Guufy 10 Geschrieben 13. Oktober 2005 Melden Geschrieben 13. Oktober 2005 Hallo zusammen, Wir müssen in der Schule ein Netzwerk (LAN, ohne W) aufbauen, dass eine 802.1x Port basierte Netzwerkauthentifizierung beinhaltet. Nun sind wir auf folgendes Problem gestossen: Alle Clients müssen sich am Switch über EAPoL authentifizieren mit Zertifikaten. Erst bei erfolgreicher Authentifizierung beim RADIUS-Server öffnet der Switch den Port. Jetzt sind aber noch Drucker an diesem Switch angeschlossen, die sich ja nicht mit EAP-TLS authentifizieren können. Jedoch möchten wir den Port am Switch für den Drucker nicht einfach offen lassen, da sonst jemand das Netzwerkkabel am Drucker verwenden kann um ohne Authentifizierung ins Netz zu kommen. Wie sieht die "Best practice"-Variante für dieses Szenario aus? Erhalten die Drucker ein eigenes VLAN? Zweite Frage: Der Switch ist mit einem Router verbunden? Wie wird dort die Sicherheit gewährleistet? Lässt man den Port am Switch auch einfach offen, da der physikalische Zugang zum Switch sowieso nicht gewährt werden soll? Ich hoffe ihr könnt mir nützliche Tipps geben :rolleyes: Besten Dank, Guufy Zitieren
Hr_Rossi 10 Geschrieben 14. Oktober 2005 Melden Geschrieben 14. Oktober 2005 hi das ist eine gute Frage ! Ich an deiner Stelle würde den Printer in ein eigenes VLAN geben, dort vielleicht wenn möglich so Art MAC-Adressen auth. auf Switchport sollte möglich sein ! zu deiner 2. frage: der switch mit router verbunden ok 1 nehm mal an das dies dann auch ein trunk ist !? oder ! dort wirds mit 802.1x dann eng bzw kenne ich keine lösung ! am besten keinen physischen zugang zum switch und router !!! lg rossi Zitieren
Guufy 10 Geschrieben 17. Oktober 2005 Autor Melden Geschrieben 17. Oktober 2005 Danke für deine Antwort! Ein MAC-basierte Authentifizierung wird eher schwierig sein, da es für einen Angreifer wahrscheinlich möglich ist die MAC-Adresse des Drucker herauszufinden und somit mittels MAC-Spoofing ohne Probleme ins Netz kommt. Aber ich könnte den Switch so konfigurieren, dass alles was am Port X angehängt wird, ins VLAN "Drucker" kommt und dieses VLAN mittels Access Listen nur beschränkte Berechtigung aufs Netzwerk erhält. Oder? :) Zitieren
Hr_Rossi 10 Geschrieben 17. Oktober 2005 Melden Geschrieben 17. Oktober 2005 hi du könnetst es aber auch so machen, indem du alle die kein zertifikat besitzen in ein guets-vlan schmeisst das überhaupt keine verbindung zu anderen subnetze hat sondern nur routing ins i-net ermöglicht ! und auch dieses mit access-listen einschränkst !! lg Zitieren
Guufy 10 Geschrieben 18. Oktober 2005 Autor Melden Geschrieben 18. Oktober 2005 hallo... Aber wenn Drucker und Angreifer (dieser kann sich ja ebenfalls nicht authentifizieren) im selben VLAN (Guest-VLAN) sind, könnte der Angreifer nicht den Verkehr zum Drucker abhören? Gruss! Zitieren
Marcel05 10 Geschrieben 8. November 2005 Melden Geschrieben 8. November 2005 Hallo, du kannst aber den Port wo drucker ran soll ,auch mit Port Security schützen, das geht z.b. an den Switch von Cisco Der vergleicht MAC Adresse die am Port eingestellt ist , mit der des Hosts, ist die gleich läßt er ihn durch wenn nich sperrt er den Port Gruß Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.