Sicherheit in Schulungsräumen (Switchports)

[maho 10]

Hallo,

 

mich würde interessieren, was für Lösungen es gibt bzw. wie das andere handhaben.

 

Wir haben in einige Räumlichkeiten, wo Schulungen und Meetings statt finden. Es sollen sowohl eingeschränkte Netzwerkports vorhanden sein, als auch "SE-Ports", also das netz, das alles darf :-). D.h., ich habe in der Bodendose Ports für das SE-LAN und für eingeschränkte Netze.

Den DHCP-Server haben wir schon so eingestellt, dass unbekannte MAC-Adressen keine IP-Adresse zugewiesen bekommen. Das verhindert allerdings nicht, dass man sich manuell eine IP-Adresse vergibt und sich dann trotzdem im SE-Netz befindet :-(

 

Leider können unsere Switches kein VPMS. Das wäre sonst eine tolle Sache.

 

Ansonsten überlege ich, intern einen VPN-Concentrator einzusetzen und das Feature WEBVPN mit Cisco SSL VPN Client. Hier kann ich Gruppen mit IP-Pools definieren in Verbindung mit Authentifizierung. So muss sich in diesen Räumlichkeiten JEDER zunächst authentifizieren und ich kann sauber und einfach auf dem Concentrator bzw. Radius-Server die Gruppen und User verwalten.

 

Bin schon auf Eure Ideen gespannt...

 

Viele Grüße, Maho

[Frank04 10]

Ich würde es wie in Deinem anderen Bespiel lösen. Ein Schulungsvlan erstellen und entsprechend mit Access Listen beschränken. Der "Lehrer" erhält ein anderes unbeschränktes VLAN.

[maho 10]

Das Problem ist, dass die Ports ja nebeneinander in der Bodendose sind. Da braucht der Schüler nur das andere Port zu nehmen sich fest eine IP-Adresse aus dem "Lehrer-VLAN" zu vergeben und schon ist online.

[daking 10]

Hola,

 

mit 802.1X sollte das Problem lösbar sein.

[lefg 276]

mich würde interessieren, was für Lösungen es gibt bzw. wie das andere handhaben.

Ich betreibe für das Seminarnetz eine normale Domäne 2k3. Zugang zur Dom erhält nur ein Benutzer mit Konto. Falls jemand einen Laptop anschliesst, na und?

 

Ich treibe keinen hohen Aufwand, sowas zu verhindern. Extra teure konfigurierbare Switches anschaffen? Deren Ports dann auch noch konfigurieren auf die MAC-Adressen? Bei Rechnertausch umkonfigurieren, umstecken, wo soll das Geld für einen solchen Aufwand herkommen, im harten Bildungsgeschäft?

 

Falls also ein Student oder Dozent seinen Laptop anschliesst und unseren Internetzugang benutzt, na und? Auf den Rechnern der Domäne sind Firewalls und Virenscanner.

 

Es gibt bei uns im Seminarnetz keine Trennung zwischen Dozenten und Studenten, wozu? Die Dozenten unterrichten, dürfen kaum mehr als die Studierenden. Sie dürfen denen das Drucken erlauben und verbieten, das war es aber auch schon im Wesentlichen.

 

Die Sicherheit des Verwaltungsnetzes ist durch konsequente Trennung vom Seminarnetz gewährleistet. In Seminarräumen gibt es keine Anschlüsse für das Verwaltungsnetz und umgekehrt. Auch die Internetzugänge sind getrennt. Wünschen von Dozenten und auch Leitenden in dieser Hinsicht bin ich entgegengetreten, das wurde auch akzeptiert.

[lefg 276]

Den DHCP-Server haben wir schon so eingestellt, dass unbekannte MAC-Adressen keine IP-Adresse zugewiesen bekommen. Das verhindert allerdings nicht, dass man sich manuell eine IP-Adresse vergibt und sich dann trotzdem im SE-Netz befindet :-(

So ist keine Sicherheit (wovor, vor wem?) erreichbar.

[lefg 276]

Wir haben in einige Räumlichkeiten, wo Schulungen und Meetings statt finden. Es sollen sowohl eingeschränkte Netzwerkports vorhanden sein, als auch "SE-Ports", also das netz, das alles darf :-). D.h., ich habe in der Bodendose Ports für das SE-LAN und für eingeschränkte Netze.

Auch da gibt es keine Sicherheit.

[lefg 276]

mit 802.1X sollte das Problem lösbar sein.

Was ist damit erreichbar?

[s21it21 10]

hello,

 

wir hatten das so gelöst:

 

alle ports im schulungslan bekommen eine dhcp-adresse, können aber ausschließlich nur ins internet raus und sonst nirgends hin. will man ins verwaltungslan (trainer, etc.), dann braucht man einen vpn-client am laptop + token von uns. mit dem baut man dann ein vpn auf (so als ob man eben von irgendwo aus dem i-net kommt). und selbst der zugriff innerhalb im vpn ist auf userebene stark eingeschränkt.

 

 

lg

 

martin

[Frank04 10]

Andere Möglichkeit wäre vielleicht noch, dass man Lehrerport halt Mac-Security läuft, sprich es darf nur eine bestimmt mac-adresse an dem Port arbeiten.

[daking 10]

Hola,

 

mit 802.1X wird den SE mitarbeitern dynamisch das SE VLAN zugewiesen. Alle anderen landen im Guest VLAN, dass z.B. via ACLs gesichert ist. Zusätlich kann man die Sache dann mit port-security absichern.

 

Ciao

[daking 10]

Hola,

 

via 802.1X müssen sich die User authentifizieren. Bei erfolgreicher Auth wird das VLAN zugewiesen..

 

 

Ciao

[maho 10]

@daking

Was ist der kleinste Switch der das 802.1x unterstützt? Hast Du vielleicht eine Bsp. Konfiguration?

 

Grüße, Maho

[daking 10]

Hola,

 

dot1X ist hier im Forum endlos diskutiert worden. Benutze also erst mal die Boardsuche.

Falls es dann Probleme gibt bitte melden!

[Frank04 10]

dot1X ist hier im Forum endlos diskutiert worden. Benutze also erst mal die Boardsuche.

Falls es dann Probleme gibt bitte melden!

 

Da melde ich mich mal und zwar wie funktioniert das richtig? Folgende Aufgabenstellung: User melden sich per Windows an und brauchen per DHCP eine IP.

 

Folgender Weg: User bootet seinen Rechner. Der Ethernetport ist derzeit ja noch in keinem VLAN. Die Windowsanmeldung kommt hoch und der User meldet sich an. (EAPoL ja?). Per z.B. Radius wird gecheckt, darf der User und wenn ja, welches VLAN? Meldung geht zurück und Port wird in das entsprechende VLAN gelegt und dem User wird eine IP zugewiesen. Schön und gut, aber jetzt ist ja Essig. Windows wird nicht nochmal nachfragen, d.h. der User ist nicht an der Domäne angemeldet?