toasti 11 Geschrieben 2. Juli 2015 Melden Teilen Geschrieben 2. Juli 2015 (bearbeitet) Hallo zusammen, derzeit mache ich mir sehr viele Gedanken darüber wie wir unser Netzwerk noch besser absichern können. Mich würde interessieren welche Methoden ihr zum Absichern eures Netzwerks verwendet? 802.1x und Authentifizierung direkt am Switch? Domänen / Server -Isolierung per Windows Firewall und IPSec-Verbindungssicherheitsregel? MAC-Filter auf DHCP oder Switchen? NAC? Ganz andere Lösung? Was hat sich für euch als beste Lösung herausgestellt? Natürlich ist mir klar, dass jedes Netzwerk anders ist, dass jeder andere Ziele oder Vorgaben hat. Aber es wäre einfach interessant zu wissen welche Lösung auf Dauer am praktikabelsten für euch ist / war. Ein WLAN sichere ich derzeit per PEAP ab was wirklich butterweich und vor allem für die Anwender ohne Probleme im Hintergrund funktioniert. Von daher denke ich wäre auch dies eine gute Lösung auf den Switchen. Ich danke euch und freue mich auf eure Meinung. bearbeitet 2. Juli 2015 von toasti Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 2. Juli 2015 Melden Teilen Geschrieben 2. Juli 2015 Moin, die allseits beliebte Frage: Welche Anforderungen sind umzusetzen? MAC Filter und dhcp fallen mMn grundsätzlich durch. Hier kann der sogenannte Sicherheitsmechanismus am Endgerät ausgehebelt werden und disqualifiziert sich damit. Bei 802.1x (inkl. WiFi PEAP) und IPSec gibt es eine höhere Hürde. Support und Troubleshooting können dafür deutlich anspruchvoller werden. Das sollte bei der Implementierung beachtet werden. Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 2. Juli 2015 Autor Melden Teilen Geschrieben 2. Juli 2015 Mahlzeit! Natürlich, es kommt wie immer auf die Anforderungen an, daher habe ich es ja erwähnt dass man es so nicht pauschal sagen kann. Aber grundsätzlich interessiert es mich einfach welchen Weg die Admins hier an Board so gehen, was sich als sehr zuverlässig herausgestellt hat - oder auch nicht. Mit dem 802.1x gesicherten WLAN beispielsweise haben wir quasi null Probleme, einmal konfiguriert und dann vergessen und es läuft einfach. Kann mir von daher schon vorstellen, dass es kabelgebunden auf unseren Switchen genauso gut läuft. Aber dazu würden mich eben auch Erfahrungen interessieren von anderen hier die das im Einsatz haben und ob sich der Support und Troubleshooting in Grenzen halten oder nicht. Ansonsten stimme ich dir voll und ganz zu DHCP und MAC-Filter nutzt im Grunde gar nix, außer man will sich Arbeit machen. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 2. Juli 2015 Melden Teilen Geschrieben 2. Juli 2015 Mit 802.1x ist es wie mit fast jeder Technik - wenn es läuft ist alles toll, wenn es Probleme gibt, sollte das notwendige Know How kurzfristig verfügbar sein. Eine vernünftige 802.1x Implementierung benötigt eine funktionierende und ggf. hochverfügbare PKI. Es kann im Support schon lustig werden wenn ein paar hundert oder ein paar tausend Clients sich nicht verbinden können, weil jemand vergessen hat das Radius/NPS Zertifikat zu erneuen oder der CDP offline ist. Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 2. Juli 2015 Autor Melden Teilen Geschrieben 2. Juli 2015 Das stimmt schon. Man sollte nichts aufbauen was man im Problemfall auch nicht in den Griff bekommen kann. Welche Alternativen gibt es? Wie sichert ihr euer Netzwerk gegen Gäste und Mitarbeiter die denken ein fremdes Gerät in eine Netzwerkdose stecken zu müssen? Zitieren Link zu diesem Kommentar
Bastelwastel 0 Geschrieben 3. Juli 2015 Melden Teilen Geschrieben 3. Juli 2015 Ich werf hier mal ARP Guard ein Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 6. Juli 2015 Autor Melden Teilen Geschrieben 6. Juli 2015 Hört sich sehr interessant an, habt ihr das im Einsatz? Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 6. Juli 2015 Melden Teilen Geschrieben 6. Juli 2015 Grob gesagt ist der wichtigste Baustein eine solide PKI-Infrastruktur, die Smartcard-based Login ermöglicht. Danach kannst Du dann problemlos Server- und Domain Isolation implementieren. Zugang zum Netzwerk wird mit Network Access Control abgesichert und mit 802.1x umgesetzt. Weiterhin wird starke Authentifizierung durch Multifaktor-Authentifizierung erzwungen in unsicheren Netzen. Schliesslich Bitlocker und TPM am Client mit verpflichtenden Energiesparpolicies und Boot-PIN. Dabei fällt auch gleich eine Smartcard pro Maschine mit ab, die für MFA mitbenutzt werden kann. So ungefähr läuft das bei uns intern. Persönlich bin ich noch ein Fan von ARP Guard/ARP Watch bei kleineren Netzen, um einen sind unerkannten Wechsel der MAC-Adresse von Netzteilnehmern zu erkennen. Viele Angriffe beruhen ja auch ARP Spoofing. Have fun! Daniel Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 6. Juli 2015 Autor Melden Teilen Geschrieben 6. Juli 2015 (bearbeitet) OK, ihr habt quasi alles im Einsatz was möglich ist. Ich glaube genau so würde sich das jeder IT-Admin wünschen, aber leider wird es gerade bei kleinen Mittelständern wie wir einer sind eher schwierig das so umzusetzen und zu supporten. Vor allem aus Budgetgründen und fehlender Menpower... Aber ja, es wäre der Idealfall was du da beschreibst. 802.1x + RADIUS wäre derzeit das Fundament was ich hier aufbauen will. Gerne auch mit einem zusätzlichen Stück Software obendrauf was noch ein wenig mehr kann und so das System erweitert. Habe gerade noch ein wenig über ARP Guard gelesen... wirklich sehr interessant und scheinbar ein überschaubarer Aufwand das einzurichten und zu betreiben. Hat jemand eine Hausnummer was das System kostet? Wie wird hier lizensiert? Nach Switchen? Clients? Was ich noch suche ist eine Lösung um die kleinen Außenbüros die per VPN angebunden sind abzusichern. ARP Guard sollte auch das können ohne dort eine zusätzliche Appliance aufzustellen wie ich das verstanden habe, oder? bearbeitet 6. Juli 2015 von toasti Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 6. Juli 2015 Melden Teilen Geschrieben 6. Juli 2015 (bearbeitet) BTW: Das teuerste an unserer Lösung sind imho die physikalischen Smartcards. Die sind bei uns gleichzeitig für Gebäudezugang und (nicht in jedem Land) für das Bezahlen in der Kantine geeignet. Damit passt jeder schön auf seine auf und hat die immer bei sich. Alle anderen Sachen hängen nur am Know How des Admins und sind nahezu kostenneutral umsetzbar. Da man seit Windows 8 auch den TPM im Computer als Smartcard für den Computer konfigurieren kann, braucht man heute auch nicht mal zwingend mehr eine physikalische Smartcard-Infrastruktur: https://technet.microsoft.com/en-us/library/dn593708.aspx Es muss auch nicht zwingend ARP Guard sein. ARPwatch allein öffnet einem schonmal kostenneutral die Augen, was im Netzwerk so passiert: https://en.wikipedia.org/wiki/Arpwatch bearbeitet 6. Juli 2015 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
Bastelwastel 0 Geschrieben 7. Juli 2015 Melden Teilen Geschrieben 7. Juli 2015 @toasti ARP Guard hatte ich vor ca 5 Jahren im Einsatz. Mittlerweile den AG gewechselt. Wir hatten damals am Anfang eher mal ein erhöhten Aufwand zur Umsetzung, aber dann liefs perfekt. Preise kann ich dir leider nicht mehr nennen. Einfach anfragen, hat sich wahrscheinlich zu damals auch etwas geändert. Ich habe mir in letzter Zeit ein paar IT Sec Produkte angesehen, z. B. Greenbone um Schwachstellen zu finden. Fireeye gegen Advanced Malware etc., die bieten mehrere Produkte an. Musst du einfach mal schauen, was zu deiner Anforderung passt. Du hast ja bestimmt eine Firewall am Laufen, die würde ich einfach mal mit anderen Produkten vergleichen, aber Vorsicht, nicht die Äpfel mit den Birnen und das ist gar nicht mal so einfach. PKI hab ich als nächstes auf dem Plan für dieses Jahr. Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 7. Juli 2015 Autor Melden Teilen Geschrieben 7. Juli 2015 @Daniel: So ist das eine schöne Lösung bei euch, denn ich denke das Schwierigste ist tatsächlich den Usern einzutrichtern wie wichtig es ist auf ihre SmartCard oder Token aufzupassen.Oft wird mit solchen Dingen viel zu leichtfertig umgegangen. Wenn es allerdings um das eigene Geld geht (Kantine) passt man schon ganz anders darauf auf. Die Sache mit der virtuellen SmartCard schaue ich mir mal an, danke für den Tipp! ArpWatch, oha... gibts das auch für Windows? :D Habe hier bereits Netdisco am laufen, auch Linux, aber das war Dank fertigem VM-Image ganz gut einzurichten. @Bastelwastel: Ich werde mir Arp Guard auf jeden Fall mal anschauen, Preisanfrage habe ich gestern auch mal gemacht. Bin gespannt ob ich heute Infos bekomme. Mittlerweile ist der Markt ja dermaßen voll mit Sicherheitslösungen und jeder verkauft seiner Meinung nach natürlich das Beste. Ist wirklich schwierig wie du sagst da zu vergleichen und für sich das Beste raus zu ziehen. Habe mittlerweile mal 802.1x auf einem Switch konfiguriert und mit ein paar Clients getestet, das läuft einwandfrei. Sogar die VLAN-Zuordnung ohne Probleme. Jetzt muss ich nur noch schauen ob alle unsere Switche Multi-User 802.1x supporten, sonst können wir es gleich vergessen. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 7. Juli 2015 Melden Teilen Geschrieben 7. Juli 2015 ArpWatch, oha... gibts das auch für Windows? :D Habe hier bereits Netdisco am laufen, auch Linux, aber das war Dank fertigem VM-Image ganz gut einzurichten. Die Webseite von Winarpwatch (http://jota.sm.luth.se/~andver-8/warp/) ist leider down. Hier gibt es einen Mirror: warpwatch.zip. Wenn Du eh schon einen Linuxserver am Laufen hast, ist es am einfachsten, dort das Paket mitzuinstallieren. Je nach Distribution einfach über den Paketmanager installieren (# yum install arpwatch bei Red Hat, CentOS, Fedora oder sudo apt-get install arpwatch bei Debian, Mint, Ubuntu, etc.). Have fun! Daniel Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 7. Juli 2015 Autor Melden Teilen Geschrieben 7. Juli 2015 (bearbeitet) Danke schön! Die Windows Version läuft leider nicht, glaub dazu müsste ich mir Windows 98 installieren... ;-) Jedenfalls hängt es nur. Habe aber zum Testen ein frisches Ubuntu installiert und hier läuft es bisher ganz geschmeidig. Muss es morgen nur mal soweit konfigurieren, dass es alle VLANs mitloggt. Schönen Abend! EDIT: Bzgl. mehrere VLANs an einer LAN-Karte mitloggen. Hast du hierzu einen Tipp wie ich das ganze konfigurieren kann? bearbeitet 8. Juli 2015 von toasti Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.