OPNsense Forum
International Forums => German - Deutsch => Topic started by: you on January 23, 2018, 09:04:15 am
-
Wir haben hier in jedem Zimmer LAN Dosen an der Wand. Der Hausanschlussraum ist kein Hochsicherheitsraum, mithin für jeden zugänglich. Damit steht es jedem frei, ein Gerät via LAN-Kabel anzukoppeln. Ändern lässt sich das nicht, wäre fürs Heim auch nicht gewollt.
Gegenwärtig fahre ich quasi Clientless, Zugriffe werden ausschliesslich über IPs gemanaged, User müssen sich nicht anmelden. Und eine DHCP Guest-Range bietet ja nur so lange "Sicherheit", bis ein "findiger" Anwender sich selbst eine IP gibt. Und, wenn er/sie dann auch noch meine Admin-IP erwischt, kann ein Zugriff auf kritische Bereiche, außer durch entsprechend starke Passwörter für die darin erreichbaren Dienste, im Prinzip nicht mehr verhindert werden. Auch ließen sich so WebFiltering Profile umgehen.
Was bei WLAN noch einfach zu managen geht (Zugang nur über WPA2-Passwort) ist bei mit OPNSense für LAN-Bereiche über welchen Weg "analog" gestaltbar?
Ich bin für Ideen dankbar :)
-
Es gibt auch technisch kompliziertere Wege, aber warum nicht die ungenutzten/unsicheren Dosen abklemmen am Switch?
Man kann die ungenutzten/unsicheren Dosen auch in ein Gäste-LAN setzen, welches dann keinen Zugriff auf das eigentliche sensitive LAN hat, nur Internet... Mit einem VLAN ist das möglich, oder einem separaten Switch wenn keine Segmentierung mit dem vorhandenen Switch möglich ist.
Grüsse
Franco
-
Die Infrastruktur will ich der Einfachheit halber nicht antasten.
Wenn Frau dann doch mal in ein anderes Zimmer geht, und die Dose dann am Switch nicht gepatcht ist, gibt es Ärger :D ... Außerdem habe ich immer Doppeldosen. Und wenn da bspw. links ein AppleTV steckt und rechts frei ist. Dann wäre AppleTV ans LAN angeschlossen und rechts nicht. Da steckt der Gast dann einfach um. Nicht zuletzt bleibt auch der Hausanschlussraum ... da wird dann einfach ein Kabel an den Switch gelugged.
VLAN scheidet hier aus. Meine Switches sind diesbezüglich doof. Ich will ehrlich gesagt auch nicht noch mehr Komplexität in die Infrastruktur bringen.
Ich lese mich gerade ins Captive Portal ein. Mein Ziel ist, das für die Familie so transparent wie möglich zu gestalten, aber dennoch am Nutzer festmachen zu können, wer was machen darf.
-
Die Infrastruktur will ich der Einfachheit halber nicht antasten.
Die Quadratur des Kreises: Sicherheit ohne Aufwand! ;D
Mal im Ernst, ohne etwas Aufwand geht es halt nicht, wenn man Sicherheit haben will.
Ein relativ einfacher Weg, wäre einen vernünftigen Managed Switch mit ACL's anhand der MAC-Adressen zu verwenden. Je nach Konfiguration kannst Du damit sogar eine 1zu1 Beziehung Port/Gerät aufbauen, damit ein einfaches umstöpseln auf einen anderen Port nichts bringt. Wenn ein unbekanntes Gerät kommt, wird der Port dann einfach deaktiviert. :)
Kenn ich so im Bereich der Krankenhaus-IT.
Wie man so etwas dann Frauenkompatibel bekommt weiß ich aber auch nicht! ;)
Gruß
Dirk
-
Wie man so etwas dann Frauenkompatibel bekommt weiß ich aber auch nicht! ;)
:) ... in der Tat!
Den Aufwand scheue ich nicht. Habe aber bzgl. MAC Adressen gelesen, dass diese in wenigen Minuten ermittelt werden können (spoofing?). Deswegen war meine Annahme, dass eine Regelung über User (Captive Portal) am Ende besser ist? Ggf über 2FA?
Ich denke ich lese erst noch mal ein bissl mehr zum Captive Portal und melde mich, wenn ich eine Idee bzw. Fragen diesbezüglich habe hier noch mal.
BTW: Ich habe keine Paranoia. Aber das Thema ist per se interessant ... und so ein Puzzle hilft die Grauen in Gang zu halten ;)
-
Wobei zum Spoofing der MAC der Netzwerktraffic auch erstmal analysiert werden muss. Per Kabel geht dass dann ja nicht mehr, da der Port sofort Offline geht, wenn ein unbekanntes Device angestöpselt wird.
Wobei ein 'Profi' sich ja bereits vor dem anstöpseln eine MAC besorgen kann. Die MAC steht ja bei vielen Geräten draußen am Gehäuse...
-
Die Sicherheit die du möchtest um „Profis“ abzuhalten gibts nicht in einfach.
Kauf dir einen Managed Switch der 802.1x kann. Damit könntest du dann „echte“ Clients authentifiziert ins Netz lassen.
Jetzt aber der doofe Teil. Das können AppleTvs Spielekonsolen etc. aber alle nicht.
Du könntest für diese dann ein GastVLan machen ....
Aber die Komplexität wird ungemein mehr. Und du hast auch das Problem das du evtl. nicht mehr auf deine Infrastruktur zugreifen kannst wenn der Radiusserver ausfällt.
Du musst dich da also entscheiden was du willst. MAC Adressen basierte VLans sind da glaube ich noch das einfachste.
Captiveportal blockiert auch nur Mac oder Ip wen nicht geauthed. Da hilft dir auch kein 2fa
-
Dank Euch allen !
Wie ich bereits sagte, schaue ich mir das Ganze mehr so aus Neugierde an. Und wenn es einen überschaubaren Weg gibt, da was zu sichern, dann mache ich das. Aber ich werde keine weitere Komplexität in die Infrastruktur daheim rein bringen. Sooo wichtig sind wir dann nu auch nicht ;)
Am Ende sichere ich die Server durch geeignete Passwörter ggf. Zertifikate (auch ein schönes Puzzle :) ). Die WLANs sind eh gesichert. Und wenn die Kiddies im Haus Pornos schauen wollen, dann wird es ihnen auch gelingen. Nicht heute, mit 10. Aber mit 15 wissen die wahrscheinlich besser, wie sie Webfiltering dann doch leicht umgehen können :) ... Da hilft am Ende nur Erziehung, Offenheit, Aufklärung und Vertrauen.
-
Und wenn die Kiddies im Haus Pornos schauen wollen, dann wird es ihnen auch gelingen. Nicht heute, mit 10. Aber mit 15 wissen die wahrscheinlich besser, wie sie Webfiltering dann doch leicht umgehen können :) ... Da hilft am Ende nur Erziehung, Offenheit, Aufklärung und Vertrauen.
Sollen Sie doch Porno's schauen. Das die Generation (mindestens die 8) ) vor Ihnen auch schon gemacht. Und da gab es noch nicht mal Internet. ;) Da hat halt der große Bruder des Kumpels ausgeholfen um uns die Werke von Teresa Orlowski usw. näher zu bringen. ;D Sperren sind ungefähr genau so wirksam wie Verbote gegen Komasaufen.
Das gehört 'Alles' irgendwie zum 'Erwachsenwerden' dazu. Wichtig ist halt, dass man mit Seinen Kindern offen darüber spricht und Ihnen genau erklärt, dass Pornografie nix mit Liebe zu tun hat!!!
-
Teresa O. und VHS Video-Kassetten (!!!) ... wow ... that reminds me