Öffentlicher Raum mit pfsense trennen (LAN-LAN Problem)



  • Guten Tag,

    wir haben ein Gebäude ohne Netzwerkaufteilung (VLAN).
    Innerhalb dieses Gebäudes befindet sich dort ein öffentlich zugänglicher Raum, mit Netzwerkbuchsen.
    Steckt jemand unauthorisiert sein z.B. Laptop an, erhält er eine DHCP-IP und kann somit großen Schaden in unserem
    Netzwerk anrichten.

    Wie kann ich dies mit pfsense unterbinden?
    Ich stelle mir das so vor, dass Fremdgeräte gar keinen Zugriff bekommen sollen und Firmen interene Gerät, die sich
    in den öffentlichen Bereichen anstöpseln, können sich an die Domäne anmelden und im Netz surfen.

    Wie stelle ich das an?

    McFlury



  • @mcflury said in Öffentliche Räume mit pfsense trennen (LAN-LAN Problem):

    Guten Tag,

    wir haben ein Gebäude ohne Netzwerkaufteilung (VLAN).
    Innerhalb dieses Gebäudes befinden sich dort ein öffentlich zugänglicher Raum, mit Netzwerkbuchsen.
    Steckt jemand unauthorisiert sein z.B. Laptop an, erhält er eine DHCP-IP und kann somit großen Schaden in unserem
    Netzwerk anrichten.

    Wie kann ich dies mit pfsense unterbinden?
    Ich stelle mir das so vor, dass Fremdgeräte gar keinen Zugriff bekommen sollen und Firmen interene Gerät, die sich
    in den öffentlichen Bereichen anstöpseln, können sich an die Domäne anmelden und im Netz surfen.

    Wie stelle ich das an?

    McFlury

    Captive Portal den Zugriff managen lassen. Je nach Anzahl der User über das lokale Usermanagement oder über eine RADIUS Authentication. Bringt alles die Sense mit.

    Mike



  • @mcflury said in Öffentlicher Raum mit pfsense trennen (LAN-LAN Problem):

    Ich stelle mir das so vor, dass Fremdgeräte gar keinen Zugriff bekommen sollen und Firmen interene Gerät, die sich
    in den öffentlichen Bereichen anstöpseln, können sich an die Domäne anmelden und im Netz surfen.

    Port-Security macht eigentlich der Switch, nicht der Router.

    Du kannst im DHCP-Server natürlich für alle eigenen Geräte Einträge generieren und dem DHCP-Server anschließend sagen, dass nur Geräte mit einer MAC Adresse aus der Liste zugelassen sind. Alle anderen (so auch neue Eigengeräte...) bekommen erstmal keine IP.

    Schützt aber nicht davor, dass jemand einfach eine IP auf seinem Gerät einträgt und ausprobiert.



  • Ich hab mich heute etwas schlau gelesen über dieses 802.1x.
    Habt ihr damit schon eure Erfahrungen gemacht? Wißt ihr, wie man da vorgehen müsste? Brauche ich wirklich
    einen Radius-Server noch dazu? Das scheint doch ein etwas aufwendiger Prozess zu sein. Wäre sehr hilfreich für
    mich, wenn ihr mir die einzelnen Schritte grob auschreiben könntet, wie ich vorgehen müsste.

    Danke
    McFlury



  • Moin,

    Brauche ich wirklich einen Radius-Server noch dazu? Das scheint doch ein etwas aufwendiger Prozess zu sein.

    Natürlich brauchst Du einen Radius dafür, wer soll denn sonst entscheiden wer darf und wer nicht?
    Brauchst Du die Anschlüsse? Wenn nein: Patchkabel abziehen fertig, Problem kostenlos und sicher gelöst.
    Sind die Dosen alle auf ein Patchpanel geführt?

    Einen Radius aufzusetzen ist kein Problem, auch nicht sonderlich aufwändig, aber die restliche Infrastzruktur muss auch mitspielen, ist das gegeben? Hier ist was zu lesen: Sicherheit: Netzwerk Zugangs Kontrolle mit FreeRadius für LAN Switches oder WLAN mit 802.1x
    danach musst Du Eure Switche mit dem Radius verheiraten ...

    Und mal so am Rande und das ist wirklich nicht böse gemeint: Steckt jemand unauthorisiert sein z.B. Laptop an, erhält er eine DHCP-IP und kann somit großen Schaden in unserem Netzwerk anrichten.
    Wenn ich das lese und Deine Bemerkung zum Radius: Sollte da nicht Jemand mit Erfahrung ran? Nicht das du nachher alles lahm legst und Deine frsitlose Kündigung bekommst. Ein öffentlich zugänglicher Bereich mit Zugriff auf euer Netz ist imho grob fahrlässig. Entweder die Dosen abschalten oder vom Firmennetz abtrennen!

    -teddy


  • Moderator

    @mcflury said in Öffentlicher Raum mit pfsense trennen (LAN-LAN Problem):

    wir haben ein Gebäude ohne Netzwerkaufteilung (VLAN).
    Innerhalb dieses Gebäudes befindet sich dort ein öffentlich zugänglicher Raum, mit Netzwerkbuchsen.

    Da muss ich Teddy im Post vor mir zustimmen. Das Problem ist IMHO hier in den 2 Sätzen schon umfassend beschrieben. Das ist eine Konstellation, die es eben so nicht geben darf. Entweder man hat ein einziges Netz - mit allen negativen Konsequenzen wie dem geschilderten Problem - oder man führt VLANs ein. Dafür sind sie da. Und dann kann man auf dem extra VLAN für den öffentlichen Raum ein Portal anmachen und der Rest vom LAN hat seine Ruhe und Sicherheit. Halbwegs.

    Zumal man bedenke: wenn die Switche nicht mal VLAN könnten - dann können Sie 802.1x Port Security schon 2x nicht :)

    Grüße


 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy