Wie internes Netzwerk gegen unbekannte Geräte absichern?
Klaus1
- sonstiges
Hallo,
mal etwas, was nichts mit Webseiten und Webservern etc. zu tun hat. Ich weiß nur nicht so recht, wo ich wie nach einer Lösung suchen könnte und ich hoffe, es findet sich hier jemand, der mir die Frage beantworten kann.
Bisher verwenden wir in unserem Firmennetzwerk auf unseren Switchen Mac-Based-Authentication, um nur uns bekannte Geräte im Netzwerk zuzulassen. Bei unbekannten Geräten wird der Port auf dem Switch geschlossen. (Ja, man kann Mac-Adressen faken, aber es ist eine erste Hürde)
Mittlerweile haben wir aber immer mehr USB-C Dockingstations, die logischerweise am Arbeitsplatz bleiben. Da diese eine eigene Mac-Adresse haben und ein angeschlossenes Notebook nur über die Mac der Dockingstation kommuniziert, können so auch wieder einfach unbekannte Fremdgeräte genutzt werden.
Wie kann ich zukünftig wieder nur uns bekannte Geräte im Netzwerk zulassen, inklusive der an USB-C-Docks angeschlossenen Geräte?
Würde das über ein Zertifikatsbasierten Ansatz funktionieren? Also jedes eigene Gerät bekommt ein eigenes Zertifikat installiert und dieses authentifiert dann das Gerät? Wie funktioniert das dann mit den USB-C-Docks? Erst wenn ein Gerät mit gültigem Zertifikat angeschlossen wird, wird der Port geöffnet?
Gibt es da ausführliche Anleitungen zur Umsetzung? Einsetzbar wäre bei uns eine Cisco ISE, aber auch gerne ein FreeRadius. Die Switche sind auch alle von Cisco.
Ich verstehe im Moment noch nicht, wie die Kommunikation zwischen Client, Radius und Layer2-Switch funktioniert, sodass der Port vom Switch geöffnet oder geschlossen wird (oder in ein spezielles VLAN z.B. für Gäste packt).
LG Klaus
Hilft Dir https://de.wikipedia.org/wiki/IEEE_802.1X weiter?
Leider nicht so richtig.
Einige Geräte können kein IEEE 802.1X, da hilft dann wohl maximal wieder ein Fallback auf Mac-based. Und die Sicherheitslücke bei mehreren Geräten pro Anschluss ist ja dann auch wieder ein neues Problem. Die Mac-based-Authentication kann ich wenigstens so konfigurieren, dass ein unbekanntes Gerät am Port ausreicht, um diesen zu blockieren.
Also möglicherweise eine Kombination aus beidem? 802.1X und Mac-based?
Ich hab allerdings auch noch nicht so ganz verstanden, was 802.1X bedeutet, bzw. was das für Credentials sind, die der Supplicant an den Authenticator übermittelt. Und wie das über die Kommunikation über einen Layer2-Switch realisiert wird, der ja prinzipiell nur Mac-Adressen versteht. Credentials interpretiere ich irgendwo zwischen Layer5 und Layer7.
Ich hab allerdings auch noch nicht so ganz verstanden, was 802.1X bedeutet, bzw. was das für Credentials sind, die der Supplicant an den Authenticator übermittelt.
Im Kern ist das wie beim WLAN. (Enterprise-Mode).
Das EK schreibt aber auch:
Eine höhere Sicherheit erreicht man nur durch den Einsatz zusätzlicher Zertifikate über EAP-TLS. Hierbei identifizieren sich RADIUS-Server und Client gegenseitig. Der dafür notwendige Einrichtungsaufwand sollte nicht unterschätzt werden. Selbst große Unternehmen betreiben diesen Aufwand nicht.
Nicht nur deshalb würde ich vorher überlegen, ob es nicht einfacher ist, sich durchweg verschlüsselter Protokolle + Authentifizierung zu bedienen, denn das bleibt sowieso notwendig.
Das EK schreibt aber auch:
Eine höhere Sicherheit erreicht man nur durch den Einsatz zusätzlicher Zertifikate über EAP-TLS. Hierbei identifizieren sich RADIUS-Server und Client gegenseitig. Der dafür notwendige Einrichtungsaufwand sollte nicht unterschätzt werden. Selbst große Unternehmen betreiben diesen Aufwand nicht.
Nicht nur deshalb würde ich vorher überlegen, ob es nicht einfacher ist, sich durchweg verschlüsselter Protokolle + Authentifizierung zu bedienen, denn das bleibt sowieso notwendig.
Ich finde es für mich etwas verwirrend, wenn ein Client im LAN so wie im WLAN authentifiziert. 😉 Und irritierend, dass der Aufwand so groß ist.
Natürlich verwenden wir auch verschlüsselte Protokolle und sichere Authentifizierungen (Passwörter mind. 12 Zeichen, Zwangswechsel alle 90 Tage, z.T. 2FA) und alle Abteilungen und auch Drucker separat sind in eigenen VLANs.
Aber wir wollen bereits vorher alle unbekannten Geräte aussperren. Das haben wir bisher eben mit Mac-Based-Authentication gemacht. Jedes kommunizierende Netzwerkgerät hat eine eigene Mac-Adresse. Diese muss bei uns hinterlegt sein, sowohl auf dem Radius-Server, als auch auf dem DHCP-Server. Leider gibt es immer mehr Geräte, wo das so nicht mehr funktioniert. Angefangen bei den Surface-Docks, aber da waren die Anschlüsse noch ziemlich speziell. Aber mit den USB-C-Docks kann nun jeder Fremde einfach sein Gerät anschließen, erhält Zugriff ins Netz und kann von dort mitsniffen etc.
Wir sind da ein gebranntes Kind, es hat mal ein externer Dienstleister das Netzkabel eines Druckers in sein Notebook gesteckt und damit einen Virus in unser Netz übertragen, der alle Windows-Geräte und Server über eine damalige Sicherheitslücke infiziert hatte. Wenn jetzt wieder ein solcher Dienstleister sein Notebook an eine USB-C-Dock oder an einen Drucker-Port anschließt, ist so etwas wieder nicht mehr auszuschließen.
Wir sind da ein gebranntes Kind, es hat mal ein externer Dienstleister das Netzkabel eines Druckers in sein Notebook gesteckt und damit einen Virus in unser Netz übertragen,
Nur durch den Anschluss? Das bezweifle ich. Ich nehme an, der Anschluss und die erfolgreiche Aufnahme ins Netz (TCP/IP) war nur der erste Schritt und es wurde sodann von einer Freigabe dieses Notebooks über irgendein Anwendungsprotokoll (cifs/http[s]) mindestens eine Datei abgeholt.
Mac-Based-Authentication ... Leider gibt es immer mehr Geräte, wo das so nicht mehr funktioniert.
Ja. Manche Geräte haben eine fixe (aber änderbare) MAC-Adresse und manche wechseln diese (aus Gründen des Datenschutzes) bei jeder neuen Verbindung. Ich muss mich aber mit Windows-Zeug nicht soweit auskennen, dass ich wüsste, ob das Surface-Zeug auch bei LAN-Verbindungen via USB die Mac-Adresse zufällig auswählt.
Wir sind da ein gebranntes Kind, es hat mal ein externer Dienstleister das Netzkabel eines Druckers in sein Notebook gesteckt
Auch sowas muss bedacht werden. Wenn Ihr das Netz vermeintlich „dicht“ macht und dann ein Dienstleister kommt, für dessen Arbeit es notwendig ist, dass er ein Gerät ins Netz bringt, dann wird er - so oder so - ein Loch in Eure Brandmauer bohren.
Ich selbst erlebe es immer wieder, dass ich bei Schulungen / Trainings / Seminaren / Kursen Netze vorfinde, die per se erstmal die Schulung unmöglich machen, z.B. eine Verbindung der Teilnehmerrechner zu meinem Rechner verbieten… Es erfordert manchmal viel Grips und ein „längst nicht jedem gefallendes Vorgehen“ um dann den Teilnehmern z.B. Dateien zur Verfügung zu stellen. Und manchmal halt nur einen USB-Stick.
Da wir gerade dabei sind: IPv6 habt ihr im Griff oder gibt es da ein nicht gemanagtes Schattennetz?
Wir sind da ein gebranntes Kind, es hat mal ein externer Dienstleister das Netzkabel eines Druckers in sein Notebook gesteckt und damit einen Virus in unser Netz übertragen,
Nur durch den Anschluss? Das bezweifle ich. Ich nehme an, der Anschluss und die erfolgreiche Aufnahme ins Netz (TCP/IP) war nur der erste Schritt und es wurde sodann von einer Freigabe dieses Notebooks über irgendein Anwendungsprotokoll (cifs/http[s]) mindestens eine Datei abgeholt.
Tatsächlich nur durchs "im Netz sein". Ich meine der Wurm hieß "conficker", war so um 2008, also schon eine Weile her und hat sich durch ein Sicherheitsloch auf alle Windows-Systeme eingeschlichen. Damals hatten wir aber auch auf jedem PC und Server einen Admin-Zugang mit identischem Passwort.
Mac-Based-Authentication ... Leider gibt es immer mehr Geräte, wo das so nicht mehr funktioniert.
Ja. Manche Geräte haben eine fixe (aber änderbare) MAC-Adresse und manche wechseln diese (aus Gründen des Datenschutzes) bei jeder neuen Verbindung. Ich muss mich aber mit Windows-Zeug nicht soweit auskennen, dass ich wüsste, ob das Surface-Zeug auch bei LAN-Verbindungen via USB die Mac-Adresse zufällig auswählt.
Das mit dem automatischen Wechsel (bspw. iPhones) kann man auch ausschalten. Unsere eigenen Geräte verwenden immer eine feste Mac, über die der Port freigeschaltet wird und über die sie eine feste IP über DHCP zugewiesen bekommen.
Wir sind da ein gebranntes Kind, es hat mal ein externer Dienstleister das Netzkabel eines Druckers in sein Notebook gesteckt
Auch sowas muss bedacht werden. Wenn Ihr das Netz vermeintlich „dicht“ macht und dann ein Dienstleister kommt, für dessen Arbeit es notwendig ist, dass er ein Gerät ins Netz bringt, dann wird er - so oder so - ein Loch in Eure Brandmauer bohren.
Das steht leider außer Frage. Möglichkeiten gibt es immer. Auch die Mac-Adresse lässt sich recht leicht spoofen. Aber es ist ein erstes Hindernis.
Ich selbst erlebe es immer wieder, dass ich bei Schulungen / Trainings / Seminaren / Kursen Netze vorfinde, die per se erstmal die Schulung unmöglich machen, z.B. eine Verbindung der Teilnehmerrechner zu meinem Rechner verbieten… Es erfordert manchmal viel Grips und ein „längst nicht jedem gefallendes Vorgehen“ um dann den Teilnehmern z.B. Dateien zur Verfügung zu stellen. Und manchmal halt nur einen USB-Stick.
Bei uns müssen solche Termine vorher angekündigt sein, dann erhält der Trainer entsprechende Zugänge, zumeist über ein Gäste-WLAN oder -LAN. Zur Not dann mit weiter mit VPN.
Da wir gerade dabei sind: IPv6 habt ihr im Griff oder gibt es da ein nicht gemanagtes Schattennetz?
IPv6 ist bei uns aktuell komplett abgeschaltet. Verursachte vorher auch die aberwitzigsten ungewollten Phänomene, z.B. Ping auf Domain findet keine IP, aber nslookup funktioniert problemlos. Im Moment ist die Firewall die einzige, die noch IPv6 versteht.
Einige Geräte können kein IEEE 802.1X,
Tja. Dann gehören die in ein eigenes Netz. Genauer in eine DMZ und also „paranoid“ abgeschirmt: Keine oder nur sorgfältig ausgewählte Requests (z.B. HTTP[s] zu bestimmten Hosts für Firmware-Updates) nach außen. Dito von außen… und auch untereinander!
Sollten das Drucker sein, dann kann man die auch via USB anbinden(¹): Raspi mit minimalem Linux dran kleben, der dann, CUPS und Samba machen es möglich, als Druckserver arbeitet. Netzwerk-Konfiguration? Netplan kann z.B. IEEE 802.1x. ufw kann die Firewall steuern.
¹) Für andere Geräte ist ein ähnliches Vorgehen sicherlich möglich…
Für alle die es interessieren sollte. Wir haben herausgefunden, dass man bei Notebooks im Bios ein "Passthrough" aktivieren kann. Damit bekommt die Dockingstation dieselbe Mac-Adresse. Die Mac-Adresse der Dockingstation selber wird bei uns dann nicht als erlaubtes Device aufgenommen und Fremdgeräte können weder die eigene (wenn Passthrough ebenfalls aktiviert) noch die der Dockingstation verwenden, um einfach in unser Netz zu kommen. Damit läuft erstmal alles wie bisher. Dennoch werden wir uns 802.1X mal genauer anschauen und eventuell zusätzlich aktivieren.
LG Klaus