Security im LAN

[Harvey0815]

Hallo ich bin neu hier und hoffe ihr könnt mir bei meinem problem weiterhelfen!

...... und zwar muss ich ein LAN von innen sicher machen. Es besteht ein 100MBit/s RJ45 Ethernet Netz im Haus über mehere Etagen. Einzelne Räume werden in einem Netzwerkschrank zusammengeschlossen. Mehrere Netzwerkschränke werden an Etagenschränken zusammengeschlossen und die Etagenschränke werden am Hauptnetzwerkschrank im Keller neben den Servern zusammengeschlossen, also nix besonderes, strukturierte Verkabelung. So..... die Ports die in den Zimmern nicht benutzt werden sollen aktiv bleiben, es soll sich aber kein Nutzer mit einem unbekannten Gerät in das LAN einklinken können. Dies könnte durch einen MAC Adressen Pool gemacht werden aber wer managed das dann. Ich hab gehört es gibt da eine Lösung von Cisco die von den Switchen die MAC- Adressen sammelt und wodrin man dann vertrauenswürdige Geräte Zugriff auf das LAN gewährt und alle anderen draussen lässt. Klingt ja soweit gar nicht schlecht aber der administrative aufwand ist denke ich enorm.

Es gibt bestimmt noch viel einfacherere und bessere Lösungen. Ich habe bis jetzt keine gefunden und würd mich über eure Erfahrungen und Vorschläge freuen!

Schönen Dank schon mal im Vorraus

Harvey

[hades]

Eine Loesung ist die Port-Authentifizierung nach IEEE 802.1X.

Dazu brauchst Du:

- Alle Switches muessen IEEE 802.1X unterstuetzen

- einen Radius-Server (bzw. auf Windows Servern den Internetauthentifizierungsdienst --- IAS)

- Zertifikate fuer jedes erlaubte System

Allerdings laeufts nicht mit allen Betriebssystemen. Bei Windows gehts nur mit Windows 2000 SP4, XP, Vista und Server 2003. DOS, Win9x und NT4 funktionieren nicht.

[Harvey0815]

Alles klar ich danke dir!

Wodurch wird denn die Berechtigung vergeben? Anhand der MAC- Adressen? Weil du Betriebssysteme angegeben hast! Die Authentifizierung müsste ja vor dem Betriebssystemstart erfolgen!

[PieDie]

Eine andere Möglichkeit wäre es, die gepatchten Ports am Switch abzuschalten, die nicht genutzt werden (sollen). So wirds bei uns gemacht.

[allesweg]

PieDie was bringt das? Dann zieht man einfach einen anderen PC raus und fühlt sich wohl...

[.RJ.]

Am einfachsten wäre es, allen Ports die angeschlossene MAC Adresse zuzuordnen und sobald eine andere MAC dort angeschlossen wird, den Port vorübergehend zu sperren (muss dann vom admin wieder freigeschaltet werden).

Bei uns wird das so geregelt, damit niemand einen anderen bzw fremden PC anschließen kann.

Da ihr sicherlich auch feste IP's intern vergeben habt, würde auch in dem Zusammenhand eine manuelle Zuordnung Sinn machen, also dass die IP's den MAC Adressen zugeordnet werden.

[hades]

Wodurch wird denn die Berechtigung vergeben? Anhand der MAC- Adressen? Weil du Betriebssysteme angegeben hast! Die Authentifizierung müsste ja vor dem Betriebssystemstart erfolgen!

Die Authentifizierung erfolgt bei IEEE802.1X bevorzugt mit Hilfe des Extensible Authentification Protocol (EAP), d.h. mit Zertifikaten. Du musst hier eine funktionierende Public Key Infrastructure (PKI) haben, d.h. mit allen Vor- und Nachteilen einer PKI.

Es gibt Betriebssysteme, die IEEE802.1X nicht unterstuetzen (MS-Systeme siehe oben). Durch diesen Nachteil hat sich IEEE802.1X im LAN - noch - nicht durchsetzen koennen.

@.RJ.:

Genau aus diesem Overhead an Verwaltungsarbeiten (MAC-Adresslisten und Switchports pflegen) sowie der Tatsache, dass eine MAC-Adresse sehr einfach zu faelschen ist, wurde IEEE802.1X entwickelt.

[Mr Krabs]

hier ist ein guter Einstieg zu dem Thema :

Windows Server How-To Guides: 802.1x Port Security mit IAS-Server und Windows CA - ServerHowTo.de