Nur bekannte Geräte zulassen

[emmitt]

Hallo,

ich benötige mal Euer Fachwissen.

Für mein privates LAN nutze ich bei den kabelgebundenen Geräten statische Adressen - im privaten WLAN den DHCP-Server der opnsense. Zusätzlich habe ich noch ein zweites Netz für Gäste via VLAN auch mit DHCP.

Nun würde ich gerne im LAN den Zugriff auf die vorhandenen Geräte beschränken - also keine weiteren Geräte per DHCP (und ggfs. auch nicht per statischer Adresse) zulassen. Ich möchte damit einfach verhindern, dass ein Gast bewusst oder versehentlich sein Notebook per Kabel verbindet und dann in meinem Privatnetz ist.

Wie kann ich das lösen? Ich vermute mit der "deny unknown devices" Option in Verbindung mit ARP. Aber wie konfiguriert man das sauber?

Danke und Gruß Emmitt

[micneu]

ich bin mir nicht ganz sicher, aber wenn du einen ordentlichen switch hats kannst du das einstellen welche mac-adressen erlaubt sind (und alles andere geht dann halt nicht)

[emmitt]

Vielen Dank für Deine Idee! 

Einen ordentlichen Switch habe ich, allerdings halte ich den Sicherheitsgewinn durch das Einschränken auf bekannte MAC-Adressen für sehr überschaubar. Es ist m.E. zu einfach, die MAC-Adresse eines Geräts zu ändern...

[micneu]

oder z. b. https://de.wikipedia.org/wiki/IEEE_802.1X


Gesendet von iPad mit Tapatalk Pro

[emmitt]

Ja, das wäre in der Tat gut, aber ich würde es gerne mit der angesprochenen Funktion machen... 

[lfirewall1243]

Ja, das wäre in der Tat gut, aber ich würde es gerne mit der angesprochenen Funktion machen... 

Ein Gerät kann sich immer eine andere IP (statisch) vergeben, wenn du DHCP nur für hinterlegte MAC Adressen zulässt,  oder direkt die MAC Adresse ändern.

Da bleibt eigentlich nur der Vorschlag von @micneu

Gesendet von meinem M2012K11AG mit Tapatalk

[Mks]

Hallo,

wenn anständig dann 802.1x mit EAP-TLS.

Aber mal ehrlich, jeder hier hat natürlich einen hohes Sicherheitsbewusstsein, aber ist das Risiko (im privaten Bereich) wirklich so hoch  oder ist es mehr aus Interesse heraus?

Am einfachsten wird sein du erschwerst den physischen Zugriff auf die Switchports und hast auf deine Gäste immer ein Auge .

lg

[Patrick M. Hausen]

Nun, im DHCP Server nur bekannte Geräte zulassen und dann in der Firewall-Regel auf LAN nur diese bekannten Geräte  freigeben, legt die Latte schon mal recht hoch. Wenn sich da jemand einstöpselt und die IP-Adresse "fälscht", wird irgendein anderes Gerät "XY is using my IP address!" schreien.

Richtig dicht kriegt man das tatsächlich nur mit 802.1x. Das funktioniert - hab ich im WLAN-Bereich schon öfter implementiert.

[lfirewall1243]

Nun, im DHCP Server nur bekannte Geräte zulassen und dann in der Firewall-Regel auf LAN nur diese bekannten Geräte  freigeben, legt die Latte schon mal recht hoch. Wenn sich da jemand einstöpselt und die IP-Adresse "fälscht", wird irgendein anderes Gerät "XY is using my IP address!" schreien.

Richtig dicht kriegt man das tatsächlich nur mit 802.1x. Das funktioniert - hab ich im WLAN-Bereich schon öfter implementiert.

Und nicht vergessen in den Geräten das regelmäßige ändern der MAC Adresse abzuschalten

Gesendet von meinem M2012K11AG mit Tapatalk

[emmitt]

Erst einmal vielen Dank für Eure Gedanken dazu.

Ich möchte es tatsächlich erst einmal zu Hause ausprobieren. Es gibt im Zimmer des Kindes eine Doppeldose (eigentlich für eigene Geräte). Diese wurde aber schon mehrfach von Gästen genutzt... Das auf "normales" Internet und Mail eingeschränkte Gast-WLAN befand man wohl als ungenügend. 

Im zweiten Schritt gibt es aber auch noch einen anderen Standort (kleines Gewerbe), wo ich es später ebenfalls nutzen möchte.

Nun, im DHCP Server nur bekannte Geräte zulassen und dann in der Firewall-Regel auf LAN nur diese bekannten Geräte  freigeben, legt die Latte schon mal recht hoch. Wenn sich da jemand einstöpselt und die IP-Adresse "fälscht", wird irgendein anderes Gerät "XY is using my IP address!" schreien.

Das kommt meiner Idee schon sehr nah. Ich dachte, dass funktioniert dann mit "Deny unknown clients" und "Enable Static ARP entries"? Oder braucht es tatsächlich noch eine zusätzliche Firewall-Regel?

oder z. b. https://de.wikipedia.org/wiki/IEEE_802.1X

Gibt es dazu auch irgendwo eine Anleitung die es für die OPNsense erklärt?

Danke nochmal!

[Patrick M. Hausen]

802.1x muss Dein Switch machen. Geräte von Cisco mit IOS können sowas. Die Authentifizierung läuft dann über einen RADIUS-Server.

MAC based VLANs gibt es auch noch, d.h. alle fremden Geräte landen im Gäste-Netz, gleich wo sie sich einstöpseln. Muss aber auch der Switch machen.

[Mks]

Hallo,

Ich möchte es tatsächlich erst einmal zu Hause ausprobieren. Es gibt im Zimmer des Kindes eine Doppeldose (eigentlich für eigene Geräte). Diese wurde aber schon mehrfach von Gästen genutzt

Kinder in ein eigenes VLAN wo es dir egal ist ob sich jemand anschließt. Alternativ Switchports auf der Dose deaktivieren oder wie pmhausen schon geschrieben hat vorgehen, ist aber mit entsprechenden Verwaltungsaufwand verbunden.

Im zweiten Schritt gibt es aber auch noch einen anderen Standort (kleines Gewerbe), wo ich es später ebenfalls nutzen möchte.

Im gewerblichen Umfeld 802.1X wie schon geschrieben oder halt einfach im Gästebereich keine Netzwerkdosen bereitstellen. Ich kenne heute niemanden mehr der für Gäste einen LAN Anschluss per Kabel anbietet. Da gibt es WLAN und das war es.



lg

[emmitt]

Kinder in ein eigenes VLAN wo es dir egal ist ob sich jemand anschließt. Alternativ Switchports auf der Dose deaktivieren

So einfach ist es leider nicht, denn die Kinder sollen schon im eigenen Netz bleiben, um auf diverse Ressourcen zugreife zu können. Wie gesagt, ein VLAN gibt es ja schon.

oder halt einfach im Gästebereich keine Netzwerkdosen bereitstellen. Ich kenne heute niemanden mehr der für Gäste einen LAN Anschluss per Kabel anbietet. Da gibt es WLAN und das war es.

Das ist bei uns auch nicht so und ich habe es auch nicht vor. Gäste sind ausschließlich im WLAN.
Allerdings gab es bereits den Fall, dass ein Mitarbeiter das Kabel von einem Client gezogen hat, um sein privates Notebook einzustecken. Wurde natürlich alles erörtert und entsprechende Regeln aufgestellt, aber technische Lösungen sind beruhigender.  Da werde ich mich dann mal in die 802.1X Thematik einlesen...

Ok, ich will Euch auch nicht weiter mit meinen Fragen die Zeit rauben...

In erster Linie ging es mir eigentlich darum, ob und wie genau man die OPNsense mit den beiden genannten Funktionen (Deny unknown clients + Enable ARP Static entries) für eine private Absicherung nutzen kann.

Danke und Gruß Emmitt

[fabian]

Mit 802.1x kannst du den host mit dem Login in das Kinder-VLAN stecken und wenn kein 802.1x daher kommt, kannst du das Gerät dem Gäste-VLAN zuweisen. Das würde dir auch ermöglichen, dass du dich anschließen kannst und in dein VLAN kommst.

[Patrick M. Hausen]

Ich möchte noch einmal erwähnen, dass es VMPS als leichtgewichtigere Alternative zu 802.1x gibt. Ist nicht kryptografisch abgesichert, und ja, auch MAC-Adressen kann man fälschen, aber ich hab es immer wieder gerne als guten Kompromiss implementiert.

Bekannte MAC-Adressen landen in einem zugeordneten VLAN. Unbekannte MAC-Adressen landen im Gäste-VLAN oder in einem "Nirvana"-VLAN ohne jede Connectivity - je nachdem, was man will.

https://de.wikipedia.org/wiki/VMPS

FreeRADIUS kann das. Der Switch muss m.W. zwingend von Cisco sein, aber funktionieren tut das geil.