Dark_Masta 0 Geschrieben 31. Juli 2015 Melden Teilen Geschrieben 31. Juli 2015 Hallo Zusammen Ich habe ein kleines Projekt das ich realisieren möchte und zwar wie sichert man ein Netzwerk in einer kleineren Firma ab. In meiner kleine Testumgebung gibt es jetzt eine pfSense, die das LAN in unterschiedliche VLANs unterteilt, somit konnte ich schon mal das Gäste Netzwerk von dem produktive Netzwerk isolieren ohne zusätzliche Switchs und Kabel zu installieren. Die pfSense verwaltet die VLANs, bedeutet wenn ein VLAN mit einem anderen kommunizieren müsste, geht es über die pfSense und nicht über einen L3 Switch (Keiner Vorhanden, schlimm?). pfSense verteilt DHCP & DNS für die einzelnen VLANs abgesehen von der Windows Domäne(ESX), der DC verwaltet DHCP & DNS für "sein" Netzwerk selbst. Mein nächster Schritt war ein AP so zu konfigurieren das die internen Domänen Benutzer in das Interne WLAN kommen über das Domänen-Login. Für das habe ich einen RADIUS Server (Netzwerkrichlinienserver) installiert. Die Verschlüsselung für den RADIUS Server und Client ist PEAP mit MSCHAP v2. Das möchte ich auf für das normale LAN Netzwerk, um somit zu verhindern das nicht einfach ein Gast sich an einer Dosen anschließen kann und sofort im internen Netzwerk ist. Die Einstellungen auf dem RADIUS Server sind die selben wie beim Wireless nur halt für Ethernet. Jetzt sollte ich doch beim Switch einfach die Port Authentication anschalten und den Control Mode auf "Force Authorized" schalten oder nicht? Wenn ich das mache, bleibt der Client (der nicht in der Domäne ist und somit auch kein Domänen Login besitzt) im selben Netzwerk. Wäre eigentlch der Plan das er in das VLAN 80 verschoben wird (Gäste Netzwerk) Ich hoffe ihr könnt mir helfen. Vielen Dank Gruss Dark_Masta Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 31. Juli 2015 Melden Teilen Geschrieben 31. Juli 2015 Schau mal hier rein: https://technet.microsoft.com/de-de/library/Hh831831.aspx Du brauchst ein Zertifikat für den RADIUS-Server für protected EAP. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 1. August 2015 Melden Teilen Geschrieben 1. August 2015 Moin, für gewöhnlich wird es so gelöst, dass erfolgreich authentifizierte Geräte per NPS Richtlinie in das Firmen VLAN verschoben werden und nicht authentifizierte im Gast VLAN verbleiben. Bei Dir ist es genau anders herum. Das ist nicht gut, da jeder sofort im Firmennetz ist. https://technet.microsoft.com/de-de/library/Cc754422%28v=WS.10%29.aspx http://blogs.technet.com/b/wincat/archive/2008/08/19/network-access-protection-using-802-1x-vlan-s-or-port-acls-which-is-right-for-you.aspx Zitieren Link zu diesem Kommentar
Dark_Masta 0 Geschrieben 3. August 2015 Autor Melden Teilen Geschrieben 3. August 2015 (bearbeitet) Hallo zusammen Vielen Dank für die schnelle Antwort. Das mit dem Zertifikat ist mir klar auch das man mehrere braucht wenn man höhere Verschlüsselungen benutzen will. Im Grunde möchte ich eigentlich egal welche PVID,etc auf dem Port hinterlegt ist, jedes Gerät das angeschlossen wird soll automatisch in ein spezielles Gäste VLAN verschoben werden und von dort DHCP beziehen. Ich habe momentan den NPS für Ethernet gelöscht und auf dem Switch eine Guest VLAN ID hinterlegt... Bekomme auch die richtige Guest VLAN aber erst nach 2min45sec. Kann ich das beschleunigen? Der Test Client ist direkt am Switch angeschlossen und es dauert auch immer diese 2min45Sec Wie geht ihr eigentlich um wenn z.B. ihr eine fixfertige Netzwerk Stuktur habt mit Domäne und Radius Server und dann z.B. eine Tochter Gesellschaft einzieht die ihre eigenen Server hat aber das selbe Netzwerk (Switches) braucht. Wie kann ich dort eine schlaue Authentifizierung aufbauen? Gruss Dark_Masta bearbeitet 3. August 2015 von Dark_Masta Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 3. August 2015 Melden Teilen Geschrieben 3. August 2015 Im Grunde möchte ich eigentlich egal welche PVID,etc auf dem Port hinterlegt ist, jedes Gerät das angeschlossen wird soll automatisch in ein spezielles Gäste VLAN verschoben werden und von dort DHCP beziehen. Wollen und technische Realität passen nicht immer zusammen ;) Es hat seinen Grund, warum es Best Practices gibt. Wie geht ihr eigentlich um wenn z.B. ihr eine fixfertige Netzwerk Stuktur habt mit Domäne und Radius Server und dann z.B. eine Tochter Gesellschaft einzieht die ihre eigenen Server hat aber das selbe Netzwerk (Switches) braucht. Wie kann ich dort eine schlaue Authentifizierung aufbauen? Gruss Dark_Masta Mit einem NPS Proxy und Weiterleitung der Authentifizierung anhand des Realm zum jeweiligen NPS der zuständigen Domäne lässt sich so etwas umsetzen. https://technet.microsoft.com/de-de/library/Dd197447%28v=WS.10%29.aspx https://technet.microsoft.com/de-de/library/Dd197583%28v=WS.10%29.aspx Zitieren Link zu diesem Kommentar
Dark_Masta 0 Geschrieben 4. August 2015 Autor Melden Teilen Geschrieben 4. August 2015 (bearbeitet) Wollen und technische Realität passen nicht immer zusammen ;) Es hat seinen Grund, warum es Best Practices gibt. Mit einem NPS Proxy und Weiterleitung der Authentifizierung anhand des Realm zum jeweiligen NPS der zuständigen Domäne lässt sich so etwas umsetzen. https://technet.microsoft.com/de-de/library/Dd197447%28v=WS.10%29.aspx https://technet.microsoft.com/de-de/library/Dd197583%28v=WS.10%29.aspx Werde mir das mit dem Proxy mal genauer anschauen :) Vielen Dank für euere Hilfe So wegen wollen und technische Realität...das bringt mich eigentlich gerade zur nächsten Frage :) Windows Clients zu authentifizieren ist ja eigentlich eine recht sichere Sache. Wenn man auf dem Switchport noch definiert das nur eine MAC Adresse aktiv sein kann, sollte auch der Angriff mit dem Hub nicht mehr klappen oder? Doch wie ist es mit nicht Windows Clients? Switches, Router, VoIP, Drucker... Wie macht ihr das? Definiert ihr MAC ACL auf dem Switch und die Port Authentication als "MAC Based"? Wenn ja, könnte ja eigentlich jeder die MAC fälschen und ist somit im Netzwerk. bearbeitet 4. August 2015 von Dark_Masta Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 4. August 2015 Melden Teilen Geschrieben 4. August 2015 VoIP, Drucker & Co. packt man in ein jeweils eigenes VLAN. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 4. August 2015 Melden Teilen Geschrieben 4. August 2015 ergänzend zu Daniel: Es gibt auch Drucker, MFP usw., die 802.1x unterstützen. Ich würde zunächst überlegen, was vor wem geschützt werden soll bzw. muss und welche Methode geeignet ist. Eine einzige rundum-sorglos Lösung gibt es selten. Zitieren Link zu diesem Kommentar
Dark_Masta 0 Geschrieben 5. August 2015 Autor Melden Teilen Geschrieben 5. August 2015 Das VoIP z.B. in ein eigenes VLAN gesetzt wird ist mir klar dennoch würde ich gerne von euch wissen wie ihr Ports absichert die eben diese 802.1x nicht unterstützten. z.B. mein Drucker Zuhause unterstützt kein 802.1x, ist zwar ein Netzwerkdrucker aber keine Business Lösung. Wie verhindere ich jetzt das ich mein Laptop nehme und mich an diesem Port anschließe und nicht sofort im Netz bin? Auf dem Port eine MAC hinterlegen ist zwar ein Hindernis aber überwindbar. :) Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 5. August 2015 Melden Teilen Geschrieben 5. August 2015 Entweder einen Printerport nehmen, der 802.1x unterstützt oder den Drucker nur in ein eigenes VLAN stecken, wo nur der Printserver auf den Drucker zugreifen darf. Das kannst Du über eine Firewall lösen, du jeweils ein Bei in allen VLANs hat. Für zu Hause wäre mir das oversized, da stehe ich auf physikalische Sicherheit und lass keine Fremden ins Arbeitszimmer. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.