaren Leistung verstärkt. Weder die Leitung noch das Signal werden dabei beeinflusst. Die Deutsche Telekom hat sich eine
solche Methode patentieren lassen, mit der sich Signale aus einer Glasfaser ohne messbare Beeinflussung oder Dämpfung der Glasfaser auffangen lassen.
[3] Voraussetzung ist allerdings, dass von der Mehrzahl der übertragenen Bits zumindest ein Photon aufgefangen wird. Falls also nicht mit unnötig hoher Leistung gesendet wird,
müsste das Streulicht von mehreren Metern (Kunststofffaser) bzw. Kilometern (Glasfaser) aufgefangen und phasenrichtig zusammengeführt werden.
Das Signal wird dann bis zu einer brauchbaren Leistung verstärkt. Weder die Leitung noch das Signal werden dabei beeinflusst. Die Deutsche Telekom hat sich eine
solche Methode patentieren lassen, mit der sich Signale aus einer Glasfaser ohne messbare Beeinflussung oder Dämpfung der Glasfaser auffangen lassen.
[3] Voraussetzung ist allerdings, dass von der Mehrzahl der übertragenen Bits zumindest ein Photon aufgefangen wird. Falls also nicht mit unnötig hoher Leistung gesendet wird,
müsste das Streulicht von mehreren Metern (Kunststofffaser) bzw. Kilometern (Glasfaser) aufgefangen und phasenrichtig zusammengeführt werden.
Quelle:
http://de.wikipedia.org/wiki/Lichtwellenleiter
Mfg.
Das ist Unsinn, denn CDP oder LLDP haben mit SNMP gar nichts zu tun, das sind 2 verschiedene Baustellen. Zudem identifizieren sie nur Endgeräte realisieren aber keinerlei Absicherung...vergiss das also gleich.
Am einfachsten und schnellsten ist eine Absicherung mit 802.1x realisierbar, das kann auf Mac Adressbasis passieren oder mit einem Useraccount:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Wobei die Mac Variante am einfachsten ist, denn das supporten auch billige Consumer Switches in der Regel ohne das man gleich zur großen Lösung gehen muss.
Alles andere was VPNs, Firewalls usw. betrifft ist ein L3 Szenario und erfordert mehr oder weniger ein Routing.
Ob das sinnvoll ist in einer einfachen Etagenverkabelung sei dahingestellt und kannst du selber entscheiden. Zumal eine reine Firewall gar nichts nützt, denn da zieht man auch einfach das Kabel ab und schleift einen Wireshark Sniffer dazwischen und liest alle Daten problemlos mit.
Deine beiden Optionen sind lediglich:
Vielleicht solltest du dir nicht doch Gedanken machen ob ein einfaches Schloss am Schrank wie oben vorgeschlagen nicht die am sinnvollsten erscheinende Lösung ist ?!
Am einfachsten und schnellsten ist eine Absicherung mit 802.1x realisierbar, das kann auf Mac Adressbasis passieren oder mit einem Useraccount:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Wobei die Mac Variante am einfachsten ist, denn das supporten auch billige Consumer Switches in der Regel ohne das man gleich zur großen Lösung gehen muss.
Alles andere was VPNs, Firewalls usw. betrifft ist ein L3 Szenario und erfordert mehr oder weniger ein Routing.
Ob das sinnvoll ist in einer einfachen Etagenverkabelung sei dahingestellt und kannst du selber entscheiden. Zumal eine reine Firewall gar nichts nützt, denn da zieht man auch einfach das Kabel ab und schleift einen Wireshark Sniffer dazwischen und liest alle Daten problemlos mit.
Deine beiden Optionen sind lediglich:
- Port Security, entweder embedded als Feature des Switches oder über 802.1x
- Verschlüsselung mit VPN
Vielleicht solltest du dir nicht doch Gedanken machen ob ein einfaches Schloss am Schrank wie oben vorgeschlagen nicht die am sinnvollsten erscheinende Lösung ist ?!
Wie oben geschrieben, sind dei Pachschränke für alle Mieter in dem Haus zugänglich. Daher können wir die leider nicht abschliessen. Weil auf die Lösung wäre ich sonst auch gekommen
Wir haben Dell Powerconnect 6224 im Einsatz. Da sagte mri aber ein Dell Mitarbtier, eine Portsecurity wie sie bei Cisco gibt, gibts es bei den Dell Geräten nicht.
Also ist wohl PortSecurity oder VPN-Firewall die Lösung.
Danke schon mal so weit
Wir haben Dell Powerconnect 6224 im Einsatz. Da sagte mri aber ein Dell Mitarbtier, eine Portsecurity wie sie bei Cisco gibt, gibts es bei den Dell Geräten nicht.
Also ist wohl PortSecurity oder VPN-Firewall die Lösung.
Danke schon mal so weit
Der Dell supported die notwendigen Funktionen laut Datenblatt:
Security Options
IEEE 802.1x based edge authentication -- supports single and multiple host access, guest access, voice authorization, and Microsoft Active Directory
Switch access password protection
User-definable settings for enabling or disabling Web, SSH, Telnet, SSL management access
Port-based MAC Address alert and lock-down
IP Address filtering for management access via Telnet, HTTP, HTTPS/SSL, SSH and SNMP
RADIUS and TACACS+ remote authentication for switch management access
Up to 100 Access Control Lists (ACLs) supported; up to 12 Access Control Entries (ACEs) per ACL
SSLv3 and SSHv2 encryption for switch management traffic
Management access filtering via Management Access Profiles
Somit muss es auf dem Switch die Möglichkeit der Überwachung geben.und er kann selbstständig auf Veränderungen reagieren.
Das kann man bestimmt lokal in einer kleinenUmgebung testen. Man muss ja nicht gleich die Glasfaserverbindungen dazu verwenden. Kupfer tuts auch. Wichtig ist beim Test nur die Verbindung mittels zweier Switche und mehrerer daran angeschlossener Geräte um die Reaktion auf unterschiedliche MACs zu erkennen.
Zum Anzapfen von Glasfaserleitungen mittels Physikalischem Zugang: Erstens hat man schon mal einen Schutz durch den Kabelmantel. Zweitens muss man zum Abhören das Kabel mechanisch manipulieren und dadurch wird die Übertragungsgüte beeinträchtigt. Das Telekom Patent funktioniert nur bei Kabeln, die nur durch das Cladding geschützt sind. Aufwand siehe oben.
Security Options
IEEE 802.1x based edge authentication -- supports single and multiple host access, guest access, voice authorization, and Microsoft Active Directory
Switch access password protection
User-definable settings for enabling or disabling Web, SSH, Telnet, SSL management access
Port-based MAC Address alert and lock-down
IP Address filtering for management access via Telnet, HTTP, HTTPS/SSL, SSH and SNMP
RADIUS and TACACS+ remote authentication for switch management access
Up to 100 Access Control Lists (ACLs) supported; up to 12 Access Control Entries (ACEs) per ACL
SSLv3 and SSHv2 encryption for switch management traffic
Management access filtering via Management Access Profiles
Somit muss es auf dem Switch die Möglichkeit der Überwachung geben.und er kann selbstständig auf Veränderungen reagieren.
Das kann man bestimmt lokal in einer kleinenUmgebung testen. Man muss ja nicht gleich die Glasfaserverbindungen dazu verwenden. Kupfer tuts auch. Wichtig ist beim Test nur die Verbindung mittels zweier Switche und mehrerer daran angeschlossener Geräte um die Reaktion auf unterschiedliche MACs zu erkennen.
Zum Anzapfen von Glasfaserleitungen mittels Physikalischem Zugang: Erstens hat man schon mal einen Schutz durch den Kabelmantel. Zweitens muss man zum Abhören das Kabel mechanisch manipulieren und dadurch wird die Übertragungsgüte beeinträchtigt. Das Telekom Patent funktioniert nur bei Kabeln, die nur durch das Cladding geschützt sind. Aufwand siehe oben.
...da hat Kollege fireblade09 wie immer mal wieder das Switch Handbuch nicht gelesen...wozu auch es gibt ja Leute im Forum (Dank an MrNetman fürs Posting hier..) die das tun.
Mit den o.a. Port Security Features ist das Problem doch im Handumdrehen gelöst....wozu also dieser ganze Thread ??!!
Mit den o.a. Port Security Features ist das Problem doch im Handumdrehen gelöst....wozu also dieser ganze Thread ??!!
Weil es vielleicht noch andere Lösungen gibt und mir nen Dell Fuzzi gesagt hat, es geht nicht...
Dell Fuzzis darfst du keine Netzwerk relevanten Fragen stellen...davon haben die keine Ahnung...weiss eigentlich auch jeder.. ?! Selber Schuld also wenn du denen glaubst.
Andere Optionen hast du nicht.
Andere Optionen hast du nicht.
okay, demnächst frag ich zu erst dich aqui.... ;)
Da ein Switch ja die MAC nicht austauscht (wie ein Router), müsste ich also bei Portsecurity drauf achten, dass alle Geräte schon an Switch2 angeschlossen sind, damit Switch1 auch alle MAC Adressen lernt. Wenn dann neue Geräte an Switch2 anschliesst, müsste ich das learning wieder enabeln und danach abschalten?! Versteh ich das so richtig?
Da ein Switch ja die MAC nicht austauscht (wie ein Router), müsste ich also bei Portsecurity drauf achten, dass alle Geräte schon an Switch2 angeschlossen sind, damit Switch1 auch alle MAC Adressen lernt. Wenn dann neue Geräte an Switch2 anschliesst, müsste ich das learning wieder enabeln und danach abschalten?! Versteh ich das so richtig?
Das LLDP Protokoll wird nur vom Switchport verschickt und vom nächsten Switchport unterdrückt. Das geht also nur von Gerät zu Gerät und jeweils einmal pro Minute. Ausnahme: Geräte, die das Protokoll nicht verstehen, meist ungemanagte Switche. Der Switch erkennt also seinen Nachbarn. Diese Tatsache muss man nutzen. Die Funktion ist auch unabhängig vom normalen Lernen der MACs.
Hallo,
IPsec wurde doch genau für solche Fälle erfunden. Damit sicherst du den Trafik direkt vom Client bis zum Server ab. Wenn du nur Windows Server & Clients benützt, ist das auch relativ schnell eingerichtet.
Grüße, Michael.
IPsec wurde doch genau für solche Fälle erfunden. Damit sicherst du den Trafik direkt vom Client bis zum Server ab. Wenn du nur Windows Server & Clients benützt, ist das auch relativ schnell eingerichtet.
Grüße, Michael.
