Netzwerk per 802.1X absichern und VLANs darüber erreichbar machen

Es gibt 9 Antworten in diesem Thema, welches 2.446 mal aufgerufen wurde. Der letzte Beitrag () ist von usr-adm.

    Hi,


    ich nutze an einem Standort mehrere Switche (USW-Pro-24-PoE) welche an einem UDM-SE hängen. Auf den APs (unterschiedliche UniFi Modelle) ist WPA3-Enterprise eingestellt. Die UDM-SE dient hier als Radius-Server. Dadurch kommen die User mit ihren Daten ins entsprechende VLAN. Ausgestrahlt wird eine SSID.


    Die Switchports an denen die APs angeschlossen sind haben das Profil ALL.


    Ich würde die Ports gerne absichern um den Zugriff durch das Abstecken der APs und das anschließen anderer Geräte zu verbieten. Würde also jemand den AP abziehen und sich per Kabel verbinden würde dieser im Default Netzwerk landen. Das Management VLAN läuft übrigens über das Default Netz.


    Wie ich verstanden habe können sich die APs und Switche von UniFi nicht per Radius anmelden. Wie könnte ich es hinbekommen, dass sich außer den APs kein anderes Gerät anmelden kann? Oder falls doch dieses Gerät so einschränken, dass das Gerät nichts machen kann.


    Ein Switchport per 802.1X ohne ein UniFi Gerät (anzuschließen) abzusichern klappt nachdem ein entsprechendes Switchport-Profil erzeugt wurde. An solch einem Port ein UniFi Gerät anzuschließen bringt dann das Problem mit, dass das Gerät durch den Controller nicht gesehen wird.


    Mich würde interessieren, ob ihr Erfahrungen in diesem Bereich habt und welche eure Erkenntnisse sind. Vielleicht habt ihr ein paar Ideen für mich.

    Der Artikel behandelt die Einrichtung von 802.1X im WLAN. Das läuft bei mir soweit. Der Artikel geht nicht darauf ein wie die Switchports abgesichert werden können. Also das Problem was ich oben beschrieben habe. Falls es einen anderen Artikel gibt den ich übersehen habe bitte den Link mitteilen.

    Zitat von IT-Spielwiese

    Der Artikel behandelt die Einrichtung von 802.1X im WLAN. Das läuft bei mir soweit. Der Artikel geht nicht darauf ein wie die Switchports abgesichert werden können. Also das Problem was ich oben beschrieben habe. Falls es einen anderen Artikel gibt den ich übersehen habe bitte den Link mitteilen.

    Ahh, das hab ich überlesen. Sorry mein Fehler.

    Du könntest für das Management ein neues VLAN anlegen. Beim Default LAN deaktivierst Du den DHCP-Server und machst das Netz per Firewall komplett dicht, somit ist das Netz nicht nutzbar.

    30 Sites - 500 APs - 150 Switche - EdgeRouter - UXG-Pro - UDM-Pro - USG-PRO-4 - OPNsense - IPUs

    Einmal editiert, zuletzt von usr-adm ()

    Was mir einfallt, es gab schon Beiträge, wo es darum ging, an öffentlich zugänglichen Dosen (zb Kameras, AP,…) zu schützen, dass man , wenn n anderes Gerät ansteckt, den Port deaktiviert. Evtl ist da was passendes dabei. Glaub das wurde mit Radius,.. gelöst, bin mir aber grad nicht ganz sicher

    Schau Dir das mal an:


    [Externes Medium: https://www.youtube.com/watch?v=dtTemsdAr1A&t=733s]

    Einmal editiert, zuletzt von stulpinger ()

    Zitat von usr-adm

    Du könntest für das Management ein neues VLAN anlegen. Beim Default LAN deaktivierst Du den DHCP-Server und machst das Netz per Firewall komplett dicht, somit ist das Netz nicht nutzbar.

    Was hätte ich gewonnen wenn ich für das Management ein neues VLAN vergebe?

    Wenn ich den DHCP beim default LAN deaktiviere bedeutet es ja nicht, dass über den Port die existierenden VLANs erreicht werden können, richtig (zumindest meine Erfahrung)?


    Zitat von anton

    Was mir einfallt, es gab schon Beiträge, wo es darum ging, an öffentlich zugänglichen Dosen (zb Kameras, AP,…) zu schützen, dass man , wenn n anderes Gerät ansteckt, den Port deaktiviert. Evtl ist da was passendes dabei. Glaub das wurde mit Radius,.. gelöst, bin mir aber grad nicht ganz sicher

    Das könnte der Lösung evtl näher kommen. Ich halte die Augen nach solch einer Möglichkeit offen.


    Zitat von stulpinger

    Schau Dir das mal an:


    [Externes Medium: https://www.youtube.com/watch?v=dtTemsdAr1A&t=733s]

    Das Video behandelt wie man Ports gegenüber Clients absichert und/oder wie man automatisiert diese i ein VLAN verschiebt. Das Problem ist, dass diese Regeln nicht konform sind wenn man ein UniFi Gerät wie beispielsweise einen AP anschließt. Beim anschließen eines UniFi Geräts möchte ich zum einen dieses im Controller erreichen und zum anderen gewährleisten, dass die kommenden Clients sich in das VLAN einwählen können für das sie die Berechtigung haben.

    Die Antworten lassen es schon vermuten das die Frage eher schwierig oder schwer zu verstehen ist worum es die geht.

    Was ich denke nicht an der Frage sondern eher an der Thematik liegt.


    Machen wir es kurz: Vergiss es, no Way, keine Unterstützung, kannste knicken.


    Machen wir es länger:

    Die AP können kein 802.1x fertig. Die Alternative MAB (MAC Authentication Bypass) durchzuführen klingt erstmal logisch geht

    aber nach hinten los. Wenn der Radius mehrere VLAN schicken würde und der Switch diese auch verstehen würde (bezweifle ich be UNIFI)

    Dann darf halt der AP zugreifen aber nicht die WLAN Clients die mit ihrer eigenen MAC „reingebridged“ kommen.


    Trost spenden die anderen Hersteller die das auch nicht können. Neidisch kann mann dann auf CISCO schauen

    die haben „Radius Host Mode“ für den Port den genau das ermöglicht. Oder deren WLAN kram

    macht es je nach config eh ein wenig anders (jeglicher Traffic erstmal zum Controller)



    Alternativen:

    Physikalisch Sicherheit. Hänge die APs höher, klebe die Stecker fest.


    Software: Zentraler Syslog, Trigger auf PORT UP/ PORT DOWN.

    Dann per Remote SSH den Port Physikalisch abschalten wenn dir nicht geheuer ist.

    (Ist ein aufwand...)


    Konzept:

    AP Port bekommt nur ein VLAN. In dem VLAN gibt es nur einen VPN Konzentrator

    und user müssen sich einwählen über VPN um weiter zu kommen.


    Wirtschaftlich:

    Kosten-Nutzen-Analyse der Wahrscheinlichkeit der Kompromittierung eines der EDV

    zugewiesenen Netzwerk Port auf einem Zugriff Switch und deren folgen.

    Zitat von IT-Spielwiese

    Was hätte ich gewonnen wenn ich für das Management ein neues VLAN vergebe?

    Wenn ich den DHCP beim default LAN deaktiviere bedeutet es ja nicht, dass über den Port die existierenden VLANs erreicht werden können, richtig (zumindest meine Erfahrung)?

    Du hast Recht, ein richtiger Schutz ist dies nicht, aber eine Hürde.


    Wenn Du DHCP deaktiviert und das Netzwerk per Richtlinien komplett dicht machst, bekommt niemand automatisch eine IP-Adresse. Selbst wenn man herausfindet welchen Bereich das Netz hat und sich eine IP vergibt, kann man in diesem Netzwerk nichts machen.


    Mit entsprechendem Know-How könnte man herausfinden ob es VLANs gibt und dieses VLAN direkt am Endgerät einstellen.


    Dafür benötigt man aber entsprechendes Wissen und Zeit.


    Wenn man ganz sicher gehen möchte, bleibt nur noch ein physischer Schutz der Dose.


    Alternativ: Antwort über mir von gierig betrachten.

    30 Sites - 500 APs - 150 Switche - EdgeRouter - UXG-Pro - UDM-Pro - USG-PRO-4 - OPNsense - IPUs