OPNsense Forum

International Forums => German - Deutsch => Topic started by: emmitt on November 27, 2021, 06:05:42 pm

Title: Nur bekannte Geräte zulassen
Post by: emmitt on November 27, 2021, 06:05:42 pm
Hallo,

ich benötige mal Euer Fachwissen.

Für mein privates LAN nutze ich bei den kabelgebundenen Geräten statische Adressen - im privaten WLAN den DHCP-Server der opnsense. Zusätzlich habe ich noch ein zweites Netz für Gäste via VLAN auch mit DHCP.

Nun würde ich gerne im LAN den Zugriff auf die vorhandenen Geräte beschränken - also keine weiteren Geräte per DHCP (und ggfs. auch nicht per statischer Adresse) zulassen. Ich möchte damit einfach verhindern, dass ein Gast bewusst oder versehentlich sein Notebook per Kabel verbindet und dann in meinem Privatnetz ist.

Wie kann ich das lösen? Ich vermute mit der "deny unknown devices" Option in Verbindung mit ARP. Aber wie konfiguriert man das sauber?

Danke und Gruß Emmitt
Title: Re: Nur bekannte Geräte zulassen
Post by: micneu on November 27, 2021, 06:31:00 pm
ich bin mir nicht ganz sicher, aber wenn du einen ordentlichen switch hats kannst du das einstellen welche mac-adressen erlaubt sind (und alles andere geht dann halt nicht)
Title: Re: Nur bekannte Geräte zulassen
Post by: emmitt on November 27, 2021, 06:36:34 pm
Vielen Dank für Deine Idee!  :)

Einen ordentlichen Switch habe ich, allerdings halte ich den Sicherheitsgewinn durch das Einschränken auf bekannte MAC-Adressen für sehr überschaubar. Es ist m.E. zu einfach, die MAC-Adresse eines Geräts zu ändern...
Title: Re: Nur bekannte Geräte zulassen
Post by: micneu on November 27, 2021, 07:03:33 pm
oder z. b. https://de.wikipedia.org/wiki/IEEE_802.1X


Gesendet von iPad mit Tapatalk Pro
Title: Re: Nur bekannte Geräte zulassen
Post by: emmitt on November 27, 2021, 07:36:31 pm
Ja, das wäre in der Tat gut, aber ich würde es gerne mit der angesprochenen Funktion machen...  ;)
Title: Re: Nur bekannte Geräte zulassen
Post by: lfirewall1243 on November 27, 2021, 08:48:09 pm
Ja, das wäre in der Tat gut, aber ich würde es gerne mit der angesprochenen Funktion machen...  ;)
Ein Gerät kann sich immer eine andere IP (statisch) vergeben, wenn du DHCP nur für hinterlegte MAC Adressen zulässt,  oder direkt die MAC Adresse ändern.

Da bleibt eigentlich nur der Vorschlag von @micneu

Gesendet von meinem M2012K11AG mit Tapatalk

Title: Re: Nur bekannte Geräte zulassen
Post by: Mks on November 27, 2021, 09:32:41 pm
Hallo,

wenn anständig dann 802.1x mit EAP-TLS.

Aber mal ehrlich, jeder hier hat natürlich einen hohes Sicherheitsbewusstsein, aber ist das Risiko (im privaten Bereich) wirklich so hoch  oder ist es mehr aus Interesse heraus?

Am einfachsten wird sein du erschwerst den physischen Zugriff auf die Switchports und hast auf deine Gäste immer ein Auge ;).

lg
Title: Re: Nur bekannte Geräte zulassen
Post by: pmhausen on November 27, 2021, 09:37:03 pm
Nun, im DHCP Server nur bekannte Geräte zulassen und dann in der Firewall-Regel auf LAN nur diese bekannten Geräte  freigeben, legt die Latte schon mal recht hoch. Wenn sich da jemand einstöpselt und die IP-Adresse "fälscht", wird irgendein anderes Gerät "XY is using my IP address!" schreien.

Richtig dicht kriegt man das tatsächlich nur mit 802.1x. Das funktioniert - hab ich im WLAN-Bereich schon öfter implementiert.
Title: Re: Nur bekannte Geräte zulassen
Post by: lfirewall1243 on November 28, 2021, 07:52:03 am
Nun, im DHCP Server nur bekannte Geräte zulassen und dann in der Firewall-Regel auf LAN nur diese bekannten Geräte  freigeben, legt die Latte schon mal recht hoch. Wenn sich da jemand einstöpselt und die IP-Adresse "fälscht", wird irgendein anderes Gerät "XY is using my IP address!" schreien.

Richtig dicht kriegt man das tatsächlich nur mit 802.1x. Das funktioniert - hab ich im WLAN-Bereich schon öfter implementiert.
Und nicht vergessen in den Geräten das regelmäßige ändern der MAC Adresse abzuschalten

Gesendet von meinem M2012K11AG mit Tapatalk

Title: Re: Nur bekannte Geräte zulassen
Post by: emmitt on November 28, 2021, 08:52:56 am
Erst einmal vielen Dank für Eure Gedanken dazu.

Ich möchte es tatsächlich erst einmal zu Hause ausprobieren. Es gibt im Zimmer des Kindes eine Doppeldose (eigentlich für eigene Geräte). Diese wurde aber schon mehrfach von Gästen genutzt... Das auf "normales" Internet und Mail eingeschränkte Gast-WLAN befand man wohl als ungenügend.  ;)

Im zweiten Schritt gibt es aber auch noch einen anderen Standort (kleines Gewerbe), wo ich es später ebenfalls nutzen möchte.

Nun, im DHCP Server nur bekannte Geräte zulassen und dann in der Firewall-Regel auf LAN nur diese bekannten Geräte  freigeben, legt die Latte schon mal recht hoch. Wenn sich da jemand einstöpselt und die IP-Adresse "fälscht", wird irgendein anderes Gerät "XY is using my IP address!" schreien.

Das kommt meiner Idee schon sehr nah. Ich dachte, dass funktioniert dann mit "Deny unknown clients" und "Enable Static ARP entries"? Oder braucht es tatsächlich noch eine zusätzliche Firewall-Regel?

oder z. b. https://de.wikipedia.org/wiki/IEEE_802.1X

Gibt es dazu auch irgendwo eine Anleitung die es für die OPNsense erklärt?

Danke nochmal!
Title: Re: Nur bekannte Geräte zulassen
Post by: pmhausen on November 28, 2021, 12:43:32 pm
802.1x muss Dein Switch machen. Geräte von Cisco mit IOS können sowas. Die Authentifizierung läuft dann über einen RADIUS-Server.

MAC based VLANs gibt es auch noch, d.h. alle fremden Geräte landen im Gäste-Netz, gleich wo sie sich einstöpseln. Muss aber auch der Switch machen.
Title: Re: Nur bekannte Geräte zulassen
Post by: Mks on November 28, 2021, 02:39:28 pm
Hallo,

Quote
Ich möchte es tatsächlich erst einmal zu Hause ausprobieren. Es gibt im Zimmer des Kindes eine Doppeldose (eigentlich für eigene Geräte). Diese wurde aber schon mehrfach von Gästen genutzt ;)
Kinder in ein eigenes VLAN wo es dir egal ist ob sich jemand anschließt. Alternativ Switchports auf der Dose deaktivieren oder wie pmhausen schon geschrieben hat vorgehen, ist aber mit entsprechenden Verwaltungsaufwand verbunden.

Quote
Im zweiten Schritt gibt es aber auch noch einen anderen Standort (kleines Gewerbe), wo ich es später ebenfalls nutzen möchte.
Im gewerblichen Umfeld 802.1X wie schon geschrieben oder halt einfach im Gästebereich keine Netzwerkdosen bereitstellen. Ich kenne heute niemanden mehr der für Gäste einen LAN Anschluss per Kabel anbietet. Da gibt es WLAN und das war es.



lg
Title: Re: Nur bekannte Geräte zulassen
Post by: emmitt on November 28, 2021, 05:11:07 pm
Kinder in ein eigenes VLAN wo es dir egal ist ob sich jemand anschließt. Alternativ Switchports auf der Dose deaktivieren

So einfach ist es leider nicht, denn die Kinder sollen schon im eigenen Netz bleiben, um auf diverse Ressourcen zugreife zu können. Wie gesagt, ein VLAN gibt es ja schon.

oder halt einfach im Gästebereich keine Netzwerkdosen bereitstellen. Ich kenne heute niemanden mehr der für Gäste einen LAN Anschluss per Kabel anbietet. Da gibt es WLAN und das war es.

Das ist bei uns auch nicht so und ich habe es auch nicht vor. Gäste sind ausschließlich im WLAN.
Allerdings gab es bereits den Fall, dass ein Mitarbeiter das Kabel von einem Client gezogen hat, um sein privates Notebook einzustecken. Wurde natürlich alles erörtert und entsprechende Regeln aufgestellt, aber technische Lösungen sind beruhigender.  ;) Da werde ich mich dann mal in die 802.1X Thematik einlesen...

Ok, ich will Euch auch nicht weiter mit meinen Fragen die Zeit rauben...

In erster Linie ging es mir eigentlich darum, ob und wie genau man die OPNsense mit den beiden genannten Funktionen (Deny unknown clients + Enable ARP Static entries) für eine private Absicherung nutzen kann.

Danke und Gruß Emmitt
Title: Re: Nur bekannte Geräte zulassen
Post by: fabian on November 29, 2021, 09:05:25 pm
Mit 802.1x kannst du den host mit dem Login in das Kinder-VLAN stecken und wenn kein 802.1x daher kommt, kannst du das Gerät dem Gäste-VLAN zuweisen. Das würde dir auch ermöglichen, dass du dich anschließen kannst und in dein VLAN kommst.
Title: Re: Nur bekannte Geräte zulassen
Post by: pmhausen on November 29, 2021, 09:23:12 pm
Ich möchte noch einmal erwähnen, dass es VMPS als leichtgewichtigere Alternative zu 802.1x gibt. Ist nicht kryptografisch abgesichert, und ja, auch MAC-Adressen kann man fälschen, aber ich hab es immer wieder gerne als guten Kompromiss implementiert.

Bekannte MAC-Adressen landen in einem zugeordneten VLAN. Unbekannte MAC-Adressen landen im Gäste-VLAN oder in einem "Nirvana"-VLAN ohne jede Connectivity - je nachdem, was man will.

https://de.wikipedia.org/wiki/VMPS

FreeRADIUS kann das. Der Switch muss m.W. zwingend von Cisco sein, aber funktionieren tut das geil.
Title: Re: Nur bekannte Geräte zulassen
Post by: fabian on November 29, 2021, 10:28:09 pm
Auch MAC-Adressen funktionieren mit FreeRadius.
Title: Re: Nur bekannte Geräte zulassen
Post by: pmhausen on November 29, 2021, 10:43:05 pm
Auch MAC-Adressen funktionieren mit FreeRadius.
Und dann? Was machst Du dann mit den MAC-Adressen? Daher mein Hinweis bezgl. VMPS. RADIUS macht Dir die Authentifizierung und Autorisierung. Aber dann muss da immer noch irgendein Gerät eine Policy durchsetzen, z.B. ein Switch. Die OPNsense als Layer3-Gerät kann so etwas prinzipiell nicht. Also sie kann Geräten anhand der MAC-Adresse den Zugriff auf irgendwelche Ziele verweigern. Aber sie kann die Geräte nicht komplett aus dem LAN raushalten. Dazu braucht es Dinge wie 802.1x oder VPMS.
Title: Re: Nur bekannte Geräte zulassen
Post by: KHE on November 29, 2021, 11:19:57 pm
Die meisten Switche die 802.1x beherrschen, können mit einem Radius-Server auch MAC-Authentication was im Endeffekt dann nichts anderes als VPMS ist.

Und der OP meinte er hätte einen ordentlichen Switch. Sollte also umsetzbar sein.

Gruß
KH
Title: Re: Nur bekannte Geräte zulassen
Post by: pmhausen on November 29, 2021, 11:36:24 pm
Die meisten Switche die 802.1x beherrschen, können mit einem Radius-Server auch MAC-Authentication was im Endeffekt dann nichts anderes als VPMS ist.
Und der OP meinte er hätte einen ordentlichen Switch. Sollte also umsetzbar sein.
Bestreite ich ja nicht. @fabian schrieb, FreeRADIUS könne MAC-Adressen, als sei das bereits die komplette Lösung. Leider fängt da der Spaß erst an  ;)