Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

LWL Strecke absichern gegen Unbefugte

Frage Netzwerke

Mitglied: fireblade09

fireblade09 (Level 1) - Jetzt verbinden

15.02.2011, aktualisiert 18.10.2012, 6370 Aufrufe, 20 Kommentare

Hi, ich hab da mal ne Frage, da ich nicht der super Netzwerker bin

Folgendes Szenario:

Firma befindet sich im 3OG in einem Büro gebäude. Dort gibt es in jedem Stockwerk einen zentralen Patchraum, der mit anderen Mietern auf der Etage geteilt werden muss.
Dazu gibt es einen zentralen Serverraum im EG für alle Mieter. Zwischen den Patchräumen und dem Serverraum liegt Glasfaser.

Nun möchten wir einen Netzwerkschrank (oder besser den Inhalt ) an unser Netzwerk im 3.OG anschliessen.
Vom Prinzip kein Problem, oben und unten eine LWL Switch und das ganze funktioniert.
ABER wir würden das gerne besser abischern. Nicht das einer einfach an dem einen Patchschrank im Keller das LWL Kabel abzieht und eineni anderen Switch dran hängt und schon ist er in unserem Netz.
Hat da jemand ne Idee wie man das gut Lösen kann?

Meine Idee war jetzt mit Portsecurity mit MAC Adressen Beschränkung auf den jeweiligen LWL Ports mit den "gegenüber" LWL Ports. Leider bieten das unserer Switche nicht an (Dell). Hab gehört mit Cisco Produkten wäre das kein Problem?!
Gibts noch andere Möglichkeiten? MIt Firewalls und VPN zu arbeiten? Wie mit sowas hier

Danke schon mal für eure Ideen!
Mitglied: H41mSh1C0R
15.02.2011 um 09:57 Uhr
Also unsere Rackschränke kann man abschliessen, eure nicht?
Bitte warten ..
Mitglied: Didau23
15.02.2011 um 10:04 Uhr
Moin!

Wie ist denn bisher euer Netz abgesichert??
Bitte warten ..
Mitglied: SlainteMhath
15.02.2011 um 10:31 Uhr
Moin,

@H41mSh1C0R + Didau23:
Wer lesen kann... zu den Patchschränken haben alle Mieter Zugang

@FireBlade:
VPN wäre nur sinnvoll, wenn du beide VPN Endpunkte gg. unbefugten Zugang absichern kannst - sonnst steck ich den Sniffer halt hinter dem VPN Tunnel an
Aufbau wäre dann in etwa so:
(lan)---switch---VPN-Gateway----(tunnel)----VPN-Gateway---switch--(server)

lg,
Slainte
Bitte warten ..
Mitglied: fireblade09
15.02.2011 um 10:41 Uhr
@H41mSh1C0R & Didau23:
Unsere Serverschränke schon, allerdings die Patchschränke nicht, bzw da wo die LWL Endpunkte sind. Unsere Switche sind aber in den Serverschränken, also sind eigentlich gesichert.

@ slainte
Jo das mir klar
Die beiden Firewalls wären dann in unseren Serverschränken (die abschliessbar sind), also wäre das ja eine Möglichkeit. Könnten man die Idee ja mal weiter verfolgen.
Bitte warten ..
Mitglied: Didau23
15.02.2011 um 10:43 Uhr
Zitat von SlainteMhath:
Moin,

@H41mSh1C0R + Didau23:
Wer lesen kann... zu den Patchschränken haben alle Mieter Zugang

Ich kann lesen...

Ich meinte eher die Absicherung von Datenverkehr etc. Stichwort: Firewall

Gruss
Bitte warten ..
Mitglied: Der-Phil
15.02.2011 um 10:48 Uhr
Hallo,

bedenke nur, dass eine Firewall, die Gigabit auch wirklich verschlüsseln kann, nicht gerade SoHo-Equipment benötigt...
In jeden Fall wäre das die einzig wirklich sichere Variante. Mit allem anderen kann man mitsniffen.

Wirklich einfach wäre es jedoch, einfach die Strecke zu überwachen. Die LWL-Strecke anzapfen kann man nur, wenn man sie unterbricht. Wenn Du sie wirklich aktiv monitorst, könnte das schon reichen.

Phil
Bitte warten ..
Mitglied: MrNetman
15.02.2011 um 11:02 Uhr
Über das
cdp Protokoll oder bei Nicht-Cisco das
lldp Protokoll (Link Layer Discovery Protokoll) kann man die Gegenstelle eindeutig erkennen.
Diese Parameter werden über das SNMP Protokoll ausgelesen. Somit gibt es einen Ansatz über eingebaute Funktionen ein Umstecken der Glasfaser zu erkennen und evtl. direkt zu verhindern.
Network Neighbour ... Bei Dell gibt es so etwas auch, aber bei welchen Typen.
Bitte warten ..
Mitglied: fireblade09
15.02.2011 um 11:15 Uhr
nach Aussen mit Firewall. Im internen Netz ist da nicht abgesichert.
Bitte warten ..
Mitglied: fireblade09
15.02.2011 um 11:17 Uhr
bedenke nur, dass eine Firewall, die Gigabit auch wirklich verschlüsseln kann, nicht gerade SoHo-Equipment benötigt...
In jeden Fall wäre das die einzig wirklich sichere Variante. Mit allem anderen kann man mitsniffen.
Das is klar, hatte jetzt mal dei heir gefunden - astaro-security-gateway-425. Aber die dürfte auch ein wenig overpowerd sein oder?

Wirklich einfach wäre es jedoch, einfach die Strecke zu überwachen. Die LWL-Strecke anzapfen kann man nur, wenn man sie
unterbricht. Wenn Du sie wirklich aktiv monitorst, könnte das schon reichen.

Das würde sowieso passieren. Wenn Nagios meckert, dass der eine Switch nicht mehr da ist, dann weisws ich ja Bescheid. Aber wollte halt auch eine Sciherung auf "Netzwerkebene" .
Bitte warten ..
Mitglied: fireblade09
15.02.2011 um 11:20 Uhr
Okay, das würde helfen, wenn einer das Ding abzieht. Aber das bietet nicht die Möglichkeit, dann auch automatisch zu verhindern, dass der "Angreifer" ins Netz kommt?
Bitte warten ..
Mitglied: Phalanx82
15.02.2011 um 11:28 Uhr
Zitat von Der-Phil:
Hallo,

bedenke nur, dass eine Firewall, die Gigabit auch wirklich verschlüsseln kann, nicht gerade SoHo-Equipment benötigt...
In jeden Fall wäre das die einzig wirklich sichere Variante. Mit allem anderen kann man mitsniffen.

Wirklich einfach wäre es jedoch, einfach die Strecke zu überwachen. Die LWL-Strecke anzapfen kann man nur, wenn man sie
unterbricht. Wenn Du sie wirklich aktiv monitorst, könnte das schon reichen.

Phil

Hallo,

das ist leider faktisch Nicht korrekt ;)

Man kann auch ohne die LWL auch nur irgendwie zu berühren die Leitung anzapfen unter gewissen Bedingungen.
Dafür hat sich die Telekom sogar ein System patentieren lassen was die austretende Lichtstrahlung aus dem
LWL messen und somit die Daten (unter gewissen Umständen wie gesagt) mitlesen kann.

Non-touching-Methode: empfindliche Photodetektoren fangen die minimalen Lichtmengen auf, die aufgrund der Rayleigh-Streuung seitlich aus der Faser strahlen.
Das Signal wird dann bis zu einer brauchbaren Leistung verstärkt. Weder die Leitung noch das Signal werden dabei beeinflusst. Die Deutsche Telekom hat sich eine
solche Methode patentieren lassen, mit der sich Signale aus einer Glasfaser ohne messbare Beeinflussung oder Dämpfung der Glasfaser auffangen lassen.
[3] Voraussetzung ist allerdings, dass von der Mehrzahl der übertragenen Bits zumindest ein Photon aufgefangen wird. Falls also nicht mit unnötig hoher Leistung gesendet wird,
müsste das Streulicht von mehreren Metern (Kunststofffaser) bzw. Kilometern (Glasfaser) aufgefangen und phasenrichtig zusammengeführt werden.

Quelle:

http://de.wikipedia.org/wiki/Lichtwellenleiter


Mfg.
Bitte warten ..
Mitglied: aqui
15.02.2011, aktualisiert 18.10.2012
Das ist Unsinn, denn CDP oder LLDP haben mit SNMP gar nichts zu tun, das sind 2 verschiedene Baustellen. Zudem identifizieren sie nur Endgeräte realisieren aber keinerlei Absicherung...vergiss das also gleich.
Am einfachsten und schnellsten ist eine Absicherung mit 802.1x realisierbar, das kann auf Mac Adressbasis passieren oder mit einem Useraccount:
http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802.1x ...
Wobei die Mac Variante am einfachsten ist, denn das supporten auch billige Consumer Switches in der Regel ohne das man gleich zur großen Lösung gehen muss.
Alles andere was VPNs, Firewalls usw. betrifft ist ein L3 Szenario und erfordert mehr oder weniger ein Routing.
Ob das sinnvoll ist in einer einfachen Etagenverkabelung sei dahingestellt und kannst du selber entscheiden. Zumal eine reine Firewall gar nichts nützt, denn da zieht man auch einfach das Kabel ab und schleift einen Wireshark Sniffer dazwischen und liest alle Daten problemlos mit.
Deine beiden Optionen sind lediglich:
  • Port Security, entweder embedded als Feature des Switches oder über 802.1x
  • Verschlüsselung mit VPN
Auch da ist die erste Variante am einfachsten mit ein paar Konfigzeilen im Switch umzusetzen wenn man nicht gerade irgendwelche Billigswitches vom Blödmarkt hat.
Vielleicht solltest du dir nicht doch Gedanken machen ob ein einfaches Schloss am Schrank wie oben vorgeschlagen nicht die am sinnvollsten erscheinende Lösung ist ?!
Bitte warten ..
Mitglied: fireblade09
15.02.2011 um 11:34 Uhr
Wie oben geschrieben, sind dei Pachschränke für alle Mieter in dem Haus zugänglich. Daher können wir die leider nicht abschliessen. Weil auf die Lösung wäre ich sonst auch gekommen

Wir haben Dell Powerconnect 6224 im Einsatz. Da sagte mri aber ein Dell Mitarbtier, eine Portsecurity wie sie bei Cisco gibt, gibts es bei den Dell Geräten nicht.

Also ist wohl PortSecurity oder VPN-Firewall die Lösung.

Danke schon mal so weit
Bitte warten ..
Mitglied: MrNetman
15.02.2011 um 12:02 Uhr
Der Dell supported die notwendigen Funktionen laut Datenblatt:
Security Options
IEEE 802.1x based edge authentication -- supports single and multiple host access, guest access, voice authorization, and Microsoft Active Directory
Switch access password protection
User-definable settings for enabling or disabling Web, SSH, Telnet, SSL management access
Port-based MAC Address alert and lock-down
IP Address filtering for management access via Telnet, HTTP, HTTPS/SSL, SSH and SNMP
RADIUS and TACACS+ remote authentication for switch management access
Up to 100 Access Control Lists (ACLs) supported; up to 12 Access Control Entries (ACEs) per ACL
SSLv3 and SSHv2 encryption for switch management traffic
Management access filtering via Management Access Profiles

Somit muss es auf dem Switch die Möglichkeit der Überwachung geben.und er kann selbstständig auf Veränderungen reagieren.
Das kann man bestimmt lokal in einer kleinenUmgebung testen. Man muss ja nicht gleich die Glasfaserverbindungen dazu verwenden. Kupfer tuts auch. Wichtig ist beim Test nur die Verbindung mittels zweier Switche und mehrerer daran angeschlossener Geräte um die Reaktion auf unterschiedliche MACs zu erkennen.

Zum Anzapfen von Glasfaserleitungen mittels Physikalischem Zugang: Erstens hat man schon mal einen Schutz durch den Kabelmantel. Zweitens muss man zum Abhören das Kabel mechanisch manipulieren und dadurch wird die Übertragungsgüte beeinträchtigt. Das Telekom Patent funktioniert nur bei Kabeln, die nur durch das Cladding geschützt sind. Aufwand siehe oben.
Bitte warten ..
Mitglied: aqui
15.02.2011 um 12:17 Uhr
...da hat Kollege fireblade09 wie immer mal wieder das Switch Handbuch nicht gelesen...wozu auch es gibt ja Leute im Forum (Dank an MrNetman fürs Posting hier..) die das tun.
Mit den o.a. Port Security Features ist das Problem doch im Handumdrehen gelöst....wozu also dieser ganze Thread ??!!
Bitte warten ..
Mitglied: fireblade09
15.02.2011 um 13:48 Uhr
Weil es vielleicht noch andere Lösungen gibt und mir nen Dell Fuzzi gesagt hat, es geht nicht...
Bitte warten ..
Mitglied: aqui
15.02.2011 um 18:45 Uhr
Dell Fuzzis darfst du keine Netzwerk relevanten Fragen stellen...davon haben die keine Ahnung...weiss eigentlich auch jeder.. ?! Selber Schuld also wenn du denen glaubst.
Andere Optionen hast du nicht.
Bitte warten ..
Mitglied: fireblade09
18.02.2011 um 09:40 Uhr
okay, demnächst frag ich zu erst dich aqui.... ;)
Da ein Switch ja die MAC nicht austauscht (wie ein Router), müsste ich also bei Portsecurity drauf achten, dass alle Geräte schon an Switch2 angeschlossen sind, damit Switch1 auch alle MAC Adressen lernt. Wenn dann neue Geräte an Switch2 anschliesst, müsste ich das learning wieder enabeln und danach abschalten?! Versteh ich das so richtig?
Bitte warten ..
Mitglied: MrNetman
19.02.2011 um 09:12 Uhr
Das LLDP Protokoll wird nur vom Switchport verschickt und vom nächsten Switchport unterdrückt. Das geht also nur von Gerät zu Gerät und jeweils einmal pro Minute. Ausnahme: Geräte, die das Protokoll nicht verstehen, meist ungemanagte Switche. Der Switch erkennt also seinen Nachbarn. Diese Tatsache muss man nutzen. Die Funktion ist auch unabhängig vom normalen Lernen der MACs.
Bitte warten ..
Mitglied: mike55
21.02.2011 um 11:27 Uhr
Hallo,

IPsec wurde doch genau für solche Fälle erfunden. Damit sicherst du den Trafik direkt vom Client bis zum Server ab. Wenn du nur Windows Server & Clients benützt, ist das auch relativ schnell eingerichtet.

Grüße, Michael.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerkmanagement
gelöst LAG für LWL Strecke über Cisco SG500 notwendig? (26)

Frage von Ex0r2k16 zum Thema Netzwerkmanagement ...

Debian
Debian 8.6 Absichern? (12)

Frage von Motte990 zum Thema Debian ...

iOS
Siri erlaubt schon wieder unbefugte iPhone-Zugriffe

Link von runasservice zum Thema iOS ...

Windows Server
gelöst RDS Optimal absichern (6)

Frage von Remoteserverneuling zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
RODC über VPN - Verbindung weg (10)

Frage von stefan2k1 zum Thema Windows Server ...