OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch (Moderator: JeGr) »
  • Nur bekannte Geräte zulassen
« previous next »
  • Print
Pages: [1] 2

Author Topic: Nur bekannte Geräte zulassen  (Read 3573 times)

emmitt

  • Newbie
  • *
  • Posts: 25
  • Karma: 0
    • View Profile
Nur bekannte Geräte zulassen
« on: November 27, 2021, 06:05:42 pm »
Hallo,

ich benötige mal Euer Fachwissen.

Für mein privates LAN nutze ich bei den kabelgebundenen Geräten statische Adressen - im privaten WLAN den DHCP-Server der opnsense. Zusätzlich habe ich noch ein zweites Netz für Gäste via VLAN auch mit DHCP.

Nun würde ich gerne im LAN den Zugriff auf die vorhandenen Geräte beschränken - also keine weiteren Geräte per DHCP (und ggfs. auch nicht per statischer Adresse) zulassen. Ich möchte damit einfach verhindern, dass ein Gast bewusst oder versehentlich sein Notebook per Kabel verbindet und dann in meinem Privatnetz ist.

Wie kann ich das lösen? Ich vermute mit der "deny unknown devices" Option in Verbindung mit ARP. Aber wie konfiguriert man das sauber?

Danke und Gruß Emmitt
Logged

micneu

  • Hero Member
  • *****
  • Posts: 1691
  • Karma: 55
    • View Profile
Re: Nur bekannte Geräte zulassen
« Reply #1 on: November 27, 2021, 06:31:00 pm »
ich bin mir nicht ganz sicher, aber wenn du einen ordentlichen switch hats kannst du das einstellen welche mac-adressen erlaubt sind (und alles andere geht dann halt nicht)
Logged
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 22.05  |
Hardware: Intel NUC BNUC11TNHV50L00 (32GB Ram, 512GB M.2 NVME SSD)

emmitt

  • Newbie
  • *
  • Posts: 25
  • Karma: 0
    • View Profile
Re: Nur bekannte Geräte zulassen
« Reply #2 on: November 27, 2021, 06:36:34 pm »
Vielen Dank für Deine Idee!  :)

Einen ordentlichen Switch habe ich, allerdings halte ich den Sicherheitsgewinn durch das Einschränken auf bekannte MAC-Adressen für sehr überschaubar. Es ist m.E. zu einfach, die MAC-Adresse eines Geräts zu ändern...
Logged

micneu

  • Hero Member
  • *****
  • Posts: 1691
  • Karma: 55
    • View Profile
Re: Nur bekannte Geräte zulassen
« Reply #3 on: November 27, 2021, 07:03:33 pm »
oder z. b. https://de.wikipedia.org/wiki/IEEE_802.1X


Gesendet von iPad mit Tapatalk Pro
Logged
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 22.05  |
Hardware: Intel NUC BNUC11TNHV50L00 (32GB Ram, 512GB M.2 NVME SSD)

emmitt

  • Newbie
  • *
  • Posts: 25
  • Karma: 0
    • View Profile
Re: Nur bekannte Geräte zulassen
« Reply #4 on: November 27, 2021, 07:36:31 pm »
Ja, das wäre in der Tat gut, aber ich würde es gerne mit der angesprochenen Funktion machen...  ;)
Logged

lfirewall1243

  • Hero Member
  • *****
  • Posts: 1358
  • Karma: 45
    • View Profile
Re: Nur bekannte Geräte zulassen
« Reply #5 on: November 27, 2021, 08:48:09 pm »
Quote from: emmitt on November 27, 2021, 07:36:31 pm
Ja, das wäre in der Tat gut, aber ich würde es gerne mit der angesprochenen Funktion machen...  ;)
Ein Gerät kann sich immer eine andere IP (statisch) vergeben, wenn du DHCP nur für hinterlegte MAC Adressen zulässt,  oder direkt die MAC Adresse ändern.

Da bleibt eigentlich nur der Vorschlag von @micneu

Gesendet von meinem M2012K11AG mit Tapatalk

Logged
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support

Mks

  • Sr. Member
  • ****
  • Posts: 259
  • Karma: 19
    • View Profile
Re: Nur bekannte Geräte zulassen
« Reply #6 on: November 27, 2021, 09:32:41 pm »
Hallo,

wenn anständig dann 802.1x mit EAP-TLS.

Aber mal ehrlich, jeder hier hat natürlich einen hohes Sicherheitsbewusstsein, aber ist das Risiko (im privaten Bereich) wirklich so hoch  oder ist es mehr aus Interesse heraus?

Am einfachsten wird sein du erschwerst den physischen Zugriff auf die Switchports und hast auf deine Gäste immer ein Auge ;).

lg
Logged

pmhausen

  • Hero Member
  • *****
  • Posts: 2502
  • Karma: 225
    • View Profile
Re: Nur bekannte Geräte zulassen
« Reply #7 on: November 27, 2021, 09:37:03 pm »
Nun, im DHCP Server nur bekannte Geräte zulassen und dann in der Firewall-Regel auf LAN nur diese bekannten Geräte  freigeben, legt die Latte schon mal recht hoch. Wenn sich da jemand einstöpselt und die IP-Adresse "fälscht", wird irgendein anderes Gerät "XY is using my IP address!" schreien.

Richtig dicht kriegt man das tatsächlich nur mit 802.1x. Das funktioniert - hab ich im WLAN-Bereich schon öfter implementiert.
Logged
Supermicro A2SDi-4C-HLN4F mainboard and SC101F chassis
16 GB ECC memory
Crucial MX300 275 GB SATA 2.5" plus
Crucial MX300 275 GB SATA M.2 (ZFS mirror)
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

lfirewall1243

  • Hero Member
  • *****
  • Posts: 1358
  • Karma: 45
    • View Profile
Re: Nur bekannte Geräte zulassen
« Reply #8 on: November 28, 2021, 07:52:03 am »
Quote from: pmhausen on November 27, 2021, 09:37:03 pm
Nun, im DHCP Server nur bekannte Geräte zulassen und dann in der Firewall-Regel auf LAN nur diese bekannten Geräte  freigeben, legt die Latte schon mal recht hoch. Wenn sich da jemand einstöpselt und die IP-Adresse "fälscht", wird irgendein anderes Gerät "XY is using my IP address!" schreien.

Richtig dicht kriegt man das tatsächlich nur mit 802.1x. Das funktioniert - hab ich im WLAN-Bereich schon öfter implementiert.
Und nicht vergessen in den Geräten das regelmäßige ändern der MAC Adresse abzuschalten

Gesendet von meinem M2012K11AG mit Tapatalk

Logged
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support

emmitt

  • Newbie
  • *
  • Posts: 25
  • Karma: 0
    • View Profile
Re: Nur bekannte Geräte zulassen
« Reply #9 on: November 28, 2021, 08:52:56 am »
Erst einmal vielen Dank für Eure Gedanken dazu.

Ich möchte es tatsächlich erst einmal zu Hause ausprobieren. Es gibt im Zimmer des Kindes eine Doppeldose (eigentlich für eigene Geräte). Diese wurde aber schon mehrfach von Gästen genutzt... Das auf "normales" Internet und Mail eingeschränkte Gast-WLAN befand man wohl als ungenügend.  ;)

Im zweiten Schritt gibt es aber auch noch einen anderen Standort (kleines Gewerbe), wo ich es später ebenfalls nutzen möchte.

Quote from: pmhausen on November 27, 2021, 09:37:03 pm
Nun, im DHCP Server nur bekannte Geräte zulassen und dann in der Firewall-Regel auf LAN nur diese bekannten Geräte  freigeben, legt die Latte schon mal recht hoch. Wenn sich da jemand einstöpselt und die IP-Adresse "fälscht", wird irgendein anderes Gerät "XY is using my IP address!" schreien.

Das kommt meiner Idee schon sehr nah. Ich dachte, dass funktioniert dann mit "Deny unknown clients" und "Enable Static ARP entries"? Oder braucht es tatsächlich noch eine zusätzliche Firewall-Regel?

Quote from: micneu on November 27, 2021, 07:03:33 pm
oder z. b. https://de.wikipedia.org/wiki/IEEE_802.1X

Gibt es dazu auch irgendwo eine Anleitung die es für die OPNsense erklärt?

Danke nochmal!
Logged

pmhausen

  • Hero Member
  • *****
  • Posts: 2502
  • Karma: 225
    • View Profile
Re: Nur bekannte Geräte zulassen
« Reply #10 on: November 28, 2021, 12:43:32 pm »
802.1x muss Dein Switch machen. Geräte von Cisco mit IOS können sowas. Die Authentifizierung läuft dann über einen RADIUS-Server.

MAC based VLANs gibt es auch noch, d.h. alle fremden Geräte landen im Gäste-Netz, gleich wo sie sich einstöpseln. Muss aber auch der Switch machen.
Logged
Supermicro A2SDi-4C-HLN4F mainboard and SC101F chassis
16 GB ECC memory
Crucial MX300 275 GB SATA 2.5" plus
Crucial MX300 275 GB SATA M.2 (ZFS mirror)
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

Mks

  • Sr. Member
  • ****
  • Posts: 259
  • Karma: 19
    • View Profile
Re: Nur bekannte Geräte zulassen
« Reply #11 on: November 28, 2021, 02:39:28 pm »
Hallo,

Quote
Ich möchte es tatsächlich erst einmal zu Hause ausprobieren. Es gibt im Zimmer des Kindes eine Doppeldose (eigentlich für eigene Geräte). Diese wurde aber schon mehrfach von Gästen genutzt ;)
Kinder in ein eigenes VLAN wo es dir egal ist ob sich jemand anschließt. Alternativ Switchports auf der Dose deaktivieren oder wie pmhausen schon geschrieben hat vorgehen, ist aber mit entsprechenden Verwaltungsaufwand verbunden.

Quote
Im zweiten Schritt gibt es aber auch noch einen anderen Standort (kleines Gewerbe), wo ich es später ebenfalls nutzen möchte.
Im gewerblichen Umfeld 802.1X wie schon geschrieben oder halt einfach im Gästebereich keine Netzwerkdosen bereitstellen. Ich kenne heute niemanden mehr der für Gäste einen LAN Anschluss per Kabel anbietet. Da gibt es WLAN und das war es.



lg
Logged

emmitt

  • Newbie
  • *
  • Posts: 25
  • Karma: 0
    • View Profile
Re: Nur bekannte Geräte zulassen
« Reply #12 on: November 28, 2021, 05:11:07 pm »
Quote from: Mks on November 28, 2021, 02:39:28 pm
Kinder in ein eigenes VLAN wo es dir egal ist ob sich jemand anschließt. Alternativ Switchports auf der Dose deaktivieren

So einfach ist es leider nicht, denn die Kinder sollen schon im eigenen Netz bleiben, um auf diverse Ressourcen zugreife zu können. Wie gesagt, ein VLAN gibt es ja schon.

Quote from: Mks on November 28, 2021, 02:39:28 pm
oder halt einfach im Gästebereich keine Netzwerkdosen bereitstellen. Ich kenne heute niemanden mehr der für Gäste einen LAN Anschluss per Kabel anbietet. Da gibt es WLAN und das war es.

Das ist bei uns auch nicht so und ich habe es auch nicht vor. Gäste sind ausschließlich im WLAN.
Allerdings gab es bereits den Fall, dass ein Mitarbeiter das Kabel von einem Client gezogen hat, um sein privates Notebook einzustecken. Wurde natürlich alles erörtert und entsprechende Regeln aufgestellt, aber technische Lösungen sind beruhigender.  ;) Da werde ich mich dann mal in die 802.1X Thematik einlesen...

Ok, ich will Euch auch nicht weiter mit meinen Fragen die Zeit rauben...

In erster Linie ging es mir eigentlich darum, ob und wie genau man die OPNsense mit den beiden genannten Funktionen (Deny unknown clients + Enable ARP Static entries) für eine private Absicherung nutzen kann.

Danke und Gruß Emmitt
Logged

fabian

  • Hero Member
  • *****
  • Posts: 2768
  • Karma: 199
  • OPNsense Contributor (Language, VPN, Proxy, etc.)
    • View Profile
    • Personal Homepage
Re: Nur bekannte Geräte zulassen
« Reply #13 on: November 29, 2021, 09:05:25 pm »
Mit 802.1x kannst du den host mit dem Login in das Kinder-VLAN stecken und wenn kein 802.1x daher kommt, kannst du das Gerät dem Gäste-VLAN zuweisen. Das würde dir auch ermöglichen, dass du dich anschließen kannst und in dein VLAN kommst.
Logged

pmhausen

  • Hero Member
  • *****
  • Posts: 2502
  • Karma: 225
    • View Profile
Re: Nur bekannte Geräte zulassen
« Reply #14 on: November 29, 2021, 09:23:12 pm »
Ich möchte noch einmal erwähnen, dass es VMPS als leichtgewichtigere Alternative zu 802.1x gibt. Ist nicht kryptografisch abgesichert, und ja, auch MAC-Adressen kann man fälschen, aber ich hab es immer wieder gerne als guten Kompromiss implementiert.

Bekannte MAC-Adressen landen in einem zugeordneten VLAN. Unbekannte MAC-Adressen landen im Gäste-VLAN oder in einem "Nirvana"-VLAN ohne jede Connectivity - je nachdem, was man will.

https://de.wikipedia.org/wiki/VMPS

FreeRADIUS kann das. Der Switch muss m.W. zwingend von Cisco sein, aber funktionieren tut das geil.
Logged
Supermicro A2SDi-4C-HLN4F mainboard and SC101F chassis
16 GB ECC memory
Crucial MX300 275 GB SATA 2.5" plus
Crucial MX300 275 GB SATA M.2 (ZFS mirror)
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

  • Print
Pages: [1] 2
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch (Moderator: JeGr) »
  • Nur bekannte Geräte zulassen
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2023 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy
    | XHTML | RSS | WAP2