6
Netzwerkports erst nach Anmeldung freigeben - Port-Security
Guten Morgen,
ich habe mich in den letzten Tagen etwas über das Authentifizierungssystem rund um RADIUS bzw. IEEE 802.1X informiert, da ich dieses Thema gerne bei mir im Betrieb umsetzen möchte.
Die meisten Anleitungen waren aber auf WLAN-Netze bezogen. Ich arbeite in einer Behörde in der kein WLAN erlaubt ist, weshalb ich die ganzen Sicherheitsfunktionen eher für das LAN bräuchte. Meines Wissens lautet da der Überbegriff "Port-Security".
Bei uns gibt es in manchen Büros offene und gepatchte Ports. Auch draußen auf den Fluren findet man in manchen Ecken offene Ports über die man leicht mithilfe von Laptop und Netzwerkscanner ein wenig schnüffeln könnte.
Genau das soll vermieden werden. Über Google konnte ich jetzt nicht all so viele Informationen dazu finden, deshalb möchte ich gerne euch mal fragen ;)
1. Funktioniert das dann im LAN genauso wie im WLAN? Also man steckt das Kabel in seinen Lappy und bevor man ins Internet bzw. ins Netzwerk kann und bekommt man eine Anmeldemaske?
2. Was brauche ich für einen Server? Reicht mir ein W2k8R2 mit der entsprechenden Rolle?
3. Unsere Switche können das auf jeden Fall (habe schon nachgeguckt
). Leider verstehe ich davon momentan noch Bahnhof. Könnt ihr mir gute Tutorials empfehlen?
Ich wäre euch dankbar wenn ihr mir bezüglich diesem Thema ein bisschen auf die Sprünge helfen könntet.
MfG
elektroriegel
ich habe mich in den letzten Tagen etwas über das Authentifizierungssystem rund um RADIUS bzw. IEEE 802.1X informiert, da ich dieses Thema gerne bei mir im Betrieb umsetzen möchte.
Die meisten Anleitungen waren aber auf WLAN-Netze bezogen. Ich arbeite in einer Behörde in der kein WLAN erlaubt ist, weshalb ich die ganzen Sicherheitsfunktionen eher für das LAN bräuchte. Meines Wissens lautet da der Überbegriff "Port-Security".
Bei uns gibt es in manchen Büros offene und gepatchte Ports. Auch draußen auf den Fluren findet man in manchen Ecken offene Ports über die man leicht mithilfe von Laptop und Netzwerkscanner ein wenig schnüffeln könnte.
Genau das soll vermieden werden. Über Google konnte ich jetzt nicht all so viele Informationen dazu finden, deshalb möchte ich gerne euch mal fragen ;)
1. Funktioniert das dann im LAN genauso wie im WLAN? Also man steckt das Kabel in seinen Lappy und bevor man ins Internet bzw. ins Netzwerk kann und bekommt man eine Anmeldemaske?
2. Was brauche ich für einen Server? Reicht mir ein W2k8R2 mit der entsprechenden Rolle?
3. Unsere Switche können das auf jeden Fall (habe schon nachgeguckt
). Leider verstehe ich davon momentan noch Bahnhof. Könnt ihr mir gute Tutorials empfehlen?Ich wäre euch dankbar wenn ihr mir bezüglich diesem Thema ein bisschen auf die Sprünge helfen könntet.
MfG
elektroriegel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 190522
Url: https://administrator.de/contentid/190522
Printed on: April 19, 2024 at 03:04 o'clock
6 Comments
Latest comment
moin,
das ist ganz "einfach" *lach*
Denn eines mußt du bedenken, fliegt dir der Radius um die Ohren, dann steht das Netz!
Ansonsten - klemm per Frontend alle ungenutzen, aber durchgepatchten Ports ab und schalte dir per Anweisung wieder frei.
Nachtrag:
Ganz ehrlich: hole dir da jemanden, der das schonmal gemacht hat - so trivial, das man das anhand von Tuts (nix gegen Aquis wunderherrlichbare Tuts) alleine hinbekommt, dürfte etwas komplexer sein, denn da lauern Fallstricke auf die so ein Tut nicht immer gewappnet sein kann.
das ist ganz "einfach" *lach*
Hier wäre NEIN die richtige Antwort:
- Habt Ihr Netzwerkdrucker?
Und Hier JA:
- Könnten die (Netzwerkdrucker und alles, was sich im "Flur" befindet) in einem eigenen Vlan werkeln?
mangebare Switche, die 802.x können?Sind die (eher nicht) 802.x tauglich?- Habt Ihr nen hochverfügbaren Esx oder ne andere hochverfügbarkeitslösung?
Denn eines mußt du bedenken, fliegt dir der Radius um die Ohren, dann steht das Netz!
Ansonsten - klemm per Frontend alle ungenutzen, aber durchgepatchten Ports ab und schalte dir per Anweisung wieder frei.
Nachtrag:
Ganz ehrlich: hole dir da jemanden, der das schonmal gemacht hat - so trivial, das man das anhand von Tuts (nix gegen Aquis wunderherrlichbare Tuts) alleine hinbekommt, dürfte etwas komplexer sein, denn da lauern Fallstricke auf die so ein Tut nicht immer gewappnet sein kann.
Dieses Tutorial beantwortet ALLE Fragen zu dem Thema damit du nicht mehr im Bahnhof stehen musst: (Die Suchfunktion lässt freundlich grüßen hier !)
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
und ist NICHT auf WLAN bezogen !
Den Radius legt man natürlich redundant aus um Kollege Timo zu beruhigen
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
und ist NICHT auf WLAN bezogen !
Den Radius legt man natürlich redundant aus um Kollege Timo zu beruhigen
Mist, dann kann ich es wohl auch vergessen das als Abschlussprojekt (Fachinformatiker) zu machen oder?
Wir haben ein Netzwerk von rund 700 Clients (ca. 500 Windows-PCs und der Rest Server und Netzwerkdrucker). Wie du grad geschrieben hast wäre der Aufwand ja utopisch groß bei jedem Drucker dann die RADIUS-Zugangsdaten einzutragen.
Geht das wenn ich jetzt beispielsweise dem Server sage, dass alles was jetzt schon dranhängt vertrauendwürdig ist und alles was noch dazukommt sich authentifizieren muss?
Wir haben ein Netzwerk von rund 700 Clients (ca. 500 Windows-PCs und der Rest Server und Netzwerkdrucker). Wie du grad geschrieben hast wäre der Aufwand ja utopisch groß bei jedem Drucker dann die RADIUS-Zugangsdaten einzutragen.
Ansonsten - klemm per Frontend alle ungenutzen, aber durchgepatchten Ports ab und schalte dir per Anweisung wieder frei.
Geht das wenn ich jetzt beispielsweise dem Server sage, dass alles was jetzt schon dranhängt vertrauendwürdig ist und alles was noch dazukommt sich authentifizieren muss?
Zitat von @aqui:
Dieses Tutorial beantwortet ALLE Fragen zu dem Thema damit du nicht mehr im Bahnhof stehen musst: (Die Suchfunktion lässt
freundlich grüßen hier !)
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
und ist NICHT auf WLAN bezogen !
Den Radius legt man natürlich redundant aus um Kollege Timo zu beruhigen
Dieses Tutorial beantwortet ALLE Fragen zu dem Thema damit du nicht mehr im Bahnhof stehen musst: (Die Suchfunktion lässt
freundlich grüßen hier !)
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
und ist NICHT auf WLAN bezogen !
Den Radius legt man natürlich redundant aus um Kollege Timo zu beruhigen
Auch hier ist halt die Frage ob ich nur alle unsicheren bzw. offenen Ports mit RADIUS absichere oder alle. Ich glaube alle abzusichern wäre eine Mammutaufgabe und nie in 40 Std. zu schaffen ^^
Salü,
zu deinen Fragen:
Meinst du die Drucker, die kein 802.1x können?
Im Prinzip ist das kein Aufwand, denn jeder ordentliche Switch kennt sowas wie eine Cli und einen Befehl wie z.B "ARP" und damit weißt du, welcher Port welche Mac kennt und anhand der ersten beiden Werte auch wer - soferns keine Fakemac ist - wer der Hersteller ist.
Nur weichst du so das Konstrukt auf.
Ob ob das ne fachinformatiker Baustelle ist, wenn du dir den großen Teil aus Netz ziehen kannst - ich mein Helmut Kohl hat ja auch nen Doc. Titel mit ner laaaaangen Zitaten/quellenliste. Bei Ex Dr. Nickelbrille gings auch noch kurzfristig.
Bedenke nur mal eines:
Was mußt du bei einem Netzwerkdrucker machen, damit da nicht jeder im Menü des Drucker in die Netzwerkeinstellungen gehen kann um sich die Mac anzusehen - die er dann einfach spoofen und seine Kiste an das Kabel anstecken kann?
Gruß
zu deinen Fragen:
Meinst du die Drucker, die kein 802.1x können?
Im Prinzip ist das kein Aufwand, denn jeder ordentliche Switch kennt sowas wie eine Cli und einen Befehl wie z.B "ARP" und damit weißt du, welcher Port welche Mac kennt und anhand der ersten beiden Werte auch wer - soferns keine Fakemac ist - wer der Hersteller ist.
Nur weichst du so das Konstrukt auf.
Ob ob das ne fachinformatiker Baustelle ist, wenn du dir den großen Teil aus Netz ziehen kannst - ich mein Helmut Kohl hat ja auch nen Doc. Titel mit ner laaaaangen Zitaten/quellenliste. Bei Ex Dr. Nickelbrille gings auch noch kurzfristig.
Bedenke nur mal eines:
Was mußt du bei einem Netzwerkdrucker machen, damit da nicht jeder im Menü des Drucker in die Netzwerkeinstellungen gehen kann um sich die Mac anzusehen - die er dann einfach spoofen und seine Kiste an das Kabel anstecken kann?
- Überlege mal genauer...
- Kann man "alle" Ports mit einem Radius absichern?
40 stunden?
In der Zeit hab ich das damals grade so gelöst, allerdings ohne Tut dafür mit ner Doku.Gruß
@elektroriegel
Bevor du solche unsinnigen Statements wie "Mist, dann kann ich es wohl auch vergessen das als Abschlussprojekt (Fachinformatiker) zu machen oder?..." einfach raushaust hier solltest du dir doch besser mal die Zeit nehmen und VORHER das Tutorial richtig durchlesen !
Stichwort "Mac Authentication Bypass"...
Die Drucker und alle Clients die KEINEN 802.1x Client an Bord haben (die wenigsten Drucker haben das deshalb ist es auch unsinnig einen Usernamen und Passwort auf einem Drucker installieren zu wollen !) authentisiert man dann über deren mac Adresse.
Das kann entweder automatisch geschehen indem du dem Switch sagt : "Wenn die .1x User Authentisierung fehlschlägt mache bitte automatisch einen Mac Authentisierung am Port !"
Oder du weist den Drucker Switchports, sofern diese statisch sind was ja oft der Fall ist, eine reine nur Mac Authentisierung zu in der Konfig.
Die Drucker Mac Adressen kannst du leicht aus der Forwarding Tabelle des Switches auslesen oder am Drucker selbst ablesen.
Das in den Radius / NPS erfassen und gut iss... ein Klacks für einen angehenden Fachinformatiker und nicht wirklich eine Herausforderung...
Also frisch ans Werk mit deinem Abschlussprojekt !
Bevor du solche unsinnigen Statements wie "Mist, dann kann ich es wohl auch vergessen das als Abschlussprojekt (Fachinformatiker) zu machen oder?..." einfach raushaust hier solltest du dir doch besser mal die Zeit nehmen und VORHER das Tutorial richtig durchlesen !
Stichwort "Mac Authentication Bypass"...
Die Drucker und alle Clients die KEINEN 802.1x Client an Bord haben (die wenigsten Drucker haben das deshalb ist es auch unsinnig einen Usernamen und Passwort auf einem Drucker installieren zu wollen !) authentisiert man dann über deren mac Adresse.
Das kann entweder automatisch geschehen indem du dem Switch sagt : "Wenn die .1x User Authentisierung fehlschlägt mache bitte automatisch einen Mac Authentisierung am Port !"
Oder du weist den Drucker Switchports, sofern diese statisch sind was ja oft der Fall ist, eine reine nur Mac Authentisierung zu in der Konfig.
Die Drucker Mac Adressen kannst du leicht aus der Forwarding Tabelle des Switches auslesen oder am Drucker selbst ablesen.
Das in den Radius / NPS erfassen und gut iss... ein Klacks für einen angehenden Fachinformatiker und nicht wirklich eine Herausforderung...
Also frisch ans Werk mit deinem Abschlussprojekt !
