UDM SE Controller "stürzt ab"

Zitat von portboy

die APS haben ein eigenes VLAN

Die sollten ins Management vlan, wo sie auch Standardgemäß eingebunden werden. Es kann jederzeit sein, dass der Controller die wieder anders einbindet

Vlan Zuweisungen macht man ja dann für die clients.

Zitat von anton

Die sollten ins Management vlan, wo sie auch Standardgemäß eingebunden werden. Es kann jederzeit sein, dass der Controller die wieder anders einbindet

Vlan Zuweisungen macht man ja dann für die clients.

Hmmm, ich hab meine AP's auch nicht mgmt VLAN und bei mir läuft alles rund Update für Update.

portboy es kann gut sein, dass bei einen Update/Neustart etc. erneut Loops ausgelöst werden. Beobachte das mal. Ansonnsten gilt: Mesh abschalten, wo es nicht benötig wird!

Zitat von ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

nicht mgmt VLAN und bei mir läuft alles rund Update für Update

War glaub ich vor 2 oder 3 Monaten hier n Thread, wo die UDM die immer wieder ins Mngmt zurück geholt hatte

Zitat von portboy

Ich habe sonst keine andere Idee gehabt, dieses Angriffsrisiko anderweitig zu mitigeren

als Idee (weiss nicht ob es klappt, werd ich aber sicher mal austesten, da ich eh in 30 Minuten Wochenende hab ) ein Port Profil mit Mac Based Autorisation. Un da die Mac vom AP hinterlegen

Zitat von anton

War glaub ich vor 2 oder 3 Monaten hier n Thread, wo die UDM die immer wieder ins Mngmt zurück geholt hatte

Wobei auch jeden Tag einer aufsteht der L2 nicht von L3 Unterscheiden kann und nach gutdünk und hören sagen

„irgendwas“ irgendwo einstellet. Die AP können in einen anderen VLAN als „1“ als MGNT Laufen, kein Problem

wenn man ihnen das auch richtig sagt...

Das ist ein wenig so wie die ganzen Leute die sich ändern das „port x“ kein vlan y kann und sich quasi IMMER

rausstellt das vlan y es garnicht schaft zum switch zu kommen weil der UPLINK schon das VLAN y nicht erlaubt

(und das bei Unifi wo alles Port pauschale art einmal Trunks sind).

Zitat von portboy

Klappt nicht, habe ich schon probiert. Alle Pakete mit einer anderen MAC werden abgewiesen.

Was genau der Deal ist. Radius MAC to VLAn ist nur eh als fallback gedacht und auch nur für EINEN client

(ja ja weis geht gut und viele nutzen das auch) Aber halt nicht für einen AP der Multiple VLAn ausstrahlt

und dann noch Geräte hat die er in seiner Eigenschaft als Bridge im L2 mit mit de Switch Port legt.

Cisco kann das die haben aber auch für die MAB (MAC Authentication Bypass) eine

Multi-host mode-authenticate function.. die haben die Unifi Switche eher nicht...

Zitat von gierig

Multi-host mode

Multi Host gibts im Port Profil. weiss nicht obs neu mit der EA ist

Ahh ist das da schon Länger ?Geht das mit allen Switches die 802.1x können ?

Ist das was „wir“ wollen oder macht das ding den Ganzen laden auf wenn eine valide MAC ankommt ?

Wer testet

Weil das könnte das schon sein wo ich immer sage geht nicht bei den „günstigen“.

Ich habe auf meinen AP Links als natives Netz ein Netzwerk drauf das weder DHCP hat noch irgendwo hin kommunizieren darf... nenne ich meist Blackhole. Alle anderen Netze sind getaggt, auch das Unifi Management Netzwerk. Man muss dann halt nur für das Adoptieren einen anderen Port verwenden und bei den Geräten das Management Netz entsprechend umstellen.

Dann kann sich ein Angreifer erstmal ans Kabel hängen ... viel mehr passiert dann aber auch nicht. Dann ist für Ihn VLAN ID raten angesagt.

Für Videoüberwachung würde ich das auch gerne so machen. Leider unterstützen aber sehr viele Kameras kein VLAN Tagging.

Multihost gibts glaube ich schon länger. Und wenn ich mich richtig erinnere macht das den Laden auf.

Zitat von gierig

Ahh ist das da schon Länger ?Geht das mit allen Switches die 802.1x können ?

vermutlich mit allen die Port Profile können. habs aber noch nie ausprobiert, mir ists nur heute VM zufällig aufgefallen

Zitat von KJL

Zum Thema MAC-Based Port Security braucht man nicht viel sagen dass kriegt man mit 5 Minuten Aufwand umschifft.

+1

Oder like dagelassen, abo Knopf gedrückt und die Bimmel geschlagen.

Das ist das was viele OH Kuck mal da kommt ne MAC die stecken wir in VLAN x weil so schön ist.

MAB is als reiner Fallback vorgesehen für die Client die kein 802.1x können. Bene IOT and das damals neimand gedacht hat

waren eher Drucker / Fax / ALT gerate im sinn des Erfinders.

Zitat von gierig

+1

Oder like dagelassen, abo Knopf gedrückt und die Bimmel geschlagen.

Das ist das was viele OH Kuck mal da kommt ne MAC die stecken wir in VLAN x weil so schön ist.

MAB is als reiner Fallback vorgesehen für die Client die kein 802.1x können. Bene IOT and das damals neimand gedacht hat

waren eher Drucker / Fax / ALT gerate im sinn des Erfinders.

Alles anzeigen

Wie sieht es mit Thema sicherheit aus? Wenn ich bei dir mal vorbeikomme und mein Debian Notebook auspacke, ändere die MAC ab und connecte mich mit deinen WIFI, werde ich dann auch in das gewünschte VLAN gehauen?

Na ja wenn du hier vorbeikommst.. Warum willst du deine MAC ändern, darfst auch so rein. Auch ins „gute“ Vlan / WLAN

Dank PPSK dann neues Passwort wenn du wieder Weg bist (ja ja oder halt auch nicht)

Die Möglichkeiten sind überschaubar.

Wenn du AirPlay Software hast darfst du Musik über die HomePods abspielen.

Auf „homer“ (MAC Mini) ist eine Freigabe „ohne“ Passwort da darfst du deinen Stuff rein kippen mit einem bisschen Glück

liegen da dann noch ein MP3 drum die fürs Auto fertig gemacht werden. Dürfte grob was auf dem Kiddnix Verlag sein

und sich zu 90% um die Abenteuer einer kleinen Hexe drehen die im Großstadtjungel überleben muss

oder mit ihrer Freundin Tina auf dem Land bei den Hapfer Mopeds rumhängt.

Klar wenn du mit deinem Lappe heimlich aufs Ko gehts und mit nmap rumscannst wirst du schnell „NED“ finden.

schöne AnmeldeMMasken für HomeBridge, FHEM und seit neusten Syrpted.

Mit ein wenig Glück siehst du einen Broadcast aus dem IOT VLAN netz wo du dann auf das dusslige Web Interface der

Lichtbaken des Aquarium trifst. Mach das Licht bitte wieder AN/AUS (je nach Uhrzeit) denk an die Fische.

Das Rigol Osziloscope ist zwar eher selten an, aber hat nen SCPI Interface. Auch nicht sooo der hit.

Ach ja... Drucken kannst du....(bring paper mit, ist immer Mangelware hier)

Sonst ?

Na ja Internet halt der eigentliche Grund warum mann hier in WLAN will. Wenn du Schwedische Märchen Filme

Kuckst ist mir das egal. Illegale Download schon eher nicht...aber na ja warum soll dich dich überhaupt Reinlassen

wenn ich schon damit rechnen muss das du schaden ansuchten wills.

Zitat von gierig

Na ja wenn du hier vorbeikommst.. Warum willst du deine MAC ändern, darfst auch so rein. Auch ins „gute“ Vlan / WLAN

Dank PPSK dann neues Passwort wenn du wieder Weg bist (ja ja oder halt auch nicht)

Die Möglichkeiten sind überschaubar.

Wenn du AirPlay Software hast darfst du Musik über die HomePods abspielen.

Auf „homer“ (MAC Mini) ist eine Freigabe „ohne“ Passwort da darfst du deinen Stuff rein kippen mit einem bisschen Glück

liegen da dann noch ein MP3 drum die fürs Auto fertig gemacht werden. Dürfte grob was auf dem Kiddnix Verlag sein

und sich zu 90% um die Abenteuer einer kleinen Hexe drehen die im Großstadtjungel überleben muss

oder mit ihrer Freundin Tina auf dem Land bei den Hapfer Mopeds rumhängt.

Klar wenn du mit deinem Lappe heimlich aufs Ko gehts und mit nmap rumscannst wirst du schnell „NED“ finden.

schöne AnmeldeMMasken für HomeBridge, FHEM und seit neusten Syrpted.

Mit ein wenig Glück siehst du einen Broadcast aus dem IOT VLAN netz wo du dann auf das dusslige Web Interface der

Lichtbaken des Aquarium trifst. Mach das Licht bitte wieder AN/AUS (je nach Uhrzeit) denk an die Fische.

Das Rigol Osziloscope ist zwar eher selten an, aber hat nen SCPI Interface. Auch nicht sooo der hit.

Ach ja... Drucken kannst du....(bring paper mit, ist immer Mangelware hier)

Sonst ?

Na ja Internet halt der eigentliche Grund warum mann hier in WLAN will. Wenn du Schwedische Märchen Filme

Kuckst ist mir das egal. Illegale Download schon eher nicht...aber na ja warum soll dich dich überhaupt Reinlassen

wenn ich schon damit rechnen muss das du schaden ansuchten wills.

Alles anzeigen

Mir gings nicht einen Vortaeil daraus zu ziehen oder jmd zu schaden. Wenn die Sicherheitsrichtlinien auf MAC Addr ziehlen dacht ich mir, dann ist es super Easy ins Netz zu kommen. Hab mich mal ne Zeitlang mit Kali/Nethunter beschäftigt. Es gibt dort simple Tools die mit OneClick ausgeführt werden. Naja die Wege für mein Test waren länger und ich arbeite eher gern mit der Console. Es war erschreckend wie leicht es ist durch einen Scan rauszufindnen welche Clients MACs im gewünschten Netzwerk sich befinden. Als habe ich mein Client mit einer der vorhandenen MACs maskiert, daudrch durch nen Simplen Befehl ihn einfach vom Router getrennt und et voila konnte ich mich ohne Key verbinden. Und wenn ich anhan meiner MAC gleich ins richtige VLAN geschoben werde wo ich über einen fremden Router in WWW komme, wäre es für mich fatal. Nicht das jmd von mir ein falsches Bild bekommt, mich interessiert die Technik dahinter um mich selber zu schützen. Betone nochmals es geht nur ums eigene Interesse und Selbstschutz.

Danke für deine wertfolle Information

Zitat von ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

Betone nochmals es geht nur ums eigene Interesse und Selbstschutz.

Alles gut, sollte ja klar sein das ich kein Großer fan von MAC = Sicherheit bin. Gebe ja nicht umsonst

Herzen raus

Richtig gehts halt nur mit richtigen 802.1x mit user name und Passwort. MAB ist nur ein Notnagel damit

KaffeMaschine und Elektroniker in ein unwichtiges VLAn kommen können.

Wichtige VLANs nut anhand einer MAC zu selektieren ist genauso gut wie die Auto Tür nicht abzuschließen.

Der Rest ist dann eigentlich nur noch RisikoAbschätzung ob es Wert ist den Weg zu gehen.

Bei mir is er es nicht, bzw. es währe einfacher da Fenster einzuschlagen und den MAC mini

mitzunehmen wo auf anderen Freigaben der „wertvolle“ Stuff liegt.