Außenbereich: Accesspoints schützen

Es gibt 10 Antworten in diesem Thema, welches 590 mal aufgerufen wurde. Der letzte Beitrag () ist von usr-adm.

    Hallo.


    Ich setze bei mir im Gewerbebetrieb mehrere Unifi 6 Pro Accesspoints für das WLAN Netzwerk ein. Das Netzwerk im Haus läuft auch super. Dieses soll jetzt um den Außenbereich erweitert werden. Dafür werden an der Hallenaußenseite (Sandwichbauweise) zwei Accesspoints benötigt.

    Ich kann es nicht verantworten ein Netzwerkkabel aus dem Managed VLAN ungeschützt nach Außen zu legen. Mir ist schon klar, dass da einiges an Krimineller Energie dazugehört, ein AP abzudrehen und sein Notebook dort anzustecken. Aber außschließen kann ich es nicht.

    Meine erste Idee war es, Accesspoints zu kaufen die sich selbst per 802.1X authentifizieren. Diese (Arube, Cisco, ...) bzw. die Manager lagen weit außerhalb meines Budgets. Unifi unterstützt dies ja leider noch nicht.

    Jetzt überlege ich, den AP zu öffnen, mir acht Verlängerungskabel für die Antennen zu kaufen, die Antennen in dem Originalgehäuse zu belassen, und die Platine in ein weiteres Kunstoffgehäuse zu bauen und dieses auf der Halleninnenseite zu montieren. So verbleiben die Antennen im Originalgehäuse an der Außenseite der Halle und die Platine sitz in der Halle.


    Was meint Ihr dazu? Einen Versuch wert? Mir ist klar, dass ich die Garantie verlieren, aber das Risiko bin ich bereit einzugehen.


    Freundliche Grüße

    Daniel

    Hallo.


    Hab ich mir auch schon angeschaut, aber:
    Der alte Mesh unterstützt nur Wifi5.

    Der neue Mesh Pro hat keine abgesetzten Antennen. Dort liegt wieder das Kabel draußen.


    Beidese für mich nicht optimal. Wie machen das denn andere große Netzwerke an Schulen oder Unternehmen die auf Unifi setzen? Kann man da überall das Kabel rausnehmen und ist direkt im Netzwerk?


    Freundliche Grüße

    Daniel

    Falls es reicht, dann nehm doch uap-ac-m. Die haben doch abnehmbare Antennen.


    Wollte mal LEDs tauschen und hab das Gehäuse gleich wieder geschlossen.


    Alternativ, kann man auch ein getaggtes Netzwerk zum Management Netz machen. Für die Ports dann als natives Netz keins und getaggt das was Du brauchst. Dann landet der Umstöpsler erstmal im nichts und kann dann VLAN ID raten beginnen.


    Oder das Management LAN ohne DHCP betreiben, dann muss er IPs raten.


    Was ist denn eigentlich im Management LAN so extrem kritisches abzugreifen?

    Zitat von h0mer

    Verwende die Mesh ACs. Die sind für den Outdoorbereich gedacht und halten sämtlicher Witterungen stand.

    Dieser Vorschlag adressiert nicht das Problem der AP-Demontage, im Gegenteil - die U6 Mesh sind viel einfacher zu demontieren. Und die U6 Pro sind auch für den Aussenbereich.


    Helfen wird wohl nur Zero-Trust im LAN, keine unnötig offenen Ports, keine Services ohne Anmeldung.


    Oder die Montage der Access Points in einer abschließbaren, nicht-dämpfenden Box. Auch das Kabel darf dann nicht mehr erreichbar sein.

    Naja, mein Vorschlag passt.

    Ihr müsst nur den AC mit POE versorgen, ob per Injektor oder POE direkt ist euch überlassen. Der AC selbst wird per Mesh angesprochen. Also wo ist jetzt das Problem mit der Sicherheit?

    Guten morgen zusammen.


    Das geht ja echt schnell hier. Danke für die Antworten.


    Also die vorgeschlagenen "Sicherheitsmaßnahmen" für das Management VLAN sind bereits alle umgesetzt:


    • Kein DHCP
    • Kein Netz ohne VLAN Tag
    • Alle Geräteoberflächen (Switche, Firewall, AP's) mit Passwort geschützt

    Kann sein, dass ich etwas Paranoid bin, aber ich denke man macht bessert etwas mehr, als zu wenig.


    Die Absicherung des Kabels an der Halterung des MeshPoints ist in meinen Augen eher eine optische Geschichte, als dass es vor Eindringlingen schützt.


    Die Geschichte mit der abschließbaren Box habe ich bei Gigaset N720 Pro DECT Sendern so gemacht. Dort habe ich aber weniger Bauschmerzen, weil man dort nur im VLAN für die VOIP DECT Sender ist, und dort nicht rauskommt. Kein Mangement VLAN, keine anderen VLAN's.


    h0mer : Die Spannungsversorgung per POE ist schon klar. Nur brauche ich mich an das Netzwerkkabel nur mit einem Notebook (Kali Linux) anstöpseln, ein paar Programme durchlaufen lassen, und schon habe ich alle Geräte und alle VLANS aufgezeigt, wo was möglich ist. Die AP's schicken die Daten doch direkt in die benötigten VLAN's, also müssen diese auch tagged an dem Port anliegen. So könnte jeder z.B. in mein Arbeitsplatznetzwerk rein, der die VLAN kennt. Oder verstehe ich da was falsch, und der Traffic läuft alles über den Unifi Controller? Kann ich mir nicht vorstellen...


    Freundliche Grüße

    Daniel

    Homer möchte die Außen Accesspoints per Mesh also Funk anbinden. An das Kabel kann man sich dann zwar stecken, da ist aber nur POE drauf - das soll nicht mit Switch verbunden sein!


    Wenn die Bandbreite ok ist, wäre das auch eine Lösung.


    daniel_h auf die Außen Accesspoints würde ich auch nur die notwendigen VLANs packen. In der Regel ist nicht jedes VLAN im Außenbereich erforderlich.


    Die richtig bösen Jungens und Mädels werden sich nicht die Arbeit machen überhaupt vor Ort aufzulaufen um in den Netzwerken vorbei zuschauen, dauert viel zu lange. Und wer so dreist ist eine Leiter anzustellen um an ein Kabel zu kommen ,,, naja der bricht auch einfach ein.

    Achso, jetzt hab ichs verstanden. Das wäre natürlich eine Lösung.


    VLANS würden logischerweise nur die Notwendigen auf den Port kommen, aber die zu verwendenden sind schon schützenswert und bieten Zugriff auf Interne Daten.


    Ob das Szenarion eines deartigen "Angriffes" irgendwann mal kommt, will ich nicht hoffen. Aber aus einem Betrieb eine Datenleitung "frei zugänglich" in den Außenbereich zu legen ist in meinen Augen fahrlässig.


    Danke erstmal für den INPUT. Ich werde nacher mal einen AP Uni6 Pro öffnen, die benötigten Kabel bestellen und einen Versuch starten. Würde dass dokumentieren und hitnerher hier im Forum kurz darstellen.

    Freundliche Grüße

    Daniel

    Zitat von DoPe

    Die richtig bösen Jungens und Mädels werden sich nicht die Arbeit machen überhaupt vor Ort aufzulaufen um in den Netzwerken vorbei zuschauen, dauert viel zu lange. Und wer so dreist ist eine Leiter anzustellen um an ein Kabel zu kommen ,,, naja der bricht auch einfach ein.

    Völlig richtig.


    Wie hoch hängen die APs? Wird schon eine Leiter benötigt? Wie abgelegten sind die Hallen bzw. die APs?


    APs und Kabel ins eine Box mit Schloss.


    Selbst wann man im Management VLAN drin ist, benötigt man noch Zeit, IPs, Kennwörter, etc.


    Ich denke auch, dass es deutlich wahrscheinlich ist, dass jmd. die Türen aufbricht und Dein Equipment klaut, oder sich über WAN Zugang beschafft, als dass sich jmd. von außen an ein Kabel hängt. Die meisten Angriffe kommen doch eh aus dem Ausland :grinning_face_with_smiling_eyes:

    30 Sites - 500 APs - 150 Switche - EdgeRouter - UXG-Pro - UDM-Pro - USG-PRO-4 - OPNsense - IPUs