Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

NIC mit Port Security

Frage Netzwerke Netzwerkprotokolle

Mitglied: theoberlin

theoberlin (Level 2) - Jetzt verbinden

12.06.2014, aktualisiert 13.06.2014, 1999 Aufrufe, 14 Kommentare, 1 Danke

Aloha an alle,

Ich stelle mich gerade eine Frage im Bezug auf Portsecurity bei NIC's.

Wird die Port Security am Switch aktiviert wird dies ja anhand der MAC Adresse ausgeführt.
Nun würde ich gern verhindern, dass jemand die MAC Adresse am NIC auslesen kann um dann die Port Security zu umgehen.

In erster Linie indem ich das Prinzip gern umkehren würde. Wird an den NIC ein anderes Gerät als der Switch angeschlossen wird der Port abgeschaltet und schickt nicht seine MAC Adresse an diesen Rechner.

Kennt jemand dafür einen Mechanismus oder einen NIC der das unterstützt?

LG
Theo
Mitglied: Dobby
LÖSUNG 12.06.2014, aktualisiert 13.06.2014
Hallo,

Wird die Port Security am Switch aktiviert wird dies ja anhand der MAC Adresse ausgeführt.
Nun würde ich gern verhindern, dass jemand die MAC Adresse am NIC auslesen kann um
dann die Port Security zu umgehen.
Das kann man ganz einfach mittels eines Radius Servers und Zertifikaten erledigen.

In erster Linie indem ich das Prinzip gern umkehren würde. Wird an den NIC ein anderes
Gerät als der Switch angeschlossen wird der Port abgeschaltet und schickt nicht seine
MAC Adresse an diesen Rechner.
Und wie soll das bitte funktionieren?

Gruß
Dobby
Bitte warten ..
Mitglied: theoberlin
13.06.2014 um 08:14 Uhr
Hallo Dobby,

Per Radius geht das natürlich, aber das wäre ,eine 2. Option gewesen.

Das geht natürlich nur wenn es NICs gibt die das nativ unterstützten.

Bleibt natürlich das Problem, dass der Switch nunmal nur von dem NIC der Macadresse angesprochen wird und vom Netzwerk an den NIC wesentlich mehr MAC Adressen kommen...

Hat jemand noch eine andere Idee außer Radius? Auch wenn ich selber im Moment keine andere Option kenne.

LG
Theo
Bitte warten ..
Mitglied: Dobby
13.06.2014 um 10:54 Uhr
Hat jemand noch eine andere Idee außer Radius?
Es wird wohl noch andere Ideen dazu geben und auch Lösungswege nur,
sollte man eben nicht davon ausgehen dass das alles via Treiber der NIC läuft.


Gruß
Dobby
Bitte warten ..
Mitglied: aqui
LÖSUNG 13.06.2014, aktualisiert um 17:40 Uhr
Wird die Port Security am Switch aktiviert wird dies ja anhand der MAC Adresse ausgeführt.
Nein, das ist Unsinn und nur die halbe Miete.
Bei Verwendung von 802.1x ist das auch mit Usernamen /Passwort oder Zertifikaten möglich
http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...

Verwende also 802.1x am Switch dann hast du die Mac Adress Problematik nicht mehr !
Eine NIC wie du sie beschreibst gibt es de facto nicht !
Bitte warten ..
Mitglied: theoberlin
13.06.2014 um 17:40 Uhr
Alles klar, das hatte ich mir schon fast gedacht.

Dann wird es Radius mit Zertifikaten am Switch.

Danke trotzdem an alle.

LG
Theo
Bitte warten ..
Mitglied: aqui
13.06.2014 um 21:30 Uhr
Nein...auch wieder falsch ! Der Switch hat nicht die Zertifikate, der reicht nur durch. Die liegen auf dem Radius und wenn die OK sind sagt der Radius dem Switch dann "Port aufmachen !"
Bitte warten ..
Mitglied: theoberlin
13.06.2014, aktualisiert um 21:42 Uhr
Das ist mir schon klar aqui ;)

Damit meinte "wird am Switch realisiert"

Es ist nicht so als wäre mir 802.1X nicht geläufig aber trotzdem danke.
Bitte warten ..
Mitglied: aqui
13.06.2014, aktualisiert 14.06.2014
Sollte auch keine Klugsch...sein
Dann viel Erfolg...bei Fragen weisst du ja wo du sie stellen musst...?!
Bitte warten ..
Mitglied: theoberlin
13.06.2014 um 22:21 Uhr
So sieht aus
Bitte warten ..
Mitglied: C.R.S.
14.06.2014 um 15:42 Uhr
Zitat von aqui:

Bei Verwendung von 802.1x ist das auch mit Usernamen /Passwort oder Zertifikaten möglich
http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...

Verwende also 802.1x am Switch dann hast du die Mac Adress Problematik nicht mehr !

Da hilft aber nur 802.1x-2010 mit MACsec, und wo kann man das schon konsequent umsetzen?
Das 2004er heute noch von Grund auf neu zu implementieren (wenn die Infrastruktur nicht dafür vorbereitet ist), ist m.E. rausgeworfenes Geld.

-Richard
Bitte warten ..
Mitglied: aqui
15.06.2014, aktualisiert um 15:45 Uhr
Da hilft aber nur 802.1x-2010 mit MACsec, und wo kann man das schon konsequent umsetzen?
MacSec ist per se erstmal was ganz anderes, nämlich in erster Linie Verschlüsselung und hat mit dem Thema hier bedingt etwas zu tun:
http://www.juniper.net/techpubs/en_US/junos13.2/topics/concept/macsec.h ...

802.1x ist generell eine Benutzer oder Port Authentisierung und etablierter Standard den alle Hersteller supporten:
http://de.wikipedia.org/wiki/IEEE_802.1X
Da es EAP oder PPP-EAP-TLS Authentication verwendet kann die Authentisierung sowohl über den Client Usernamen und Passwort (Betriebssystem) oder eben Zertifikate erfolgen sofern man eine CA aufsetzt. Viele VoIP Telefone, Drucker, Switches haben heute deshalb oft auch .1x Clients an Bord um Zugang zu solch gesicherten Netzen zu bekommen.
Unverständlich was da "2004" oder "2010" bedeuten soll ?!

Einige Switchhersteller erlauben zusätzlich zur Client Usernamen und Passwort oder Zertifikats Authorisierung noch die über Mac Adressen der Clients. Mit dynamischer VLAN Zuweisung erreicht man so sog. Client based VLANs.
Aber genau das ist ja hier nicht gefordert, da man die Mac Adressen eben leicht faken kann, was mit den o.a. Verfahren so nicht möglich ist.
802.1x ist heute mittlerweile Commodity geworden da es im kommerziellen Umfeld sehr häufig in WLANs großflächig zum Einsatz kommt.
Bitte warten ..
Mitglied: C.R.S.
15.06.2014 um 15:29 Uhr
Zitat von aqui:
Aber genau das ist ja hier nicht gefordert, da man die Mac Adressen eben leicht faken kann, was mit den o.a. Verfahren so nicht
möglich ist.

Nein, das ist eben ein weit verbreiteter Irrglaube, weshalb ich es zu 802.1x kurz ansprechen wollte, auch wenn es jetzt über eine Frage, die von simpler Port-Security ausgeht, hinaus reicht. Das ist auch bei Wikipedia bei Sicherheitslücken knapp bemerkt (dort auch zur Unterscheidung 2004er- bzw. 2010er-Standard).

Das Problem ohne MACsec ist, dass es gerade so einfach ist, wie Du oben schreibst: Der Client authentisiert sich, der Switch macht den Port auf, und zwar für die MAC des authentifizierten Clients. An dem Port des authentifizierten Clients besteht insofern weiterhin eine MAC-Problematik, unabhängig von der Art der Authentifizierung.

Sicher eine Abwägungsfrage, aber da Zertifikat-Authentifizierung und Pipapo für kleine Unternehmen manchmal nur schwer umsetzbar ist, halte ich 802.1x deshalb in vielen Fällen für vergebene Liebesmühe.

Man sollte sich zumindest im Klaren sein, dass die praktische Einschränkung für den Angreifer sich darin erschöpft, dass er als Man-in-the-Middle an einen authentifizierten Client gebunden ist. Der Angriff sieht so aus, dass man auf einem MITM-Gerät eine EAPOL-durchlässige Bridge aufsetzt, die dann "als Client" Pakete injizieren kann.
Bitte warten ..
Mitglied: aqui
15.06.2014, aktualisiert um 15:47 Uhr
Ahhh...OK so war das gemeint, das hatte ich missverstanden. Ja da hast du natürlich Recht, denn wenn der Client wie auch immer authentisiert ist trägt der Switch einfach dessen Mac Adresse ein in seine Port Forwarding Tabelle (Mac Table) und damit wird dann generell dessen Traffic geforwardet. Stimmt da hast du Recht !
Da besteht dann ein gewisses Risiko mit der Mac.
Nur auch wenn das der Fall ist und man den Port so aufbekommt müsste man mit GENAU der Mac von einem 2ten Gerät senden und hätte dann doppelte Macs im Netz.
Denn abziehen darf man den Client nicht, ein Link Loss triggert die Authentisierung neu. Wenn man aber ohne Link Loss die Ursprungs Mac ändert und mit dem Angreifer dann weitersendet ist man natürlich drin, richtig.
Man müsste dann den Reauth Timer entsprechend niedrig setzen was so den Zugang dann erheblich erschweren würde aber ganz könnte man ihn nicht verhindern...das stimmt.
Sorry nochmal für das Missverständniss !
Bitte warten ..
Mitglied: theoberlin
15.06.2014 um 16:12 Uhr
Ich habe in der Firma vor kurzem eine 2012er Gesamtstruktur (Win 7 Clients) umgesetzt.

Die Zertifikate für die Webserver ( davon unabhängig) sind (logischerweise) von einer CA signiert.

Für Radius würde ich aber durchaus eine CA auf dem DC einrichten. Habe ich zwar noch nie gemacht aber für sowas gibts ja Testumgebungen.
Allerdings würde ich mir natürlich kein signiertes Ca Zertifikat ausstellen lassen dafür ist die Firma nicht groß genug. Aber für Radius Firmenintern muss das ja auch nicht sein.
Das klappt gerade mit einem kleinen Linux Server mit Freeradius fürs Gast WLAN wunderbar..

LG
Theo
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Hyper-V
Windows Server 2012 R2 NIC Teaming mit Lancom Switch

Frage von onkel87 zum Thema Hyper-V ...

Windows 10
Official Blog: Every Windows 10 in-place Upgrade is a SEVERE Security risk (7)

Link von Lochkartenstanzer zum Thema Windows 10 ...

Firewall
Sophos Utm 9 Port 3000 für ProfiCash freigeben (4)

Frage von Floh21 zum Thema Firewall ...

Drucker und Scanner
USB-Drucker über virtuellen COM LPT- Port ansteuern (27)

Frage von magicman zum Thema Drucker und Scanner ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (18)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...