Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

RADIUS Server für Switch Port Security?

Frage Sicherheit Firewall

Mitglied: Frommeyer

Frommeyer (Level 1) - Jetzt verbinden

28.03.2006, aktualisiert 08.01.2009, 12521 Aufrufe, 9 Kommentare

Hallo,

folgende Frage:
Ist es möglich mit einem RADIUS Server eine Art Switch Port Security einzurichten??

Ich stell mir das ungefähr so vor:

Ein Benutzer schaltet seinen PC ein.
Der PC hängt an einem Switch.
Der Switch prüft auf dem RADIUS-Server ob dieser PC und/oder Benutzer die Berechtigung für das Netzwerk besitzt.
Falls ja, wird der Port auf dem Switch aktiviert.
Falls nein, bleibt der Port deaktivert.

Ist sowas möglich, oder liege ich total daneben.
Wenn ja, hat jemand sowas schon im Einsatz und mit welchem RADIUS-Server und welchen Switchen.
ICh habe schon gelesen, daß der Windows 2003 Server einen ISA-Server mitbringt, dieser kann aber nur 50 Clients.
Super wäre einen Einbindung in die bestehende Active Directory.

Danke im Voraus.

Mit freundlichen Grüßen,

Jens
Mitglied: 27119
28.03.2006 um 17:13 Uhr
Das geht, mit 802.1X. Das ist eine der wohl besten Methoden sein Netz abzusichern.

Port-Security ist eigentlich eine Cisco Switch Funktion, um nur bestimmte MACs auf Switchports zuzulassen. Eher aufwendig in der Pflege.
Bitte warten ..
Mitglied: meinereiner
28.03.2006 um 17:25 Uhr
Kleine Erweiterung zu dunos Kommentar:

XP und 2000 unterstützen 802.1x von Haus aus und es geht über den IAS auch auf Benutzerebene und übers AD.

Die Begrenzung der Clients ist von Windows Standard zur Enterprise Edition unterschiedlich. Ohne jetzt die Zahlen im Kopf zu haben. Als Client zählt in dem Fall aber der Switch und nicht die Rechner, die am Switch hängen, da der Switch den IAS abfragt.
Bitte warten ..
Mitglied: BartSimpson
28.03.2006 um 17:43 Uhr
Auf alle Fälle benötigst du einen Switch der 802.1X fähig ist.
Dann der Sicherheit wegen eine PKI.
Und dann EAP-TLS aus Autentifizieungsmehtode. Als Radiusserver kannste entwerder freeradius oder den von MS nehmen. Je nach dem, was dir mehr liegt.
Allerdings solltest du die Schattenseite auch kennen lernen.
Dachen wie TFT Boot oder RIS fallen denn flach. Denn der PXE Stack kennte kein 802.1x
Bitte warten ..
Mitglied: motivator77
03.04.2006 um 16:29 Uhr
Hallo,

Ja das was Du vorhast ist möglich. Das ganze nennt sich dann Policy enabled Networking (PEN) unter Verwendung von IEEE 802.1x. Als RADIUS Server kannst Du jeden beliebigen nehmen. Egal ob Steel Belted Funk oder den Windows eigenen RADIUS Server. Nur die Switche müssen dieses Feature unterstützen.

Die Funktion ist folgendermassen:
Der User identifiziert sich am Switchport entweder per MAC-Adresse, per IP, per Benutzername/Passwort oder mit dem Rechnernamen. Der Switch schickt die Daten zum RADIUS Server und der schaut nach den Rechten des Benutzers. Dem Benutzer ist im AD eine Rolle mit den entsprechenden Rechten zugewiesen. Der RADIUS schickt dann einen String an den Switch und der Switch schaltet den entsprechenden Port frei oder sperrt ihn, oder aber lässt nur ganz bestimmte Protokolle zu.
Die Rechte lassen sich wie bei einer Firewall auf Protokollebene runterbrechen. So kann man zum Beispiel der Gruppe Vertriebler das Protokoll Telnet und ping verbieten.
Es lassen sich für jede Funktion der Angestellten im Unternehmen Rollen definieren. Zum Beispiel bekommt ein Benutzer, der sich nicht autentisieren kann (ein Gast mit einem Notebook) die Rolle mit den niedrigsten Rechten (default role, z.B. nur HTTP) zugewiesen. Die User, die sich autentisieren können, bekommen höherwertige Rollen zugewiesen.
Ich habe soetwas mal mit Komponenten von Enterasys Networks implementiert. Als Radius Server haben wir den IAS unter Windows Server 2003 genutzt, als Switche Enterasys Komponenten und als Software zum Konfigurieren der Regeln und Services den Enterasys Policy Manager.

gruss
motivator77
Bitte warten ..
Mitglied: Frommeyer
07.04.2006 um 08:57 Uhr
Hallo an alle,

brauch ich für die RADIUS Autentifizierung zwingend eine PKI Public Key Infrastructure??

Mit freundlichen Grüßen,

Jens
Bitte warten ..
Mitglied: BartSimpson
07.04.2006 um 09:05 Uhr
Wenn EAP-TLS genutzt werden soll, denn schon.
Bitte warten ..
Mitglied: meinereiner
07.04.2006 um 09:48 Uhr
Wenn du es über PEAP machst nicht.
Bitte warten ..
Mitglied: aqui
09.05.2006 um 16:17 Uhr
Für MD5 Hash auch nicht...
Bitte warten ..
Mitglied: BartSimpson
09.05.2006 um 16:45 Uhr
Aber ohne PKI bleibt auch die Sicherheit teilweise auf der Strecke.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
LAN, WAN, Wireless
Dd-wrt Hotspot mit Radius Server und Traffic Volume Limit (19)

Frage von Kubus0815 zum Thema LAN, WAN, Wireless ...

Windows Server
gelöst Radius-Server auf Win. Srv. 2008R2 (5)

Frage von anak1m zum Thema Windows Server ...

Router & Routing
LTE: statische IP über OpenVPN Server - Openwrt - Port forwarding (5)

Frage von cypher2045 zum Thema Router & Routing ...

Hyper-V
Windows Server 2012 R2 NIC Teaming mit Lancom Switch

Frage von onkel87 zum Thema Hyper-V ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (32)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...