Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Netzwerkports erst nach Anmeldung freigeben - Port-Security

Frage Netzwerke

Mitglied: elektroriegel

elektroriegel (Level 1) - Jetzt verbinden

31.08.2012 um 09:31 Uhr, 2662 Aufrufe, 6 Kommentare

Guten Morgen,

ich habe mich in den letzten Tagen etwas über das Authentifizierungssystem rund um RADIUS bzw. IEEE 802.1X informiert, da ich dieses Thema gerne bei mir im Betrieb umsetzen möchte.

Die meisten Anleitungen waren aber auf WLAN-Netze bezogen. Ich arbeite in einer Behörde in der kein WLAN erlaubt ist, weshalb ich die ganzen Sicherheitsfunktionen eher für das LAN bräuchte. Meines Wissens lautet da der Überbegriff "Port-Security".

Bei uns gibt es in manchen Büros offene und gepatchte Ports. Auch draußen auf den Fluren findet man in manchen Ecken offene Ports über die man leicht mithilfe von Laptop und Netzwerkscanner ein wenig schnüffeln könnte.

Genau das soll vermieden werden. Über Google konnte ich jetzt nicht all so viele Informationen dazu finden, deshalb möchte ich gerne euch mal fragen ;)

1. Funktioniert das dann im LAN genauso wie im WLAN? Also man steckt das Kabel in seinen Lappy und bevor man ins Internet bzw. ins Netzwerk kann und bekommt man eine Anmeldemaske?

2. Was brauche ich für einen Server? Reicht mir ein W2k8R2 mit der entsprechenden Rolle?

3. Unsere Switche können das auf jeden Fall (habe schon nachgeguckt ). Leider verstehe ich davon momentan noch Bahnhof. Könnt ihr mir gute Tutorials empfehlen?


Ich wäre euch dankbar wenn ihr mir bezüglich diesem Thema ein bisschen auf die Sprünge helfen könntet.

Mit freundlichen Grüßen
elektroriegel
Mitglied: 60730
31.08.2012, aktualisiert um 09:42 Uhr
moin,

das ist ganz "einfach" *lach*

Hier wäre NEIN die richtige Antwort:

  • Habt Ihr Netzwerkdrucker?

Und Hier JA:

  • Könnten die (Netzwerkdrucker und alles, was sich im "Flur" befindet) in einem eigenen Vlan werkeln?
  • mangebare Switche, die 802.x können?
  • Sind die (eher nicht) 802.x tauglich?
  • Habt Ihr nen hochverfügbaren Esx oder ne andere hochverfügbarkeitslösung?

Denn eines mußt du bedenken, fliegt dir der Radius um die Ohren, dann steht das Netz!

Ansonsten - klemm per Frontend alle ungenutzen, aber durchgepatchten Ports ab und schalte dir per Anweisung wieder frei.

Nachtrag:
Ganz ehrlich: hole dir da jemanden, der das schonmal gemacht hat - so trivial, das man das anhand von Tuts (nix gegen Aquis wunderherrlichbare Tuts) alleine hinbekommt, dürfte etwas komplexer sein, denn da lauern Fallstricke auf die so ein Tut nicht immer gewappnet sein kann.
Bitte warten ..
Mitglied: aqui
31.08.2012, aktualisiert um 09:45 Uhr
Dieses Tutorial beantwortet ALLE Fragen zu dem Thema damit du nicht mehr im Bahnhof stehen musst: (Die Suchfunktion lässt freundlich grüßen hier !)

http://www.administrator.de/contentid/154402

und ist NICHT auf WLAN bezogen !
Den Radius legt man natürlich redundant aus um Kollege Timo zu beruhigen
Bitte warten ..
Mitglied: elektroriegel
31.08.2012 um 09:57 Uhr
Mist, dann kann ich es wohl auch vergessen das als Abschlussprojekt (Fachinformatiker) zu machen oder?

Wir haben ein Netzwerk von rund 700 Clients (ca. 500 Windows-PCs und der Rest Server und Netzwerkdrucker). Wie du grad geschrieben hast wäre der Aufwand ja utopisch groß bei jedem Drucker dann die RADIUS-Zugangsdaten einzutragen.

Ansonsten - klemm per Frontend alle ungenutzen, aber durchgepatchten Ports ab und schalte dir per Anweisung wieder frei.

Geht das wenn ich jetzt beispielsweise dem Server sage, dass alles was jetzt schon dranhängt vertrauendwürdig ist und alles was noch dazukommt sich authentifizieren muss?
Bitte warten ..
Mitglied: elektroriegel
31.08.2012 um 09:59 Uhr
Zitat von aqui:
Dieses Tutorial beantwortet ALLE Fragen zu dem Thema damit du nicht mehr im Bahnhof stehen musst: (Die Suchfunktion lässt
freundlich grüßen hier !)

http://www.administrator.de/contentid/154402

und ist NICHT auf WLAN bezogen !
Den Radius legt man natürlich redundant aus um Kollege Timo zu beruhigen



Auch hier ist halt die Frage ob ich nur alle unsicheren bzw. offenen Ports mit RADIUS absichere oder alle. Ich glaube alle abzusichern wäre eine Mammutaufgabe und nie in 40 Std. zu schaffen ^^
Bitte warten ..
Mitglied: 60730
31.08.2012, aktualisiert um 13:04 Uhr
Salü,

zu deinen Fragen:

Meinst du die Drucker, die kein 802.1x können?
Im Prinzip ist das kein Aufwand, denn jeder ordentliche Switch kennt sowas wie eine Cli und einen Befehl wie z.B "ARP" und damit weißt du, welcher Port welche Mac kennt und anhand der ersten beiden Werte auch wer - soferns keine Fakemac ist - wer der Hersteller ist.
Nur weichst du so das Konstrukt auf.

Ob ob das ne fachinformatiker Baustelle ist, wenn du dir den großen Teil aus Netz ziehen kannst - ich mein Helmut Kohl hat ja auch nen Doc. Titel mit ner laaaaangen Zitaten/quellenliste. Bei Ex Dr. Nickelbrille gings auch noch kurzfristig.

Bedenke nur mal eines:
Was mußt du bei einem Netzwerkdrucker machen, damit da nicht jeder im Menü des Drucker in die Netzwerkeinstellungen gehen kann um sich die Mac anzusehen - die er dann einfach spoofen und seine Kiste an das Kabel anstecken kann?

  • Überlege mal genauer...
Und ich gebe dir die Antwort absichtlich nicht - wenn es dein Abschlussprojekt (Fachinformatiker) sein soll, denn dein Prüfer kennst diese Seite sicherlich auch...

  • Kann man "alle" Ports mit einem Radius absichern?

40 stunden?
In der Zeit hab ich das damals grade so gelöst, allerdings ohne Tut dafür mit ner Doku.

Gruß
Bitte warten ..
Mitglied: aqui
31.08.2012, aktualisiert um 13:16 Uhr
@elektroriegel
Bevor du solche unsinnigen Statements wie "Mist, dann kann ich es wohl auch vergessen das als Abschlussprojekt (Fachinformatiker) zu machen oder?..." einfach raushaust hier solltest du dir doch besser mal die Zeit nehmen und VORHER das Tutorial richtig durchlesen !
Stichwort "Mac Authentication Bypass"...
Die Drucker und alle Clients die KEINEN 802.1x Client an Bord haben (die wenigsten Drucker haben das deshalb ist es auch unsinnig einen Usernamen und Passwort auf einem Drucker installieren zu wollen !) authentisiert man dann über deren mac Adresse.
Das kann entweder automatisch geschehen indem du dem Switch sagt : "Wenn die .1x User Authentisierung fehlschlägt mache bitte automatisch einen Mac Authentisierung am Port !"
Oder du weist den Drucker Switchports, sofern diese statisch sind was ja oft der Fall ist, eine reine nur Mac Authentisierung zu in der Konfig.
Die Drucker Mac Adressen kannst du leicht aus der Forwarding Tabelle des Switches auslesen oder am Drucker selbst ablesen.
Das in den Radius / NPS erfassen und gut iss... ein Klacks für einen angehenden Fachinformatiker und nicht wirklich eine Herausforderung...
Also frisch ans Werk mit deinem Abschlussprojekt !
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Firewall
Sophos Utm 9 Port 3000 für ProfiCash freigeben (4)

Frage von Floh21 zum Thema Firewall ...

LAN, WAN, Wireless
1 Port in mehreren VLANs? (6)

Frage von mario87 zum Thema LAN, WAN, Wireless ...

Windows 10
gelöst Pin anmeldung unter w10 priorisieren (3)

Frage von tobias3355 zum Thema Windows 10 ...

Windows 10
Official Blog: Every Windows 10 in-place Upgrade is a SEVERE Security risk (7)

Link von Lochkartenstanzer zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...