Verständnis Port Security GS2326P+

[Aushilfsinformatiker]

Hallo,
ich habe mich in die Materie langsam reingearbeitet aber noch nicht alles verstanden. Folgendes Szenario: Ein PC soll nur an einem bestimmten Port funktionieren. Es soll verhindert werden, dass jemand sich der MAC-Adresse des vorhandenen PC's bedient und sich ins Netzwerk einklinkt und die Pakete empfängt.
Auf dem Switch ist DHCP-Snooping aktiviert (außer Uplinks), unter Static ARP Inspection Table zum Testen eine MAC-Adresse eines angeschlossenen Rechners mit vom Router zugewiesener IP eingetragen. Dann unter Port Security Limit Control Configuration den Port aktiviert und Limit auf 1 gestellt.

Zumindest verwirft der Port die Pakete und geht Down, wenn ich einen anderen Rechner anschließe.

Eigentlich reicht bei diesem Szenario die vorhandene MAC-Adresse des PC's auf einem anderen Rechner zu faken und sich die entsprechende IP fest zuweisen, schon ist derjenige im Netz und kann Unfug treiben. Zumindest soll ein fremder DHCP geblockt sein. Am Montag werde ich mal einen fremden DHCP in das VLAN einspeisen.

Gibt es vielleicht eine andere sichere Lösung?

Viele Grüße AH

[GrandDixence]

Eigene PKI aufbauen und den Zugriffsschutz auf alle frei zugänglichen Ethernet-Ports mit 802.1x realisieren. Siehe dazu:
https://www.heise.de/ratgeber/WLAN-und- ... 79513.html

https://www.lancom-systems.de/fileadmin ... ity-DE.pdf

alles-zum-lancom-wlc-4100-wlc-4025-wlc- ... 17333.html

https://www.lancom-systems.de/docs/LCOS ... Ports.html

Und bitte nicht die gleichen Fehler wie unter:
viewtopic.php?p=115364
machen.

[Aushilfsinformatiker]

Hallo, vielen Dank für das Feedback. Für WLAN läuft bereits ein WLC 4600 mit abgeschirmten PublicSport und einem eingehängten WLAN für mich zwecks Wartung.
Ich habe Authentifizierung per Ethernet über 802,1x schon bei Draytek eingerichtet. Da geht das realtiv einfach. Ich habe bei Lancom noch keine Möglichkeit gefunden, die Authentifizierung auf gewisse Ports zu beschränken. Das Handbuch zum GS2326+ ist relativ beschränkt.
Bevor ich mir das Netzwerk zerschieße, vermute ich folgende Vorgehensweise:

Router:
RADIUS-Authentifizierung/Accounting aktivieren
Benutzerdatenbank: Benutzer einrichten mit VLAN-Zuordnung
Haken bei WLAN-Stations-Tabellen herausnehmen, da nur LAN
Schnittstellen/802.1x Authenitactor für ETH-Ports aktivieren (ETH1)

Switch:
AAA/Authentication/Accounting Server Configuration enable
IP des Routers eintragen

Falls das so korrekt sein sollte, kann es Kollisionen mit dem WLC und den von ihm verwalteten AP's geben?

Viele Grüße AH

[GrandDixence]

Unter der Voraussetzung, dass der Switch LANCOM GS-2326P+ mit dem Betriebssystem LCOS SX 3.34 RU4 betrieben wird:

Gemäss der "LCOS SX 3.34 CLI Reference", Kapitel 37.10 erfolgt die 802.1x-Konfiguration der gewünschten Ethernet-Ports mit dem Befehl "port-state".

Die korrekte 802.1x-Konfiguration aller Ethernet-Ports kann gemäss "LCOS SX 3.34 CLI Reference", Kapitel 40.7 mit dem Befehl "show switch-status" eingesehen werden.

Das Dokument "LCOS SX 3.34 CLI Reference" ist über die LANCOM-Webseite:
https://www.lancom-systems.de/produkte/ ... sx-release
schwarzen Abschnitt "Dokumentation & Links" erhältlich (CLI-Referenz-Handbuch LCOS SX 3.34 (EN)).

Zum Verständnis der 802.1x-Konfiguration ist auch dieses Dokument von LANCOM zu beachten:
https://www.lancom-systems.de/fileadmin ... ity-DE.pdf

Und ja, zur Sicherheit vor jeder heiklen Konfigurationsänderung ein Konfigurationsbackup vom Switch erstellen!

Mit LCOS SX 3.34 RU3 wurde ein Mangel im Bereich der 802.1x-Funktionalität vom Hersteller LANCOM behoben. Somit sollte auf dem Switch mindestens LCOS SX 3.34 RU3 laufen!

[Aushilfsinformatiker]

Vielen Dank, die Links sind sehr hilfreich. Ich werde in einem Nebengelass am Freitag versuchen das im Kleinen zu bauen. Die Firmware der Switche sind v3.34.0101RU2.
Trotz der Trennung durch VLAN's ist es für die Netze möglich, die Netzwerkgeräte (Switch, AP, WLC) im Wartungsnetz zu erreichen. Eine Firewall-Regel würde aufgrund der Bridge nicht greifen.

Im GS2326p+ gibt es eine Option unter /Security/Access Management

Ich vermute mal, dass man dort den IP-Bereich des Wartungsnetzes eingibt und der Switch aus den anderen Netzen nicht per Webinterface nicht erreichbar oder zumindest nicht konfigurierbar ist?

Vielen Dank für das Feedback
AH

[GrandDixence]

Trotz der Trennung durch VLAN's ist es für die Netze möglich, die Netzwerkgeräte (Switch, AP, WLC) im Wartungsnetz zu erreichen. Eine Firewall-Regel würde aufgrund der Bridge nicht greifen.

"Management VLAN ID" konfigurieren, danach ist nur noch mit diesem VLAN Zugriff auf das Webinterface und/oder SSH auf den Switch möglich (=> Kapitel 25.3 der bereits bekannten CLI Reference). Siehe dazu:
https://community.sunrise.ch/d/18865-co ... nur-http/4

fragen-zur-lancom-systems-routern-und-g ... ml#p109508

Für die Konfiguration von Netzwerkkomponenten sollte aus Sicherheitsgründen immer ein dediziertes VLAN verwendet werden (Management VLAN ID).
viewtopic.php/lancom-managed-switches-f ... 19466.html

https://www.lancom-systems.de/docs/LCOS ... witch.html

[Aushilfsinformatiker]

Herzlichen Dank für die Links, das VLAN für die Wartung war schon angelegt. Dann werde ich die Zugriff nur aus diesem VLAN auf die Netzwerkgeräte nur in diesem erlauben. Zu Hause habe ich eine kleine Probiereinrichtung, in den Zugriffseinstellung des 1781wav hat es funktioniert. Falls ich mich aussperre, kann ich immer noch von Außen per LTE zugreifen und die Konfig zurückspielen.
Am Freitag mache ich dieses am WLC und den Switchen auf Arbeit.

Viele Grüße
AH

[Aushilfsinformatiker]

Hallo, bezüglich Port Security hätte ich noch eine Frage.

Wenn beispielsweise ein zugelassener angeschlossener PC die Option Mobiler Hotspot unter Windows nutzt und das LAN mit eigenem DHCP und Adressbereich für weitere Geräte per WLAN freigibt, erkennt das der Switch und blockiert?

Danke und viele Grüße

[5624]

Nein.

[Aushilfsinformatiker]

Danke für die schnelle Rückmeldung. Da benötige ich noch eine zusätzliche Lösung. Eine Authentifizierung über 802.1x würde da wohl auch nichts bringen, der zugelassene PC meldet sich an und gibt es über WLAN weiter.
Gibt es überhaupt eine praktikable Lösung, die das Tethering verhindern kann?

Danke und viele Grüße

[5624]

Das müsstest du dann auf der Betriebssystemseite suchen. Da kann das Netzwerk nichts machen.

[Aushilfsinformatiker]

Hallo, das wird schwierig, ich baue gerade das Netzwerk für das Internat. 3 Schulgebäude habe ich fertig mit allem drum und dran. Das Design für das Internat ist fertig, ich will nur verhindern, dass die älteren Jahrgänge den Jüngeren über ihr angeschlossenen Laptops einen Hotspot zukommen lassen. Geplant war, dass die älteren Jugendlichen ein eigenes VLAN durchgereicht zum WLC erhalten mit einem eigenen Schedule für das LAN (Nonstop). Die jüngeren erhalten per Hotspot ein Tagesticket in einem separaten Netzwerk. Das LAN schaltet sich bei den Jüngeren auch deutlich eher parallel zum Hotspot aus. Das ist die letzte Baustelle.

Zur Not muss ich den Schedule für das LAN für alle Jahrgänge gleich einstellen, die Unterscheidung im WLAN. Dort ist das kein Problem. Keiner wird seinen persönlichen gerätelimitierten WLAN-Zugang an die Jüngeren weitergeben.

Alternativ könnte man theoretisch den Datendurchsatz für die älteren Jahrgänge im LAN zur Nachtruhe dramatisch reduzieren, sodass der Hotspot keinen Spaß macht.

Viele Grüße