Firewall-Regeln per MAC Address
-
Hallo,
bin ich blind oder doof, ich finde keine Möglichkeit nach MAC Adressen zu regeln?
Habe ich etwas übersehen?Gern würde ich Aliase anlegen mit MAC Adressen.
-
Firewall Regeln in einem gerouteten Netzwerk funktionieren immer nach IP-Adressen und Ports. Firewall-Regeln auf Basis von MAC Adressen zu erstellen funktioniert nicht.
Was du allerdings tun kannst ist, dass du über DHCP einer MAC Adresse eine feste IP Adresse zuordnest.
Es gibt dort auch eine Option "Static ARP" or so ähnlich. Diese Funktion erlaubt es nur eingetragenen MAC Adressen mit der Firewall zu sprechen. Fremde - also nicht eingetragene MAC Adressen - werden nicht mit der Firewall kommunizieren können.Vielleicht kannst du uns dein Problem genauer beschreiben bzw. das, was du erreichen möchtest. Vielleicht lässt sich eine andere Lösung dafür finden.
-
Ich bin hier wohl etwas "verwöhnt" von anderen Distributionen.
Das mit dem DHCP und dem Static ARP gucke ich noch mal in Ruhe an.
Ich habe eine Reihe Access Points die Mutil-SSID tauglich sind.
Pro AP gibt es ein bis zwei SSID die WPA2 machen und dann den Traffic in ein VLAN verpacken und pfSense macht in dem VLAN z. B. den DHCP Server. Je nach Fertigung und "Stadteil" ändern sich die SSIDs. Bestimmte SSIDs gib es an jeden AP.
Z. B. meine Kollegen, die ein Notebook haben und auch mal vor Ort, also an der Anlage, sind kann ich an diesen SSIDs kein WPA2-Ent machen, weil das nur für den Zugang zu den Netzwerken des Active Directory ermöglichen soll.
Das heißt, hier wird mit der Hand das WLAN betreten. Von der Sache her kein Problem, meinen Kollegen muss ich trauen.Jetzt kommen aber auch Externe, die vor Ort arbeiten müssen, dass heißt z. B. ein Programmierer sitzt in dem Stadtteil und will zur Anlage sich verbinden. Anpatchen an dieses Netzwerk vor Ort will ich nicht. Das steht nur den internen Admins zu.
Nun suche ich eine Lösung, das meine Kollegen die MAC Adresse des WLAN-Adapters mir mitteilen und diese dem VLAN samt Berechtigung zugeordnet wird.Jetzt über den Weg mit dem Static ARP, habe ich zumindest den Luxus, dass ich bekannte Hosts Regeln kann und Unbekannte, die an das WLAN Passwort gelangen, in dem Subnetz relativ verloren sind. Bzw. nicht in Regeln anderer Einsteigen können, weil der DHCP die Adresse nach Ablauf des Lease Time neu vergibt. Es gibt ja auch Hosts die das Routing nutzen können und andere Netze erreichbar wären.
Außerdem wäre es toll, wenn meine Notebooks, eine Regel in Bezug auf die MAC hätten, die mich in jedes Netz lässt und dort alle oder deutlich mehr Funktionen für mich erreichbar sind.
Hoffe so ist es verständlicher.
-
Alles was du beschreibst, tönt für mich nach der Funktionalität von 802.1X
Du könntest auf der pfSense einen FreeRADIUS Server aufsetzen und die User/Zugangsrechte damit verwalten.Authentizierung via MAC Adresse würde ich vermeiden. Wenn dann schon eher temporäre user/passwörter welche, nachdem sie nicht mehr gebraucht werden, verfallen.
-
802.1X mache ich an anderer Stelle für meine User die zum AD gehören. Im Moment noch Linksys/Cisco APs und NPS/NAP vom Server 2008 R2, GPO usw…
Im Zuge meiner Tests soll auch diese Baustelle mit in die Ubiquiti APs einfließen und von der pfSense zur MS TMG geschubst werden um dort in die internen Netze zu kommen.
Ich werde mir mal die FreeRADIUS Implementierung in pfSense ansehen. -
802.1X wäre hier vermutlich wirklich sehr sinnvoll.
Du könntest an den APs ein weiteres VLAN erstellen, eine weitere SSID und diese über 802.1X absichern. Als RADIUS kannst du da sicherlich etwas von Microsoft nehmen, den kostenfreien freeradius auf einem externen server installieren oder das freeradius2 paket auf der pfsense installieren.
Hierrüber kannst du dann deine Benutzernamen für deine (externen) Service Mitarbeiter einrichten. Auch eine Steuerung für den zeitlichen Zugang, also nur am 10.01.2013 - 11.01.2013 oder ähnliches.
Gleiches würde sich eventuell auch für deine festen Mitarbeiter anbieten. Diese müssen dann keine WPA Schlüssel mehr eingeben, die sie auf irgendwelche Zettel schreiben und an den Bildschirm kleben.
Wenn also deine Kollegen und die Externen Personen ins gleiche VLAN sollen, dann bietet sich 802.1X auf einem VLAN und der dazugehörigen SSID an. PEAP mit Username/Passwort ist vermutlich unkompliziert eingerichtet. Steuerung des Zugangs über Benutzernamen und Kennwort am RADIUS auch schnell und zentral erledigt. Zeitliche Zugriffssteuerung ebenfalls.
Noch praktischer ist es sogar, wenn der AP die VLANs dynamisch vergeben kann. Ich mache das so an meinen Switchen:
Benutzer meldet sich mit Benutzername/Kennwort an, der RADIUS sendet die VLAN ID an den Switch und dieser schaltet den Client in das passende VLAN. Du könntest so also deine externen und internen Nutzer entsprechenden VLANs zuordnen.Ein Anleitung zu freeradius2 Paket für pfsense gibt es hier:
http://doc.pfsense.org/index.php/FreeRADIUS_2.x_packageAnsonsten könntest du auch statt 802.1X ein CaptivePortal auf dem VLAN aktivieren, welches für die Admins und externen Nutzer da ist.
Admins haben ein festes Passwort und Benutzernamen (eventuell auch am RADIUS) um sich zu verbinden. Externen Mitarbeitern kannst du ebenfalls einen Zugriff über einen Benutzernamen/Kennwort geben.Und falls du wirklich mit MAC Adresse freischalten möchtest, kannst du im CaptivePortal einen "MAC-passthrough" angeben, so dass du die MAC Adressen deiner internen Kollegen freigibst und externe Mitarbeiter sich eben mit Benutzername und Kennwort anmelden müssen.
-
Leider können meine Ubiquiti IniFi AP Pro und Unifi AP Outdoor die zum Einsatz kommen "nur" vier SSIDs. 1x flächendeckend Gast-WLAN und Intern-WLAN (802.1X) sind schon weg. Je Stadtteil brauche ich 1x für den Stadtteil lokal und 1x ist Reserve.
Das mit dem Schlüssel, der dann vielleicht noch ausliegt, das ist genau einer der Punkte warum überhaupt das Thema von mir aufgegriffen wird, abgesehen vom Spieltrieb das FuBa (Fummler und Bastler). Und eben der wiederholte Wunsch, externen Nicht-Service-Mitarbeiter, z. B. einen Vertriebler oder Auditor WLAN zur Verfügung zu stellen. Hier kommt dann für das Gäste WLAN das Capativ Portal zum Einsatz.
MS Radius (NPS/NAP) möchte ich in diesen Netzen nicht verfügbar machen. Nennt mich misstrauisch aber einen MS Server soll in solchen Netze nicht erreichbar sein, abgesehen vom TMG 2010, das praktisch nur NTP und DNS durchlässt.
Für die Produktionsbereiche wollte ich, Grund habe ich jetzt keinen, vielleicht überlege ich es mir noch anders, kein CP einsetzen.
MAC Passtrough kommt z. B. für Smartphones zum Einsatz.
Ich könnte Im Core der IT VLANs den APs dynamsisch zuweisen, das wäre dann aber nur für 5 der 22 APs, weil ich in den Stadteilen keine solche Hardware (Switches) habe. Die können nur rudimentär VLAN 802.1q. Die Idee habe ich auch schon geprüft gehabt.
Ich werde mal FreeRADIUS2 probieren.
-
MAC Adressen als Filterkriterium zu nutzen grenzt leider eben immer an "Security through Obscurity". Funk ist eben ein offenes Medium und wenn ständig Geräte ihre MAC Adresse herumrufen, ist es kaum schwer, sich eine zu besorgen, die funktioniert.
Ich denke auch ein Blick in die Kombination Radius + WLAN sollte hier durchaus Potential bieten. Zumindest erinnere ich mich Dunkel an ein Projekt was eine Art Ticketing und Reservierungen mit Captive Portal und Radius gebaut hatte.
-
Ich habe eine Reihe Access Points die Mutil-SSID tauglich sind.
Jetzt kommen aber auch Externe, die vor Ort arbeiten müssen, dass heißt z. B. ein Programmierer sitzt in dem Stadtteil und will zur Anlage sich verbinden. Anpatchen an dieses Netzwerk vor Ort will ich nicht. Das steht nur den internen Admins zu.
Nun suche ich eine Lösung, das meine Kollegen die MAC Adresse des WLAN-Adapters mir mitteilen und diese dem VLAN samt Berechtigung zugeordnet wird.Vielleicht denkst Du hier nur zu kompliziert…
Kann man nicht noch freie SSID Netze für ein Gast WLAN einrichten und diesen den externen Mitarbeitern zuweisen?
Wir haben für unsere Gäste das so gemacht.... Eigenes Gast LAN, eigene Regeln ohne große IP /FW Komplikationen ;)Grüße
Reiner
