Verhindern von Fremdswitches

[Tearek]

Hallo,

ich habe folgendes anliegen.Wir betreiben eine Forescout Counteract

Unsere Externen Berater sind auf die Gloreiche idee gekommen (die Netzwerkdosen sind ja immer "knapp" und jede dose muss bei uns beantragt werden), sich nun Unmanaged D-Link switches für 10 Euro zu kaufen und die dann an den Ports anzuschließen. Das ganze ist allerdings bei uns verboten. Mein Abteilungsleiter hat das Zwar kommuniziert allerdings befürchtet er/ befürchten wir das die Externen trotzdem ihre Switches anschließen.

 

Für gewöhnlich Setzt die Forescout Ports an Switches an denen ein Fremdgerät angeschlossen wird auf shut.

Das Problem ist aber das die Unmanaged Switches garkeine Mac haben. Das heißt ich kann aktuell die ports nicht blocken an denen so ein Switch angeschlossen wird. Bzw würde es mir ja genügen rauszufinden wenn das der fall ist um unserer Revision Mitzuteilen -> die bauen da grad was verbotenes. Ich bekomm es aber erst garnicht mit.

Wenn ich jetzt ein fremdgerät an nem Unmanaged switch anschließe wird der Port von unserem Managed switch geblockt.

Wenn jetzt aber an dem Unmanaged Switch ein Client der Freigegeben ist Angeschlossen wird und anschließend ein fremdgerät angebunden wird, dann wird der port vom Managed Switch nicht deaktiviert.

 

Vlt hat ja jmd ne idee für ne lösung. die Kollegen dort (bzw sind das ja die externen berater) sind leider unbelehrbar, ebenso der dafür zuständige Abteilungsleiter. Wirklich was passieren würde erst wenn ichs nachweisen kann das die dort Selbst switches anschließen.

 

Danke schonmal im voraus für ideen und vorschläge

[Maniska]

Es gibt, je nach Switchhersteller die Möglichkeit einen Port, über den mehrere MAC Adressen kommen (was bei einem unmanaged Switch ja auch der Fall ist) zu blocken.

Wenn ich bei mir auf dem Switch schaue, sehe ich nicht nur die Direkt, sondern auch die indirekt angeschlossenen Geräte. Sprich ich sehe, dass an Port X die MAC-Adressen A und B anliegen. In dem Fall weiß ich was und warum das so ist (und dass das so ok ist, bzw halt so sein muss)

 MAC Address   Port      VLAN
  ------------- --------- ----
  ffff8c-ffffff 1/2       10
  ffff18-ffffff 1/2       10
 ...

Ich könnte jetzt aber auch hergehen und sagen, an Port XY darf sich nur eine MAC Adresse melden, dann klappt das mit dem eigenen Switch auch nicht mehr

Ich kenne Forescout jetzt nicht, scheint aber ein NAC System zu sein? Dann muss das Teil auch damit umgehen können dass ich an einem Port mehrere Geräte melden und wenn eins davon dann nicht bekannt ist den Port dicht machen. Oder halt direkt den Switch schalten lassen.

Alternativ bekommt jeder Kollege "seine" Dose zugeteilt und dann werden halt Port und MAC fest verdongelt.

vor 29 Minuten schrieb Tearek:

Mein Abteilungsleiter hat das Zwar kommuniziert allerdings befürchtet er/ befürchten wir das die Externen trotzdem ihre Switches anschließen.

Ich habe hier mal einen Externen fast zur Tür rausgeprügelt als der im Rahmen eines Audis mein Netzwerk gescannt hat und ich nichts davon wusste (aber eben mitbekommen hat da scannt einer). Der interne Ansprechpartner hat dann noch von mehren Seiten (inkl. GF) Prügel kassiert, weil er wusste, dass Besuch nur ins GästeWLAN zu lassen ist und definitiv nicht via Kabel angebunden werden darf (kein NAC im Einsatz)...

Beutetet, wenn ein Externen bei uns eine Gefahrenquelle darstellt ist er schneller weg als er gucken kann, inkl angedrohtem Schadenersatz wenn über seine Konstruktion etwas reinkam.

[Ma Lte]

Erstmal als Idee, ohne dass ich weiß, ob sie so realisierbar ist:

Dem managebaren Switch könnte man pro Switchport erzählen, wieviele MAC-Adressen sich da maximal dran hängen dürfen?

Wenn man das schon so regulieren will, weiß man ja auch, wieviele Clients ans Netz dürfen. In dem Moment, wo sich da einer mit seinem unmanagebaren Switch mit seinen Geräten dran hängt, wird die Anzahl überschritten und der Port macht dicht, bzw. lässt keine weiteren Verbindungen mehr zu.

[Tearek]

Also wir haben im campus bereich ausschlißlich cisco, 2960x im einsatz.

Mh hast du dafür vlt nen befehl parat ?

problem ist das bei uns die berater (extern sowie intern) permanent die plätze wechseln. es dürfte eben nur 1 mac erlaubt sein. 

 

Ja die Forescout ist eine Nac. Das problem dabei ist das der kollege der das ganze aufgebaut hat nicht mehr da ist und meine schulung erst im märz ansteht. Solang muss es iwie so weiter laufen.

Ja daher wär es mit am liebsten wenn ich ne meldung bekomme falls jmd seinen switch anschließt, blocken ist zwar definitiv gut . Ne meldung dazu wär aber super damit der besagte externe auch gleich nen einlauf erhält.

 

@Ma Lte An sich ja, die macs pro port einschränken werde ich mal testen.

Das problem dabei ist das wir eben noch 14 weitere standorte haben und die mitarbeiter laptops haben die auch in unser netz dürfen.

[Crash2001]

Wenn ein NAC Server im Einsatz ist, dann kann der Port halt nur entweder komplett geblockt werden, oder eben nicht.

Da macht dann Port-Security eher Sinn. Da kann man unterschiedliche Sachen angeben.

Meist wird es so konfiguriert, dass eine MAC im Voice-Kontext und eine im Data Kontext erlaubt ist.

Dann kann noch konfiguriert werden, was passiert, wenn mehr als diese Anzahl an MAC-Adressen an dem Port zu sehen sind.

• alle nicht zugelassenen Frames werden stillschweigend verworfen
• alle nicht zugelassenen Frames werden verworfen und der Violation Counter wird hochgezählt
• der Port wird deaktiviert

Ein kleines How To findest du hier: https://itsecblog.de/cisco-port-security/ oder auf der Cisco Seite

Das einzige Problem ist, wenn Leute VMs auf ihrem Rechner laufen haben, da diese ja auch ihre eigenen virtuellen MAC-Adressen haben und somit der Port ungewollt deaktiviert werden könnte.

[Tearek]

vor 2 Minuten schrieb Crash2001:

 

Da macht dann Port-Security eher Sinn. Da kann man unterschiedliche Sachen angeben.

Meist wird es so konfiguriert, dass eine MAC im Voice-Kontext und eine im Data Kontext erlaubt ist.

 

An sich hört sich das ja gut an

vor 2 Minuten schrieb Crash2001:

Ein kleines How To findest du hier: https://itsecblog.de/cisco-port-security/ oder auf der Cisco Seite

Seite ist leider gesperrt

vor 2 Minuten schrieb Crash2001:

Das einzige Problem ist, wenn Leute VMs auf ihrem Rechner laufen haben, da diese ja auch ihre eigenen virtuellen MAC-Adressen haben und somit der Port ungewollt deaktiviert werden könnte.

Das wäre ein großes problem da die admins nurnoch mit virtuellen maschinen auf den domänen admin accounts sein sollen. Somit haben quasi alle admins VM`s am laufen.

[Thanks-and-Goodbye]

vor 1 Minute schrieb Tearek:

Somit haben quasi alle admins VM`s am laufen.

Auch das ist nicht das grosse Problem: die Admin-Hardware kann relativ leicht eindeutig identifiziert werden und in einen Netzbereich mit mehr Freiheiten geschoben werden.

[Tearek]

vor 11 Minuten schrieb Chief Wiggum:

Auch das ist nicht das grosse Problem: die Admin-Hardware kann relativ leicht eindeutig identifiziert werden und in einen Netzbereich mit mehr Freiheiten geschoben werden.

das ist richtig die sind aber eben auch öfters mal in den projekträumen unterwegs, bekommen dann aber nen switchblock wenn ich dort die ports auf 1 mac beschränke. grad getestet

 

für mich wäre auch eher wichtig ob jmd ne idee hat sowas möglichst einfach zu entdecken. also die konstruktion unmanagedswitch an switchport (nicht trunkport). hab schon überlegt ob ich mit nicht die switche dort genauer auslese und dann nach den ports mit mehr als 1 mac suche.

Es ist ja Generell verboten daher wäre das unterbinden zwar definitiv notwendig (kann ja nicht so offen bleiben) aber da erhoffe ich mir auch einiges von der schulung. noch wichtiger wäre jetzt akut erstmal herauszufinden wenn sowas geschieht. dann könnte ich direkt der Revision bescheid geben.

[Ma Lte]

vor 19 Minuten schrieb Tearek:

das ist richtig die sind aber eben auch öfters mal in den projekträumen unterwegs, bekommen dann aber nen switchblock wenn ich dort die ports auf 1 mac beschränke. grad getestet

Evtl nen separaten DHCP-Pool einrichten, der dann andere Rechte hat? Ports auf eine Mac beschränken, nur damit da die Nutzung für einzelne Leute gewährleistet bleibt, klingt mir ein bisschen nach Portverschwendung.  

[Tearek]

vor 2 Minuten schrieb Ma Lte:

Evtl nen separaten DHCP-Pool einrichten, der dann andere Rechte hat? Ports auf eine Mac beschränken, nur damit da die Nutzung für einzelne Leute gewährleistet bleibt, klingt mir ein bisschen nach Portverschwendung.  

ich meinte die anzahl der mac`s nicht eine bestimmte funktioniert jedenfalls nicht^^

[Maniska]

Was möchtest du erreichen?

"Recht haben" und die Lösung asap "irgendwie" umsetzen, oder technisch sauber? Ich würde jetzt hergehen und meine Lösungsansätze* dokumentieren, Vor- und Nachteile mit auflisten und Chef vorlegen. Das übersteigt eindeutig meine Gehaltsklasse und der eingeschlagene Lösungsweg muss auch gegenüber GF und dem anderen Abteilungsleiter vertreten werden.

• Alle (betroffenen) Ports auf "one MAC only" setzen und gucken was passiert
• Versuchen auf dem DHCP die Fremgeräte ausfindig zu machen, IP Lease zurückrufen und Client sperren
• So weiterlaufen lassen bis nach der Schulung eine "richtige" Lösung gefunden werden kann
• ...

 

[pr0gg3r]

Am 31.1.2020 um 10:28 schrieb Tearek:

Unsere Externen Berater sind auf die Gloreiche idee gekommen (die Netzwerkdosen sind ja immer "knapp" und jede dose muss bei uns beantragt werden), sich nun Unmanaged D-Link switches für 10 Euro zu kaufen und die dann an den Ports anzuschließen.

Jetzt mal ganz blöd gesagt: warum stellt ihr euren externen Beratern nicht einfach genügend Ressourcen zur Verfügung? Für mich liest sich das ein wenig so, dass bereits neue Dosen beantragt wurden, aber die IT diese nicht liefert oder der Prozess bescheuert ist. Natürlich werden dann Workarounds gesucht, schließlich brauchen sie auch Netz. Ich bin mir ziemlich sicher, dass das Problem in erster Linie kein technisches ist.

 

[Tearek]

Am 1.2.2020 um 11:37 schrieb pr0gg3r:

Jetzt mal ganz blöd gesagt: warum stellt ihr euren externen Beratern nicht einfach genügend Ressourcen zur Verfügung? Für mich liest sich das ein wenig so, dass bereits neue Dosen beantragt wurden, aber die IT diese nicht liefert oder der Prozess bescheuert ist. Natürlich werden dann Workarounds gesucht, schließlich brauchen sie auch Netz. Ich bin mir ziemlich sicher, dass das Problem in erster Linie kein technisches ist.

 

Nein das ist es tatsächlich nicht. Es gibt ein Formular im intranet, da werden die dosen eingetragen und anschließend gepatched. Es sind genügend vorhanden und werden auch immer zeitnah gepatched bzw. haben die berater schon ca 2 monate keine neuen Netzwerkdosen mehr beantragt. die würden sich halt gern die dosen selbst patchen ohne das formular auszufüllen.

 

Alles andere übersteigt zudem meine Gehaltsklass  das ganze hat sich unsere Revision + Abteilungsleiter ausgedacht somit wird sich das auch wohl nicht ändern.

 

Am 31.1.2020 um 13:50 schrieb Maniska:

Was möchtest du erreichen?

"Recht haben" und die Lösung asap "irgendwie" umsetzen, oder technisch sauber? Ich würde jetzt hergehen und meine Lösungsansätze* dokumentieren, Vor- und Nachteile mit auflisten und Chef vorlegen. Das übersteigt eindeutig meine Gehaltsklasse und der eingeschlagene Lösungsweg muss auch gegenüber GF und dem anderen Abteilungsleiter vertreten werden.

• Alle (betroffenen) Ports auf "one MAC only" setzen und gucken was passiert
• Versuchen auf dem DHCP die Fremgeräte ausfindig zu machen, IP Lease zurückrufen und Client sperren
• So weiterlaufen lassen bis nach der Schulung eine "richtige" Lösung gefunden werden kann
• ...

 

Die Lösungsansätze habe ich meinem Chef bereits vorgelegt, der meinte mach das was du aktuell ohne die noch ausstehenden schulungen am besten umsetzen kannst.

Daher denke ich werden die Betroffenen Verteiler auf "one MAC only" gesetzt und mal sehen was passiert und zudem hoffen das die schulung dann was hilft.