Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Netzwerkports erst nach Anmeldung freigeben - Port-Security

Frage Netzwerke

Mitglied: elektroriegel

elektroriegel (Level 1) - Jetzt verbinden

31.08.2012 um 09:31 Uhr, 2704 Aufrufe, 6 Kommentare

Guten Morgen,

ich habe mich in den letzten Tagen etwas über das Authentifizierungssystem rund um RADIUS bzw. IEEE 802.1X informiert, da ich dieses Thema gerne bei mir im Betrieb umsetzen möchte.

Die meisten Anleitungen waren aber auf WLAN-Netze bezogen. Ich arbeite in einer Behörde in der kein WLAN erlaubt ist, weshalb ich die ganzen Sicherheitsfunktionen eher für das LAN bräuchte. Meines Wissens lautet da der Überbegriff "Port-Security".

Bei uns gibt es in manchen Büros offene und gepatchte Ports. Auch draußen auf den Fluren findet man in manchen Ecken offene Ports über die man leicht mithilfe von Laptop und Netzwerkscanner ein wenig schnüffeln könnte.

Genau das soll vermieden werden. Über Google konnte ich jetzt nicht all so viele Informationen dazu finden, deshalb möchte ich gerne euch mal fragen ;)

1. Funktioniert das dann im LAN genauso wie im WLAN? Also man steckt das Kabel in seinen Lappy und bevor man ins Internet bzw. ins Netzwerk kann und bekommt man eine Anmeldemaske?

2. Was brauche ich für einen Server? Reicht mir ein W2k8R2 mit der entsprechenden Rolle?

3. Unsere Switche können das auf jeden Fall (habe schon nachgeguckt ). Leider verstehe ich davon momentan noch Bahnhof. Könnt ihr mir gute Tutorials empfehlen?


Ich wäre euch dankbar wenn ihr mir bezüglich diesem Thema ein bisschen auf die Sprünge helfen könntet.

MfG
elektroriegel
Mitglied: 60730
31.08.2012, aktualisiert um 09:42 Uhr
moin,

das ist ganz "einfach" *lach*

Hier wäre NEIN die richtige Antwort:

  • Habt Ihr Netzwerkdrucker?

Und Hier JA:

  • Könnten die (Netzwerkdrucker und alles, was sich im "Flur" befindet) in einem eigenen Vlan werkeln?
  • mangebare Switche, die 802.x können?
  • Sind die (eher nicht) 802.x tauglich?
  • Habt Ihr nen hochverfügbaren Esx oder ne andere hochverfügbarkeitslösung?

Denn eines mußt du bedenken, fliegt dir der Radius um die Ohren, dann steht das Netz!

Ansonsten - klemm per Frontend alle ungenutzen, aber durchgepatchten Ports ab und schalte dir per Anweisung wieder frei.

Nachtrag:
Ganz ehrlich: hole dir da jemanden, der das schonmal gemacht hat - so trivial, das man das anhand von Tuts (nix gegen Aquis wunderherrlichbare Tuts) alleine hinbekommt, dürfte etwas komplexer sein, denn da lauern Fallstricke auf die so ein Tut nicht immer gewappnet sein kann.
Bitte warten ..
Mitglied: aqui
31.08.2012, aktualisiert um 09:45 Uhr
Dieses Tutorial beantwortet ALLE Fragen zu dem Thema damit du nicht mehr im Bahnhof stehen musst: (Die Suchfunktion lässt freundlich grüßen hier !)

http://www.administrator.de/contentid/154402

und ist NICHT auf WLAN bezogen !
Den Radius legt man natürlich redundant aus um Kollege Timo zu beruhigen
Bitte warten ..
Mitglied: elektroriegel
31.08.2012 um 09:57 Uhr
Mist, dann kann ich es wohl auch vergessen das als Abschlussprojekt (Fachinformatiker) zu machen oder?

Wir haben ein Netzwerk von rund 700 Clients (ca. 500 Windows-PCs und der Rest Server und Netzwerkdrucker). Wie du grad geschrieben hast wäre der Aufwand ja utopisch groß bei jedem Drucker dann die RADIUS-Zugangsdaten einzutragen.

Ansonsten - klemm per Frontend alle ungenutzen, aber durchgepatchten Ports ab und schalte dir per Anweisung wieder frei.

Geht das wenn ich jetzt beispielsweise dem Server sage, dass alles was jetzt schon dranhängt vertrauendwürdig ist und alles was noch dazukommt sich authentifizieren muss?
Bitte warten ..
Mitglied: elektroriegel
31.08.2012 um 09:59 Uhr
Zitat von aqui:
Dieses Tutorial beantwortet ALLE Fragen zu dem Thema damit du nicht mehr im Bahnhof stehen musst: (Die Suchfunktion lässt
freundlich grüßen hier !)

http://www.administrator.de/contentid/154402

und ist NICHT auf WLAN bezogen !
Den Radius legt man natürlich redundant aus um Kollege Timo zu beruhigen



Auch hier ist halt die Frage ob ich nur alle unsicheren bzw. offenen Ports mit RADIUS absichere oder alle. Ich glaube alle abzusichern wäre eine Mammutaufgabe und nie in 40 Std. zu schaffen ^^
Bitte warten ..
Mitglied: 60730
31.08.2012, aktualisiert um 13:04 Uhr
Salü,

zu deinen Fragen:

Meinst du die Drucker, die kein 802.1x können?
Im Prinzip ist das kein Aufwand, denn jeder ordentliche Switch kennt sowas wie eine Cli und einen Befehl wie z.B "ARP" und damit weißt du, welcher Port welche Mac kennt und anhand der ersten beiden Werte auch wer - soferns keine Fakemac ist - wer der Hersteller ist.
Nur weichst du so das Konstrukt auf.

Ob ob das ne fachinformatiker Baustelle ist, wenn du dir den großen Teil aus Netz ziehen kannst - ich mein Helmut Kohl hat ja auch nen Doc. Titel mit ner laaaaangen Zitaten/quellenliste. Bei Ex Dr. Nickelbrille gings auch noch kurzfristig.

Bedenke nur mal eines:
Was mußt du bei einem Netzwerkdrucker machen, damit da nicht jeder im Menü des Drucker in die Netzwerkeinstellungen gehen kann um sich die Mac anzusehen - die er dann einfach spoofen und seine Kiste an das Kabel anstecken kann?

  • Überlege mal genauer...
Und ich gebe dir die Antwort absichtlich nicht - wenn es dein Abschlussprojekt (Fachinformatiker) sein soll, denn dein Prüfer kennst diese Seite sicherlich auch...

  • Kann man "alle" Ports mit einem Radius absichern?

40 stunden?
In der Zeit hab ich das damals grade so gelöst, allerdings ohne Tut dafür mit ner Doku.

Gruß
Bitte warten ..
Mitglied: aqui
31.08.2012, aktualisiert um 13:16 Uhr
@elektroriegel
Bevor du solche unsinnigen Statements wie "Mist, dann kann ich es wohl auch vergessen das als Abschlussprojekt (Fachinformatiker) zu machen oder?..." einfach raushaust hier solltest du dir doch besser mal die Zeit nehmen und VORHER das Tutorial richtig durchlesen !
Stichwort "Mac Authentication Bypass"...
Die Drucker und alle Clients die KEINEN 802.1x Client an Bord haben (die wenigsten Drucker haben das deshalb ist es auch unsinnig einen Usernamen und Passwort auf einem Drucker installieren zu wollen !) authentisiert man dann über deren mac Adresse.
Das kann entweder automatisch geschehen indem du dem Switch sagt : "Wenn die .1x User Authentisierung fehlschlägt mache bitte automatisch einen Mac Authentisierung am Port !"
Oder du weist den Drucker Switchports, sofern diese statisch sind was ja oft der Fall ist, eine reine nur Mac Authentisierung zu in der Konfig.
Die Drucker Mac Adressen kannst du leicht aus der Forwarding Tabelle des Switches auslesen oder am Drucker selbst ablesen.
Das in den Radius / NPS erfassen und gut iss... ein Klacks für einen angehenden Fachinformatiker und nicht wirklich eine Herausforderung...
Also frisch ans Werk mit deinem Abschlussprojekt !
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Port freigeben für Kamerasystem
Frage von PaddyCarlosRouter & Routing14 Kommentare

Hallo! Wir haben zuhause ein Überwachungskamerasystem. Also IP-Cams, die an einem entsprechenden Rekorder angeschlossen sind (fest per Kabel, also ...

Windows Netzwerk
Firewall Ports freigeben verbieten
Frage von Haraldger123Windows Netzwerk6 Kommentare

Guten Tag zusammen, OS : Windows 7 Ich habe da eine Frage bzgl Ports und der Firewall Ich habe ...

Netzwerkprotokolle
NIC mit Port Security
gelöst Frage von theoberlinNetzwerkprotokolle14 Kommentare

Aloha an alle, Ich stelle mich gerade eine Frage im Bezug auf Portsecurity bei NIC's. Wird die Port Security ...

Router & Routing
Ports auf dem Router freigeben bzw. weiterleiten
Frage von CorraggiounoRouter & Routing14 Kommentare

hallo zusammen, hätte da mal ne Frage zur Portweiterleitung bzw. Portfreigabe. Ich habe auf meinem Router weder den Port ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 19 StundenBatch & Shell8 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 21 StundenHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...

Off Topic
Fachkräftemangel in Deutschland? - Talentschmiede schreibt alle 2 Tage die gleichen Stellen aus
Frage von Penny.CilinOff Topic12 Kommentare

Hallo, haben wir in Deutschland Fachkräftemangel? Die Talentschmiede schreibt gefühlt alle zwei Tage dieselben Stellen aus. Und das schon ...

Windows Server
Sichere Remote Desktop Verbindung wie?
gelöst Frage von nuss33Windows Server11 Kommentare

Hallo zusammen, eins vorweg: Ich besitze einen privaten Windows Server 2008 R2 zu Hause im Netzwerk er wird nicht ...