Best Practise? Aussperren unerwünschter Clients



  • Hallo,

    mal die Frage, wie Ihr mit der Situation umgeht …

    Im LAN gibt es diverse Server (mit jeweils fixer IP) und Clients, die Ihre IP vom DHCP-Server (pfSense) erhalten.
    Soweit alles schön.

    Ein (heftiges) Problem kann ja nun entstehen wenn jemand einen fremden Laptop an eine LAN-Dose ansteckt und sich eine fixe IP aus dem regulären LAN-Range vergibt ...
    Im jedem Fall habe ich einen Client im LAN, den ich nicht kenne und von dem ich auch nichts merke. Im schlechteren Fall habe ich auch noch ein Problem mit dem gesamten Netz, wenn er "zufällig" eine schon vergebene IP-Adresse benutzt ...

    Gibt es dafür eine Lösung, oder wie geht Ihr mit diesem Risiko um?

    Gruss
    bakunin



  • Hallo bakunin,

    dies ist sicherlich keine Frage die sich pauschal beantworten lässt und meiner Meinung nach sehr viel mit Netzwerk-Design und Topologie zu tun hat. pfSense kann dich hier höchstens etwas unterstützen da sich viel auf Layer 2 und somit dem Switch abspielt.

    Zunächst einmal ist die sicherste Art unerwünschte Clients nicht im Netz zu haben diese nicht ins Netz zu lassen.

    Dann kommt es sehr stark auf dein Netzwerk und Equipment an welche Maßnahmen denkbar wären. Hat dann aber auch sehr viel mit deinen Anforderungen zu tun. Bei einem kleinen Netzwerk lohnt sich die Energie und der Aufwand wohl kaum auf solche Eventualitäten einzugehen.

    Bei einem größeren Netzwerk würde ich prinzipiell mit VLANs arbeiten um Probleme zu isolieren. Deine Geräte die für deine Infrastruktur notwendig sind und alles am laufen halten (also Netzwerkdienste, Router, Server für Anwendungen, etc) packst du idealerweise in ein Infrastruktur-Netzwerk. Die anderen Netzwerke greifen dann auf dieses über ihr jeweiliges Gateway zu. Dann können sich schon mal nur 2 Clients gegenseitig in die Suppe spucken.

    Vertrauenswürdige Clients, wie z.B. feste PC Arbeitsplätze kannst du über "Port Security" am Switch anhand ihrer MAC Adresse ins Netzwerk lassen oder auch nicht. Statische ARP Einträge auf deinen Switchen verhindern, dass Daten an die "falsche" MAC Adresse geht die die IP statisch eingestellt hat. Mittels DHCP Snooping am Switch verhindest du, dass dir jemand einen fremden DCHP Server ins Netz hängt. Nur ein spaar Stichworte zum Googlen um etwas Sicherheit - aber auch sehr viel Verwaltungsaufwand - in dein Netzwerk zu bringen. Verwaltbare Switche mit den Features entsprechend vorausgesetzt.

    Kommt wirklich sehr auf die Umgebung an über die wir uns unterhalten und die ganzen Maßnahmen sind von vielen Faktoren abhängig. Wenn ich als Angreifer natürlich an den Switch komme der ins Infrastruktur-Netzwerk zeigt und ich mich dort ranhängen kann wird es eng. Aber dann könnte ich das Netzwerk auch durch ziehen des Steckers lahmlegen….



  • Moin,
    eher ein Thema von deinem Switch Thema: Port Security
    (Wehret den Anfängen)

    Gruß
    Keule



  • Hi!

    Du benötigst VLANs auf deinem Switch. Alle nicht benötigten LAN-Dosen kommen dann ins Default-VLAN (untagged), welches du sonst nicht nutzt - fertig  ;)
    Ein Radius-Server kann auch nicht schaden…

    MfG



  • Gibt es dafür eine Lösung,

    • Nicht benutze Switch Ports einfach abschalten
    • Switch Port Security
    • Switch ACLs
    • dynamische VLANs (MAC basierend)

    oder wie geht Ihr mit diesem Risiko um?

    • AD Anmeldung und dann
    • Kabel lose Geräte via Radius Server & Zertifikat (nicht exportierbar) absichern
    • Kabel gebundene Geräte via LDAP absichern
    • Squid & SquidGuard als HTTP-Proxy mit Benutzeranmeldung in der DMZ installieren

    Alle nicht benötigten LAN-Dosen kommen dann ins Default-VLAN (untagged),
    welches du sonst nicht nutzt - fertig

    Also das default-VLAN ist das für den Admin und da sind so oder so alle Geräte drin
    und da hat außer dem Admin niemand Zugriff und der Admin am besten nur mittels SSH-Key.

    Ein extra VLAN z.B. VLAN151 anlegen und dort alle leeren Ports der Netzwerksteckdosen
    rein packen und dann alles verbieten und dann einen Snort Sensor dort rein platzieren
    schafft es irgend jemand die still gelegten Ports auf zu wecken oder zu reaktivieren,
    dann bekommst Du eine Mail oder SMS vom Snort Server und weißt auch genau an
    welcher Netzwerkdose der Störer mit seinem Gerät dran hängt. Fertig.

    Im jedem Fall habe ich einen Client im LAN, den ich nicht kenne und von dem
    ich auch nichts merke. Im schlechteren Fall habe ich auch noch ein Problem mit dem
    gesamten Netz, wenn er "zufällig" eine schon vergebene IP-Adresse benutzt …

    Das kann dann nicht mehr passieren? Denn alle leeren Dosen und Netzwerkports
    sind in einem extra VLAN und für dieses ist dann alles gesperrt und der Snort Server
    informiert Dich dann darüber an welchem Port gerade jemand herum spielt!
    Und wenn er seinen eigenen PC ausklingt und seinen privaten Laptop anschließt ist dort
    immer noch die LDAP und/oder Radius Sicherung die er nicht erfüllt und man kann das
    dann auch via ACLs oder Snort rules melden lassen.

    mal die Frage, wie Ihr mit der Situation umgeht …

    Arbeitsanweisungen dahin gehend unterschreiben lassen und alle zwei Jahre neu unterschreiben lassen!
    Bei Fehlcerhalten eine Mail an alle Gruppenleiter, Abteilungsleiter und die GF bzw. GL das hinsichtlich einer
    Nichtbeachtung dieser Anweisung nun gerade Probleme entstehen und rate mal wer dann dort ganz schnell
    alles anruft und nachfragt!? Dann steht der Admin nicht immer so alleine da!

    Denn ist auf dem privaten Laptop eine MS Windows Home version installiert und gerade an dem Tag kommt
    MS Euch mal besuche geht der Geschäftsführer eventuell ab ins Kittchen und Du kannst auf Linux umstellen!

    Oder aber eine Windows Pro Version und eine Menge freeware die nur privat genutzt werden darf!
    Hmmmm, lecker wenn Dich dann einer anschxxxt kannst Du die Prozesse vor gericht gar nicht mehr
    zählen und musst eventuell jedes Mal zahlen!