Sicherheit im öffentlich zugänglichen Bereich

Guten Morgen in die Runde,

wir haben gerade unsere U6 LR's geliefert bekommen. Einige von denen werden in einem zumindest teilweise öffentlich zugänglichen Bereich (bei Veranstaltungen zumindest) angebracht werden. Nun frage ich mich, wie ihr die entsprechenden LAN-Ports vor unbefugtem Zugriff schützen würdet. Zwei der AP's hängen dazu auch nicht direkt an den großen 24er Switchen, sondern an jeweils einem USW-Lite, an dem mehrere VLANS-zugänglich sein müssen. Auf dem AP selber müssen außerdem mehrere SSID's gesendet werden. Ich möchte einfach nicht, dass jemand das Netzwerkkabel vom AP aus dem Switch zieht und dann direkt im Management-LAN landet. Irgendwie war ich der Meinung, dass man das "einfach" über Zugriffsregeln hinkriegen könnte. Aber je mehr ich mich mit der Thematik beschäftige, umso mehr stelle ich fest, dass das nicht so einfach geht. Erstelle ich z.B. eine MAC-Whitelist, können sich nur die anmelden, die auf der MAC-Whitelist stehen. Nur den z.B. AP auf die MAC-Whitelist setzen, reicht dann nicht, dann kann sich kein Client mehr im Gast-WLAN anmelden usw. Ich habe mir jetzt erstmal ein paar LAN-Locks bestellt (nicht von Panduit , die sind ja abartig teuer...). Doch ich frage mich, ob es nicht doch eine softwareseitige Lösung gibt. Auch wenn mir die LAN-Locks für meinen Zweck schon reichen würden, scheint mir das prinzipiell nicht zu Ende gedacht. Gibt ja etliche, die z.B. UAP's im Hotel betreiben oder sogar draußen. Ubiquiti platziert seine Produkte in solchen Einsatzszenarien. Wie kriegen die es hin, dass sich niemand so leicht Zugriff in Bereiche verschaffen kann, wo derjenige nicht hin soll?

Ok danke, genau solche Schlösser habe ich mir bestellt. Was meinst du mit Switchportgruppen genau? Wie müsste es aufgebaut sein, damit es am Ende funktioniert?

Genau das hatte ich ja schon mal probiert, mit dem Ergebnis, dass der AP nicht provisioniert hat. Hab das aber auch nicht weiter verfolgt. Ich habe einfach alle VLANS, die ich benötigte auf den Uplink-Port geschaltet und dann den AP dran gehangen. Der AP wusste nicht, wo er hin soll und hat nicht provisioniert. Standardmäßig will er ja ins Management-LAN, aber das ging dann ja nicht mehr. Wie würde ich jetzt den AP dazu bekommen, sich in einem der bereitgestellten VLAN's anzumelden?

Ja stimmt, die Frage hätte ich mir auch sparen können. Vielen Dank für die Hilfestellung. Werde dann nächste Woche, wenn wir alle Leitungen gelegt haben, berichten, wie es geklappt hat. Wie auch immer, mit so einer Lösung und den Port-Locks hätte man schon ein gewisses Maß an Sicherheit, aber am Besten wäre es natürlich, wenn man es so einstellen könnte, dass nur der AP am Port sein darf, sich aber trotzdem alle WLANS über den AP senden lassen. Ich habe gerade im englischsprachigen UI-Forum gelesen, dass es (teurere) Hersteller gibt, die genau das ermöglichen. Für den Einsatz in z.B. einer Schule oder Hotels in denen nicht zwei physisch komplett voneinander getrennte Netzwerke betrieben werden können, wäre das auch absolut essenziell. Es gab wohl mal eine Wahl bei Ubiquiti (keine Ahnung, ob Ubiquiti sowas regelmäßig macht), in denen Kunden sich dieses Feature gewünscht hatten. Leider ist das bis heute nicht umgesetzt worden. Schade, da Ubiquiti die AP's für den Einsatz im öffentlichen Raum vorsieht, ist das, bis jetzt zumindest, noch nicht zu Ende gedacht,

Nun ja, das stimmt, die Dinger hängen an der Decke. Die passende Netzwerkdose dazu ist aber auf Bodenhöhe. Mechanische Verriegelung geht natürlich immer (auch um die Netzwerkdose und den Sitz kann man ja eine Verriegelung bauen...). Möchte aber trotzdem herausfinden, was softwareseitig noch geht. Für mich ja auch ein Weg mit Unifi und der dazugehörigen Netzwerktechnik im Allgemeinden vertraut zu werden.

Ports abschalten am Switch fände ich jetzt nicht so gut, denn die sollten bei Veranstaltungen ja auch genutzt werden können, ohne dass der Admin die jetzt erst wieder freischalten muss. Unsere Bild- und Tontechnik läuft mittlerweile schon großteils übers Netzwerk und wird in Zukunft nahezu komplett netzwerkbasiert sein. Das heißt, unsere Techniker müssen auf jeden Fall schonmal Zugang zum dafür geschaffenen VLAN haben. Und irgendwelche Redner, Künstler, geladene Gäste (die halt irgendeine Veranstaltung machen) usw. brauchen halt auch Zugang zum LAN. Das war in der Vergangenheit immer ein Thema, weshalb wir es jetzt ja auch umgebaut haben.
Wie auch immer: Ein Gedanke, den ich hatte, wäre noch: Ich gebe nur das Gast-VLAN und das Technik-VLAN auf den Switch und melde den AP im Gast-VLAN an und mache eine Radius-Geschichte oder MAC-Whitelist auf den Technikerports. Die Gastports wären dann einfach Gastports. Dem AP könnte ich dann über die Option 43 Zugang zum Controller verschaffen (weiß dann aber nicht, ob nicht alle anderen aus dem VLAN nicht auch Zugang zum Controller hätten. Das will ich ja zwingend vermeiden) oder ihn über einen manuellen-Controller-URL-Eintrag via SSH zum Controller bringen. In diesem Fall hätte auch nur der AP Zugriff zum Controller. Soweit in der (noch sehr begrenzten) Theorie. Ob das dann so klappt werden wir dann nächste Woche sehen. Vielleicht bin ich mit der Idee ja auch komplett auf dem Holzweg. Wird werden sehen. Spannend ist es auf jeden Fall. Und wenn es nicht klappt? LAN-Locks liegen schon bereit und Holz, Beschläge, Schrauben, Schloss und Co. sind auch in ausreichender Menge vorhanden. Dann kriegt das Teil halt einen Keuschheitsgürtel ;-).

Zitat von amaskus

Moin,

Mir fallen 3 Möglichkeiten ein

Option 1

was ist den mit ner MAC Basierten Firewall regel.

Erst eine Allow die nur deine Geräte beinhaltet

danach drop all für alle anderen.

Option 2

Ein eigenes AP Netz unabhängig vom Management - dhcp aus und den Adressbereich so klein, dass nur deine APs rein passen.

Wenn du den AP abziehst und die IP kennst kommst du rein aber das ist doch etwas unrealistisch denke ich

Option 3

oder du dropst alles was nicht im Management gebraucht wird - 80 und 443 kannst du ja Blocken dann ist der Zugang quasi nutzlos.

Die Regel schaltest du nur ein wenn du es brauchst.

Evtl auch ne Mischung aus den 3

Glaube Option 2 sollte das beste "Aufwand-Nutzen" Verhältnis haben

Alles anzeigen

Danke! Das sind ja auch nochmal ein paar coole Ideen zum Nachdenken. Option 2 wäre außerdem sehr leicht umsetzbar. Option 3 aber auch, die würde auch den Switch vor "missbräuchlicher" Verwendung schützen, denn der hängt ja auch im Management-LAN. Wenn einer sich an den Uplink hängen würde, würde ihm das nichts nützen, weil er dann keine IP bekäme. Muss ich mal drüber nachdenken...

Zitat von Samhain

Eine etwas technisch aufwändigere Variante wäre die Einführung einer 802.1x Authentifizierung in kritischen Bereichen.

Das ist aber nichts, was "auf die schnelle mal konfiguriert wird". Hierzu bedarf es einem ordentlichen Konzepts.

https://help.ui.com/hc/en-us/a…-802-1X-for-Wired-Clients

Hallo Samhain, den Artikel hatte ich mir auch schon durchgelesen und ist auch schon teilweise in eine meiner Ideen eingeflossen, zumindest für die Ports auf denen das Technik-VLAN sein wird. In dem Fall würden die Techniker eine eigene Autorisierung bekommen und dann können die sich da einklinken. Wie sich das jetzt mit dem Gast-LAN und dem AP, der am Switch angeschlossen ist und von dem aus mindestens Technik und Guest WLAN gesendet werden muss, weiß ich noch nicht so genau. Das hängt davon ab, ob es z.B. auf den Ports eine Möglichkeit des Fallbacks gibt. Z.B. wäre es doch klasse, dass, wenn ich mich nicht am RADIUS-Server anmelden kann, automatisch ins Gast-LAN fallen würde. Wichtig wäre auch, dass der AP (Strenggenommen sind es sogar zwei AP's) dann noch beide WLAN's ausstrahlen würde. Hierzu hatte ich den Gedanken, den AP ins Gast-LAN zu nehmen und ihn dann über einen manuellen Controller-URL-Eintrag via SSH zum Controller zum bringen. In dem Fall müsste er die SSIDs ausstrahlen. Wird der Stecker aus dem AP rausgezogen und mit einem anderen Client verbunden, landet dieses automatisch im GAST-LAN. Würde das komplett mit RADIUS funktionieren, könnte sich halt ggf. niemand mehr irgendwo anmelden (wenn ich das wollen würde). Da ich aber ohnehin einen Fallback ins GAST-LAN wollen würde, wäre das vielleicht gar nicht so der Game-Changer. So eine 802.1x-RADIUS-Geschichte komplett durchzuziehen ist natürlich am Ende eine komplett saubere Sache, aber halt auch deutlich komplizierter und es braucht eine ordentliche Planung. Mal eben ausprobiert ist einfach nicht. Auf jeden Fall danke für den Tipp. Hab ja noch ein paar Tage Zeit, mir das zu überlegen. Im Grunde habe ich sogar Wochen Zeit, denn an Veranstaltungen ist im Moment ohnehin nicht zu denken...

Zitat von Hermann

Wenn ich hier bei mir den AP im Switch Port auf die Whitelist setzte funktionieren die Clients auf dem AP trotzdem noch wie gewohnt..

Kannst du das wirklich bestätigen. Das wäre echt interessant. Denn...

Zitat von BlackSpy

Hat schonmal jemand probiert, da kommen die WLAN Clients nicht mehr durch.

So hatte ich das auch in Erinnerung. Habe es aber noch nicht ausprobiert.