Switchport absichern wo AP drauf hängt

[onedread 10]

Hi

 

Wie kann ich einen Switchport absichern das sich dort nur ein AP + seine Clients befindne dürfen?

 

Für einen normalen PC würde mir da port-security einfallen, aber wie sieht das eben bei AP's aus? Gibt es eine Möglichkeit das der Switchport auf disabled geht wenn er merkt das der AP nicht mehr draufhängt?

 

Sprich eine Logik die aussieht wie Client1 oder Client2 oder usw... UND der AP.

--> dann ist alles in Ordnung und der Port ist aktive

 

Wenn:

 

Client1, oder Client2 oder usw..

 

der Port auf disabled geht.

 

Ist so etwas möglich, dies irgendwie abzusichern?

 

thx

onedread

[Nightwalker_z 10]

Vielleicht kannst du das ja mit 802.1x realisieren.

Sorge dafür, dass der AP den Switchport aufschließt - erst dann kommen alle Clients durch. Musst halt dafür sorgen, dass nicht jede MAC Adresse am Port authentisiert werden muss, sondern der Port eben durch ein Gerät (AP) aufgeschlossen werden muss.

[onedread 10]

Hi

 

Was würde ich den dazu den alles brauchen? Ich hab nen 3750, ap1241, und einen IAS Server on WIN2KSRV.

 

Würd das reichen?

[Nightwalker_z 10]

Hi

 

Was würde ich den dazu den alles brauchen? Ich hab nen 3750, ap1241, und einen IAS Server on WIN2KSRV.

 

Würd das reichen?

 

Prinzipiell schon. Du hast mehrere Möglichkeiten:

1.) 802.1x Supplicant auf dem AP FastEthernet Interface anschalten. Die unterstützten EAP Typen sind EAP-FAST, EAP-MD5, LEAP, EAP-GTC, EAP-TLS und EAP-MSCHAPv2. Auf dem IAS wird meines Wissens alles ausser FAST und LEAP unterstützt. Du musst auf dem AP dann Usercredentials einrichten, die dem Backend Authentication Server bekannt sind.

 

2.) Nutze MAB (Mac Authentication Bypass). Dafür braucht man dann keinen 802.1x Supplicant auf dem AP. Entweder man hinterlegt die MAC Adresse des AP auf dem Switch, oder legt die MAC-Adresse im Backend Server an. Der Switch spielt dann Supplicant.

 

Egal wie - mit der Hardware die du hast, dürfte es gehen.

[Franz2 10]

Du kannst dann noch zusätzlich einen Trunk zwischen AP und Switch machen.

Die SSid bridged du dann in ein Vlan. Das Vlan 1 verwendest du nicht.

Damit erreichst du das auch ein Client mit der Mac- Addr. des AP nicht funktioniert.

 

Ist zwar auch nicht 100% ig sicher aber ein weiteres Hindernis

 

 

Statt 802.1x mit Mac Authentication Bypass könntest du auch port security machen. Da brauchst du keinen Radius Server.

 

 

 

lg Franz

[Nightwalker_z 10]

Das mit dem Port Security raff ich nicht ganz, sorry.

Wie genau soll das funktionieren das du dafür sorgst, daß die Clients nur kommunizieren können, wenn der AP am Netz ist?

Mit Port-Security kannst du doch nur die maximale Anzahl der MACs am Port festlegen und eben Sticky Adressen vordefinieren.

Wenn der AP am Netz ist, hast du die MAC-Adresse des AP am Switchport plus eben alle MAC-Adressen der wireless Clients.

 

Vielleicht hab ich auch nur ein Brett vor dem Kopf. Wie soll das klappen?

 

Nur als Ergänzung:

Mit MAB braucht man auch keinen RADIUS Server. Das ganze kann man auch lokal auf dem Switch händeln.

Man kann eben mit 802.1x eine generische Konfig basteln und muss nicht die MAC-Adressen aller APs pflegen. Einfach ein und denselben Username auf alle APs konfigurieren. Die Switchport Konfig sieht dann auf jedem Switch gleich aus - das ist der Charme an der Sache.

[Franz2 10]

Sorry, hast natürlich recht. Port security geht nicht. Hab nicht an die Wireless Clients gedacht.

 

 

lg Franz