Wie kann ich mein Vorhaben realisieren?
Grob die 10 fache Menge an Geld ausgeben und Aruba / Cisco Switche/AP/Controller/Lizenzen verwenden.
Die AP können sich dann über Radius als Port Authentifizieren.
Das freischalten anhand der MAC ist und bleibt nur ein Fallback (schon alleine weil das die Sicherheitsstufe einer
Papiertür hat) für Geräte die es nicht besser können.
Die Unifi AP müssen Richtges 802.1 unterstützen Vielleicht bekommt das Ubiquiti ja mal hin und reicht die Funktion nach...
Du kannst denn switch port von unifi an eine Mac binden. Wenn sich ein frender dran steckt kann er keine verbindung aufbauen.
Dann wlan ssid als vlan verwenden mal probieren
Wenn ich den Switch Port auf die MAC Adresse des AccessPoint einschränke, können sich alle an dem AP angemeldeten Clients nicht anmelden.
Wie kann ich mein Vorhaben realisieren?
Sowas habe ich auch mal probiert, du müsstest zusätzlich zur AP-MAC-Adresse auch die MAC-Adressen der WLAN-Clients auf dem Port eintragen, damit diese eine Verbindung aufbauen können.
Genau so ist es. Hatte ich auch probiert. Das gleiche, wenn man statt eines AP sicherstellen will, dass das nur ein bestimmter Switch dran darf. Finde ich etwas wenig abzusichern.
Somit ist die LAN Dose für den AP immer ein Einfallstor für einen ungewollten Zugriff?
Gäbe es irgendeine alternative Methode, die Fremdverwendung des LAN Ports zu unterbinden?
Mal so aus reiner Neugier, wo ist denn Deine LAN-Dose überhaupt montiert, dass Du eine "Fremdverwendung" befürchtest?
Gäbe es irgendeine alternative Methode, die Fremdverwendung des LAN Ports zu unterbinden?
Du könntest das Entfernen des Kabels physikalisch erschweren, von unterbinden möchte ich nicht sprechen. Habe ich mal bei einem Kunden gesehen.
Nennt sich dann RJ45-Schloss, zu bekommen z.B. bei Reichelt Elektronik.
Mal so aus reiner Neugier, wo ist denn Deine LAN-Dose überhaupt montiert, dass Du eine "Fremdverwendung" befürchtest?
Ich will/muss ein Gemeindezentrum vernetzen. Die LAN Dose ist nah dem AP geplant. Und damit irgendwie immer in Reichweite natürlicher Personen (Gästen) da das Gebäude meist offen steht.
Die LAN Dose ist nah dem AP geplant. Und damit irgendwie immer in Reichweite natürlicher Personen (Gästen) da das Gebäude meist offen steht.
Wenn du noch planst, dann ist solltest du die Planung überdenken wie die AP angebunden werden. Alle die ich kenne
setzen da eher auf Pysische Massnamen so das da nicht einfach jeder Schlumpf ein Kabel in die „offne“ Dosen stecken kann
oder der AP abbaut und sich das Kabel schnappt. Wird halt doch schwierig wenn der AP unter der Decke Hängt oder das Kabel in der Wand nur 3 cm Lang ist..
Netzechnisch kannst du trotzdem eine Erschwerung einbauen. Lege das Management Network in ein VLAN, sorge dafür das
das Native VLAN nichts darf, oder garnicht erst an dem Port anliegt.
Wenn du noch planst, dann ist solltest du die Planung überdenken wie die AP angebunden werden. Alle die ich kenne
setzen da eher auf Pysische Massnamen so das da nicht einfach jeder Schlumpf ein Kabel in die „offne“ Dosen stecken kann
oder der AP abbaut und sich das Kabel schnappt. Wird halt doch schwierig wenn der AP unter der Decke Hängt oder das Kabel in der Wand nur 3 cm Lang ist..
Netzechnisch kannst du trotzdem eine Erschwerung einbauen. Lege das Management Network in ein VLAN, sorge dafür das
das Native VLAN nichts darf, oder garnicht erst an dem Port anliegt.
Danke für die Tipps.
Steigert noch mal die Komplexität des VLAN .... und könnte mich überfordern.
Ich habe mal meine aktuelle Planung beigefügt.
Über das Admin LAN könnte der Angreifer ja zugriff auf die Unifi Einheiten erhalten. Ok, die sind PW geschützt. Du meinst nun, dass das Admin VLAN nicht auf die weiteren VLAN zugriefen darf?
Don’t have an account yet? Register yourself now and be a part of our community!
