Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Radius im LAN - Nicht WLAN!

Frage Netzwerke LAN, WAN, Wireless

Mitglied: freakms

freakms (Level 1) - Jetzt verbinden

11.04.2013, aktualisiert 16.03.2015, 2512 Aufrufe, 12 Kommentare, 1 Danke

Hallo LIebe Community,

mal wieder eine Frage von mir.

Wir haben in unserer Windows Domäne mehrere Server und Clients und suchen nun eine gute Sicherheit um fremdgeräten den Zugang zum Netz dicht zu machen.

Seiner Zeit hatten wir mal die ArpGuard im Einsatz. Grundsätzlich auch ne schöne Sache aber die hat dermaßen die Performance runtergezogen und dann gab es auch noch sachen das mit mal ALLE Mac adressen gesperrt waren...ergo; Arp Guard aus!

Jetzt kam von unserem Dienstleister für NEtzwerk der Hinweis Radius zu nutzen. Bislang war mir Radius nur für WLAN bekannt.

Habt ihr Erfahrung damit/könnt mir sagen wie das im LAN funktionieren soll?

Was benötigt man dafür?

Vielen Dank!

Mitglied: tikayevent
11.04.2013 um 19:58 Uhr
Mit verwaltbaren Switches und 802.1X geht sowas.
Bitte warten ..
Mitglied: exchange
LÖSUNG 11.04.2013, aktualisiert 16.03.2015
Hi,
schau Dir mal diese Anleitung an: http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...


Gruß
Heiko
Bitte warten ..
Mitglied: Dobby
12.04.2013 um 11:52 Uhr
Hallo,

Kleiner Tipp von mir, geh mal zum nächsten Kiosk und hol Dir ein c´t, da wird das gerade auf zwei Seiten abgehandelt und recht verständlich erklärt.

Wie meine Vorredner es schon angesprochen haben, man braucht dafür mehrere Sachen die zusammen arbeiten.
- Switche die Radius Auth. unterstützen und/oder Switche mit einem eingebauten Radius Server, die kosten aber richtig.
- Einen Radius Server
- Klienten die via Radius authentifiziert werden können/sollen.

Aber so etwas "haut" Dir/Euch auch immer eine gewisse Last auf das LAN Kabel!
Also wenn das Routing bei Euch nur der Router oder die Firewall macht und im LAN kein Layer 3 Switch zur Verfügung steht, am bsten ein "Non Blocking" Switch, dann würde ich das mal lieber lassen, allerdings
kommt es hier auch immer auf die Anzahl der Geräte an!!!

Also Kabel gebundene Geräte würde ich immer via LDAP und kabellose Geräte via Radius absichern wollen,
einzige Ausnahme ist die DMZ in der ein DMZ Radius Server steht um diese noch besser abzusichern.

Gruß
Dobby
Bitte warten ..
Mitglied: dog
12.04.2013 um 16:06 Uhr
nun eine gute Sicherheit um fremdgeräten den Zugang zum Netz dicht zu machen.

Dann vergiss RADIUS.
Das ist im LAN so effektiv wie die MAC-ID-Sperrlisten bei WLAN.
Bitte warten ..
Mitglied: Dobby
13.04.2013 um 10:03 Uhr
Hallo @dog,

Das ist im LAN so effektiv wie die MAC-ID-Sperrlisten bei WLAN.
Normaler weise läuft das doch so ab, zumindest meinem Wissensstand zufolge, aber ich lasse mich auch gerne korrigieren, das jedes Netzwerkgerät ein Zertifikat und einen Schlüssel
zusammen bekommt, entweder als .pem (Windows) oder als .pam (Linux) Datei und wer keine solche Datei hat dem wird der Zugang zum Netzwerk verweigert, oder????

Gruß
Dobby
Bitte warten ..
Mitglied: dog
13.04.2013, aktualisiert um 14:42 Uhr
Normaler weise läuft das doch so ab, [...] das jedes Netzwerkgerät ein Zertifikat und einen Schlüssel zusammen bekommt,

Ja, du kannst zwar kontrollieren, wie die Authentifizierung stattfindet, was authentifiziert wird ist aber immer die MAC-ID und der Port-State.

Wenn du also einen "legalen" Client über einen Hub mit dem Switch verbindest, den die Anmeldung durchlaufen lässt, dann dem "Rouge" Client dessen IP und MAC-ID gibst, und am Hub statt dem echten Client deinen anschließt hast du vollen Zugriff, weil 802.1x im LAN eben nicht jedes einzelne Paket verifiziert (im Gegensatz zum WLAN, wo WPA das übernimmt), sondern nur einmal beim Port-State-Wechsel die Freigabe.

Zwar kann man an Switchen die periodische Re-Authentifizierung konfigurieren, aber wer ein bisschen Ahnung von Linux hat kann sich auch einen 'Switch' bauen, der alle RADIUS-Pakete an den legalen Client weiterleitet und den Rest vom Traffic an den eigenen...
Bitte warten ..
Mitglied: Dobby
13.04.2013 um 14:53 Uhr
@dog,

Danke, das war ja mal eine ausführliche Erklärung.
Also das heißt doch dann eigentlich:
- WLAN über Radius mit Zertifikat
- LAN via LDAP
- Und an den Switchen dann VLANs, ACLs und Port Security

Wäre das so für das LAN in Ordnung?

Gruß
Dobby
Bitte warten ..
Mitglied: dog
13.04.2013 um 15:06 Uhr
Wenn du im LAN wirklich sicher gehen willst:

  • Verhindern, dass Benutzer lokale Admin-Rechte haben
  • Bitlocker benutzen, damit niemand eine Live-CD benutzen kann, um Zertifikate offline zu klauen
  • Zertifikate auf alle Clients ausrollen
  • Zertifikatbasiertes IPSec im Transport-Modus benutzen

Microsoft nennt das "Domain Isolation".
Bitte warten ..
Mitglied: Dobby
13.04.2013 um 20:31 Uhr
@dog

Danke nochmals dafür?

Gruß
Dobby
Bitte warten ..
Mitglied: freakms
15.04.2013 um 14:30 Uhr
Danke für die vielen Antworten...

Also zum Verständnis:

Wir haben ein Netz mit ca.
- 300 Thin Clients
- 400 PC's
- 120 Server (Virtuell und physikalisch)

Es sind etwa 45 Brocade Switche und 2 FastIrons als naja...äh...Backbone im Einsatz.

Unsere AD beherbergt etwa 1400 User Accounts.

Das Routing wird von unserer Firewall (Sophos UTM9) übernommen. Ist es denn tatsächlich so, dass ich auch bei einer Client und Userauth. beim RADIUS mit einem Mac-Changer o.ä. das System umgehen könnte?

Die Switche beherrschen die Technologie und sind natürlich Layer 3.

Was ist denn eine gute Technologie und alternative zur Arp-Guard?
Bitte warten ..
Mitglied: Dobby
28.04.2013 um 03:14 Uhr
Hallöle,

schon was neues in der Geschichte?


Hat sich der Beitrag erledigt?
Sollte er sogar gelöst worden sein wäre eine Mitteilung hierüber auch für uns alle interessant,
denn so ein Forum lebt nun einmal davon das andere Mitglieder die Suchfunktion benutzen und Ergebnisse vorfinden.

Gruß
Dobby
Bitte warten ..
Mitglied: freakms
31.05.2013 um 17:33 Uhr
Ney, jibt noch niks neues. Haben demnächst einen Workshop um komplett einmal die Radius Sache zu analysieren und auch an einer DMZ Strategie zu feilen. werde dann berichten!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
Notebook LAN WLAN LTE trennen (2)

Frage von HansB3rt zum Thema LAN, WAN, Wireless ...

Drucker und Scanner
Multifunktions(Farb)-Laser Drucker (Lan-Wlan) fähig (3)

Frage von wescraven07 zum Thema Drucker und Scanner ...

Netzwerke
LAN und WLAN je mit gleicher IP (13)

Frage von dauatitsbest zum Thema Netzwerke ...

LAN, WAN, Wireless
WLAN zu LAN Switch oder Bridge (4)

Frage von Stefan3110 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...