Netzwerk Forum - Übersicht
Eingang: Glasfaserinfo.de - die Netzwerkseite und unser
Netzwerkshop - Patchkabel, Patchfelder, RJ45 Dosen und vieles mehr...
Netzwerk Forum
Glasfaserinfo.de - Das Netzwerk Portal zu den Themen Netzwerkverkabelung, Hard- und Software.
 
 FAQFAQ   SuchenSuchen   RegistrierenRegistrieren 
 Nur registrierte Mitglieder erhalten vollen Zugriff auf alle Funktionen LoginLogin 
 RSS Feed   Intro   Portal   Index   

Port - Security - System  
   Netzwerk Forum - Übersicht -> Datensicherheit - Viren, Würmer, Trojaner, Hijacker und Spyware
Netzwerkbrücke/Antivirensoftware << Vorheriges Thema anzeigen :: Nächstes Thema anzeigen >> Trojaner mit eingebautem DHCP-Server  
Autor Nachricht
daniel90
Strippenzieher


Anmeldungsdatum: 17.09.2008
Beiträge: 3

BeitragVerfasst am: Mi Sep 17, 2008 10:21 am    Titel: Port - Security - System

Hallo alle zusammen.

um unser Netz gegen interne Angriffe zu schützen, werde ich versuchen den IEEE 802.1X Standart zu nutzen. Dieser ermöglicht eine Authentifizierung / Autorisierung von Layer 1 auf Layer 2!
Der Supplicant (Softwareelement im Betriebssystem des Users) sendet eine Authentifizierungsanfrage über den Authenticator (Softwareelement der Switches) zum Authentication - Server (RADIUS - Server).

Mein Problem:
da nicht nur PC`s gesichert werden sollen, sondern natürlich auch die Ports der Drucker / IP - Telefone usw. stellt sich mir jetzt die Frage, wie genau ich dies machen soll, da unsere IP - Telefone (OpenPhone 65 IP von DeTeWe) den 802.1X Standart nicht unterstützen. Auch unsere Dell Drucker bieten hier keine Möglichkeit einer Netzwerkauthentifikation.
Hat jemand Erfahrung mit dem Umsetzen des Standarts bzw. kann mir jemand eine Möglichkeit nennen, wie ich die Ports sichern kann und zugleich eine sichere Verbindung auf Drucker, Telefone usw. gewährleisten kann?

Ich hoffe ich konnte den Standpunkt fachlich korrekt und verständlich erklären. Bei Fragen biete ich gerne eine Umfassende Erklärung.
Für eventuelle Falsch Erklärungen bitte ich um Entschuldigung - ich bin neu hier icon_wink.gif .

Vielen Dank im Vorraus.



Nachtrag:

Hier mein Grob - Konzept zum besseren Verständnis meiner Ausgangssituation

http://screaaam.kilu.de/Grob%20-%20Konzept.doc
BAgGA
Schrankhinsteller


Anmeldungsdatum: 08.08.2008
Beiträge: 157

BeitragVerfasst am: Mi Sep 17, 2008 9:13 pm    Titel:

Die Geräte, die 802.1x können, sicherst du damit ab, alle anderen solltest du mittels MAC-Security sichern.
daniel90
Strippenzieher


Anmeldungsdatum: 17.09.2008
Beiträge: 3

BeitragVerfasst am: Do Sep 18, 2008 7:52 am    Titel:

Das habe ich mir auch schon überlegt, aber für mein Projekt ist es nicht sinnvoll, da es keine sehr flexible Lösung ist.
Außerdem lassen sich MAC - Adressen leicht fälschen. Aufgrund von brisanten Daten ist dies nicht wünschenswert.

Das Problem sind vorallem die IP - Telefone, da wir mit einem Netzwerkkabel reingehen und mit einem weiteren vom Telefon zum PC um Ports zu sparen.

Gibt es eine Möglichkeit den Standart 802.1X auf verschiedene VLAN`s anzuwenden oder dergleichen damit ich dieses Problem auch lösen kann?


Ach ja, am Rande:
Ich bin Azubi aus dem zweiten Lehrjahr und habe dieses Projekt bekommen. Da sich hier bis jetzt noch niemand mit dieser Thematik befasst hat, kann ich nur hier meine Fragen stellen.
BAgGA
Schrankhinsteller


Anmeldungsdatum: 08.08.2008
Beiträge: 157

BeitragVerfasst am: Do Sep 18, 2008 2:39 pm    Titel:

Das Problem ist, dass 802.1x pro Port arbeitet. Mittels VLAN dürfte auch nicht funktionieren, weil das Telefon dieses dann unterstützen müsste, gleichzeitig kann man den Netzwerktraffic dann ganz einfach mittels Hub mitschneiden, wenn sich der Rechner geauthet hat.

Du müsstest und solltest VoIP und EDV trennen, weil hier doch einige Sicherheitsrisiken auftreten.

Am besten wäre es, wenn du das so regelst, dass Telefone und Drucker in einem vom Rechner-Netz abgetrennten VLAN sind. im VoIP/Printer-VLAN gibts MAC-Security und ist mittels L3-Switch und ACLs vom Rechner-Netz getrennt. Der Switch darf also nur VoIP und Printer-Traffic durchlassen. Im Rechnernetz gibt es dann 802.1x.

Das erfordert dann halt aber auch getrennte Verkabelungen.

Es ist aber auch ein Sicherheitsrisiko, VoIP und Rechner im gleichen Netz zu lassen, weil man so problemlos die Telefongespräche belauschen kann.

Sollte alles nicht gehen, bleibt dir nur die Möglichkeit, für die Computer IPSec einzuführen.
daniel90
Strippenzieher


Anmeldungsdatum: 17.09.2008
Beiträge: 3

BeitragVerfasst am: Do Sep 18, 2008 2:47 pm    Titel:

Vielen Dank für die Antwort,

ich habe mittlerweile eine Lösung gefunden, die wie ich denke alle Bereiche abdeckt.

Die Firma rt-solutions stellt auf Ihrer Homepage ein Whitepaper bereit, in dem eine Lösung beschrieben wird.

http://www.rt-solutions.de/upload/0_1164022039.pdf?PHPSESSID=1ec6bf60825749d1b4774fb53f033261

Einziger Hacken ==> Es funktioniert nur mittels einer neuen .DLL Datei die von dieser Firma entwickelt worden zu sein scheint.

Habe Kontakt aufgenommen und informiere hier, sobald es Neues zu berichten gibt.

Gruß
BAgGA
Schrankhinsteller


Anmeldungsdatum: 08.08.2008
Beiträge: 157

BeitragVerfasst am: Do Sep 18, 2008 5:29 pm    Titel:

Ob du jetzt MAC-Security mittels RADIUS oder direkt am Switch machst, stufe ich jetzt mehr oder weniger als gleichwertig ein.

Die MAC kann man ja bei beiden Methoden fälschen.
Andi_W
Strippenzieher


Anmeldungsdatum: 17.11.2008
Beiträge: 2

BeitragVerfasst am: Mo Nov 17, 2008 9:42 am    Titel:

Hallo zusammen,

auch wenn das Thema schon etwas älter ist, mächte ich dennoch meine Frage dranhängen:

Wir planen in unserer Firma ebefalls, etwas für die LAN-Sicherheit zu machen. Die o.g. Zertifikatlösung kann bei uns nur in Teilen umgesetzt werden, da Drucker, VoIP-Telefone und einzelne PCs dieses nicht unterstützen.

Da wir uns für diese Geräte im Netz nicht auf die alleinige MAC-Filterung verlassen wollen (Sicherheit ist da aus meiner Sicht eh nicht gegeben), wollte ich fragen, ob es ein System gibt, das erkennt, wenn ein Patchkabel gezogen wird, und sofort den entsprechenden Port sperrt. Im Idealfall wird zusätzlich ein Mail an die Netzadmins verschickt, dass hier eine "Unregelmäßigkeit" aufgetreten ist und der Port nach Prüfung manuell wieder freigegeben werden muss.

Das Abschalten von PCs (übers WE) sehe ich als weniger kritisch, da der LAN-Port am PC ja immernoch aktiv ist (z.B. für Wake-on LAN) und die Sicherung daher nicht "greifen" sollte.

Nun meine Frage: Taugt die Idee generell etwas? Gibt es "im Austausch gegen Geld" eine fertige Lösung bzw. Anbieter, die diesen Ansatz verfolgen?

Vielen Dank für die Unterstützung.

Gruß Andi
BAgGA
Schrankhinsteller


Anmeldungsdatum: 08.08.2008
Beiträge: 157

BeitragVerfasst am: Mo Nov 17, 2008 5:16 pm    Titel:

Das was du da beschreibst nennt sich MAC-Security. Der Port merkt, wenn das Kabel gezogen wurde und sieht, wenn eine andere MAC am Port ist.

Bei den meisten Switches kann man festlegen, was dann passieren soll.
Andi_W
Strippenzieher


Anmeldungsdatum: 17.11.2008
Beiträge: 2

BeitragVerfasst am: Mi Nov 19, 2008 10:50 am    Titel:

Hallo und Danke für Antwort.

Klar bietet der MAC-Filter eine relative Sicherheit. Allerdings geht bei uns die Anforderung einen Schritt weiter. MAC-Adressen allgemein sind ja rel. einfach kopierbar.

Daher würde ich gerne bei Verlust des Links zum Server/Router durch Ziehen des Kabels schon den entsprechenden Port dicht machen.

Gibt es eine Lösung, die dieses Event erkennt und entsprechende Maßnahmen automatisch ergreift?

Gruß Andi
Beiträge vom vorherigen Thema anzeigen:   
   Netzwerk Forum - Übersicht -> Datensicherheit - Viren, Würmer, Trojaner, Hijacker und Spyware Alle Zeiten sind GMT + 2 Stunden
Seite 1 von 1

 
Gehen Sie zu:  
Sie können keine Beiträge in dieses Forum schreiben.
Sie können auf Beiträge in diesem Forum nicht antworten.
Sie können Ihre Beiträge in diesem Forum nicht bearbeiten.
Sie können Ihre Beiträge in diesem Forum nicht löschen.
Sie können an Umfragen in diesem Forum nicht mitmachen.

Ähnliche Beiträge
Thema Forum Antworten Verfasst am
Glasfasermodem - Port 2-4 gesperrt!? Netzwerk - Hardware 1 Fr Jul 01, 2016 6:51 pm
Port Weiterleitung i.O. zugriff Lokal n.i.O. Internet und Netzwerk 0 So Apr 24, 2016 8:48 am
Erfahrung Anschlussdose CAT 6A 2 Port UP0 Netzwerkdosen Passive Komponenten 0 So Aug 02, 2015 9:48 am
System vor dem Crash run auf Banken hat begonnen? Unerwünschte Beiträge 0 Fr Jul 10, 2015 9:23 pm
CWDM-System - TX/RX bei verschiedenen Wellenlängen Lichtwellenleiter / LWL / Glasfaser 6 Fr Mai 22, 2015 10:03 pm


Powered by phpBB © 2001, 2005 phpBB Group
Service und Informationen: Lichtwellenleiter - Twisted Pair - Netzwerk-Hardware - Netzwerk einrichten - Steckerbelegung - Wireless LAN - Netzwerk-Glossar - Heimnetzwerk einrichten

Impressum