Level3 Switch mit automatischer VLAN Zurodnung

Re(2): Level3 Switch mit automatischer VLAN Zurodnung

codeslayer — Wed, 12 Aug 2020 16:12:00 GMT

Ah, danke...das 802.1x hat mir gefehlt. Das kann schon eh fast jeder Hersteller. Ich werde das mal testen.
Mir ist auch klar, dass es nicht unbedingt die Sicherheit weit nach oben hebt. Es soll eher der vereinfachung des VLAN Managements dienen. Ich will nicht unbedingt immer auf den Switches rumkonfigurieren sobald ein Gerät irgendwo umgesteckt wird.

Re(10): Level3 Switch mit automatischer VLAN Zurodnung

Paulas_Papa — Tue, 11 Aug 2020 12:51:56 GMT

Ich denke (oder hoffe) dass sich mit der DSGVO und den damit einhergehenden Strafen die Situation bessern wird.

Im Bankenbereich zumindest weiß ich, dass da enorm viel investiert wird. Auch weil die Banken gerade massiv in die Cloud marschieren, wo sich die Security-Anforderungen ja noch potenzieren. Auch die MFA sitzt ihnen da "im Gnack".

Andererseits bieten die großen Clouds bereits enorm viele Security Funktionalitäten, die man einfach nur einschalten und verwenden muss.

Re(9): Level3 Switch mit automatischer VLAN Zurodnung

Ti — Tue, 11 Aug 2020 12:37:10 GMT

Naja, wie viele haben das wirklich so implementiert. Und dann liest man wieder in den News das irgendeine große Firma es nicht mal schafft Passwörter gehasht abzuspeichern. Bevor man also die "Hardcore" Sachen angeht sollte man lieber mal die Basics implementieren...

Re(9): Level3 Switch mit automatischer VLAN Zurodnung

Desolationrob — Tue, 11 Aug 2020 09:53:32 GMT

Aber ein IT-SECURITY-Konzept, das erfordert, dass ein Switch in Filialorganisationen oder großen Werken "gesichert" sein muss, hat einen massiven Patschen - schon von Beginn weg!

denke, da hast du eien Denkfehler....physische Sicherheit muss immer bedacht sein und gehört zu den basics, immer. Das diese Absicherung nicht die einzige ist und alle Maßnahmen die zusätzlich getroffen werden unabhängig von der physischens Sicherheit arbeiten bzw verschiedene Bedrohungen behandeln liegt auf der Hand

Re(10): Level3 Switch mit automatischer VLAN Zurodnung

Paulas_Papa — Tue, 11 Aug 2020 09:08:56 GMT

Denkst du, dass die Harddisk seit der Erfindung Bitlocker unverschlüsselt ist?

Re(9): Level3 Switch mit automatischer VLAN Zurodnung

PeterShaw — Tue, 11 Aug 2020 09:05:10 GMT

>Du kannst meinen Firmenlaptop haben/stehlen. Ohne meine Chipkarte ist er vollkommen wertlos.

Vorsicht falls das Ding Thunderbolt hat. Da gibt es einen Exploit, der auf den meisten Windows-Laptops funktioniert, indem das Gehäuse geöffnet und mit physischem Kontakt eine modifizierte Firmware auf den Thunderbolt-Controller geflashed wird, mit der es schlussendlich möglich ist, den Lockscreen zu umgehen und auf den Desktop zu gelangen.

Voraussetzung ist nur Thunderbolt und dass der Angreifer bis zum Lockscreen vordringen kann. Wenn das Ding komplett ausgeschaltet war und eine Pre-boot-Authentication braucht, dann funktioniert der Exploit nicht.

Inwiefern der Exploit auch Logins mit Karte betrifft oder gar mit Karte über Third-Party-Tools mit 2FA, hab ich natürlich nicht probiert, im Zweifelsfall würde ich davon ausgehen betroffen zu sein.

Re(8): Level3 Switch mit automatischer VLAN Zurodnung

Paulas_Papa — Tue, 11 Aug 2020 08:53:15 GMT

Das ist ja logisch. Kein Mensch, der einen Switch kennt, würde ihn am Tisch installieren.

Wobei ich eine Bank kenne, die vor 10 Jahren noch Switches in Besprechungszimmern unterm Tisch angeschraubt hatte. Daran 32 Kabel für alle Teilnehmer. Meetings begannen immer damit, das Ding auszuschalten, weil es meist unerträglich laut war.

Aber ein IT-SECURITY-Konzept, das erfordert, dass ein Switch in Filialorganisationen oder großen Werken "gesichert" sein muss, hat einen massiven Patschen - schon von Beginn weg!

Noch ein Hinweis: geh in einen Abstellraum, entferne 2 Deckenpanels und schon bist du mitten im Netzwerk und kannst machen, was du willst - denn dort liegen alle Kabeltassen. Vollkommen unbeobachtetes Arbeiten ist möglich. Und das bei Firmen, die was davon verstehen! ÜBERHAUPT kein Problem, weil das Sicherheitskonzept davon vollkommen unabhängig ist.

Du kannst meinen Firmenlaptop haben/stehlen. Ohne meine Chipkarte ist er vollkommen wertlos.
Wichtigere Systemen im Backend werden generell verschlüsselt und zertifikatgesichert betrieben - Interfaces & Data.

Die Firmen, bei denen es wirklich um Sicherheit geht, versuchen immer mehr, ohne Security Perimeter zu arbeiten. Auf Deutsch, man "misstraut" einfach jeder SW oder HW Komponente. Das ist auch der einzige Weg, der in Clouds zulässig ist.

Re(8): Level3 Switch mit automatischer VLAN Zurodnung

Paulas_Papa — Tue, 11 Aug 2020 08:53:15 GMT

Das ist ja logisch. Kein Mensch, der einen Switch kennt, würde ihn am Tisch installieren.

Wobei ich eine Bank kenne, die vor 10 Jahren noch Switches in Besprechungszimmern unterm Tisch angeschraubt hatte. Daran 32 Kabel für alle Teilnehmer. Meetings begannen immer damit, das Ding auszuschalten, weil es meist unerträglich laut war.

Aber ein IT-SECURITY-Konzept, das erfordert, dass ein Switch in Filialorganisationen oder großen Werken "gesichert" sein muss, hat einen massiven Patschen - schon von Beginn weg!

Noch ein Hinweis: geh in einen Abstellraum, entferne 2 Deckenpanels und schon bist du mitten im Netzwerk und kannst machen, was du willst - denn dort liegen alle Kabeltassen. Vollkommen unbeobachtetes Arbeiten ist möglich. Und das ist bei Firmen, die was davon verstehen! ÜBERHAUPT kein Problem, weil das Sicherheitskonzept davon vollkommen unabhängig ist.

Du kannst meinen Firmenlaptop haben/stehlen. Ohne meine Chipkarte ist er vollkommen wertlos.
Wichtigere Systemen im Backend werden generell verschlüsselt und zertifikatgesichert betrieben - Interfaces & Data.

Die Firmen, bei denen es wirklich um Sicherheit geht, versuchen immer mehr, ohne Security Perimeter zu arbeiten. Auf Deutsch, man "misstraut" einfach jeder SW oder HW Komponente. Das ist auch der einzige Weg, der in Clouds zulässig ist.

Re(7): Level3 Switch mit automatischer VLAN Zurodnung

Desolationrob — Tue, 11 Aug 2020 08:22:21 GMT

musst schon auch bissl weiter denken....der Switch am Tisch ist einfach keine gute Idee:

akive Lüfter nerven alle rundum
Temp/Luftfeuchte und Luftqualität
man muss schauen das man die Ports, insbesondere Management, seriell, AUX ensptrechend sicher konfiguriert
Stromversorgung
der Switch kann beschädeigt, zurückgesetzt oder gestohlen werden
..

Somit, aktive Netzkomponten gehören nicht in Büros, das muss vermieden werden so gut es geht. Accesspoints sind EBENFALLS mit ihrer Grundplatte gesichert zu verbinden, die decken im Regelfall die Kabel/Anschlüsse ab und die Decke ist meist auch nicht so einfach zugänglich wie der nächste Tisch.

Re(6): Level3 Switch mit automatischer VLAN Zurodnung

Paulas_Papa — Tue, 11 Aug 2020 07:57:19 GMT

Der Switch am Tisch darf per se kein Risiko mit sich bringen.

Wenn du ein Sicherheitskonzept hast, das von verteilten, aber "gesicherten" Switches ausgeht, ist die Kuh bereits aus dem Stall. Das wäre ein Konzept auf Basis von heißen Eislutschern. Jeder WLAN Switch hängt deutlich sichtbar an der Decke.

Daher gibt's ja zB ticketbasierte Radius-Systeme.

Re(5): Level3 Switch mit automatischer VLAN Zurodnung

Desolationrob — Tue, 11 Aug 2020 07:44:26 GMT

kommt drauf an was die Risikoanalyse ergibt.

Sind es Räumlichkeiten wo es extram teuer wird eine vernünftige Verkabelung zu machen, dann muss man eben mit allen Risiken leben die eben ein Switch am Tisch mit sich bringen. Da ist dann der "MACadressenklau" wohl die geringste Sorge.

Re(4): Level3 Switch mit automatischer VLAN Zurodnung

Paulas_Papa — Tue, 11 Aug 2020 07:16:35 GMT

Ich fürchte, das Denkmodell ist einfach falsch.

Geh geistig davon aus, dass der Switch mitten am Tisch liegt. Und was ist daher JETZT zu tun, um wenigstens ein Minimum an Sicherheit zu gewährleisten.

In weitverzweigten Filialnetzen oder großen Werkanlagen kannst du einfach nicht annehmen, dass ein Switch auch nur halbwegs gesichert ist.

Re(3): Level3 Switch mit automatischer VLAN Zurodnung

Desolationrob — Tue, 11 Aug 2020 06:19:38 GMT

ich habe nichts anderes behauptet. Aber es ist ganz sicher nicht egal ob das frei zugänglich ist.

Beispiel: Haustechnikzeugs, HVAC etc das man noch über serielle Schnittstellen steuert wird schnell per "Bus-Ethernet-IP Konverter" fit für das neue Jahrtausend gemacht. Das man den Switch physisch sichert sollte jedem klar sein, aber wenn jemand Zugriff auf das Gerät hat, braucht man evtl nur einen Sticker ablesen und hätte eine valide MAC für das Haustechniknetz. In diesem Netz kann man jede Menge Schaden anrichten, die Sicherheitsfeatures auf den Servern, Applikationen etc in dem Netz sind meist suboptimal, man verlässt sich im wesentlichen darauf das die Bereiche abgeschottet sind, nutzt aber nix wenn eien Angreifer mitten drin sitzt.

Re(2): Level3 Switch mit automatischer VLAN Zurodnung

Paulas_Papa — Tue, 11 Aug 2020 05:39:50 GMT

Nachdem MAC Adressen frei wählbar sind, denke ich, dass das nicht als „Security“ Feature zu sehen ist. Da ist es wirklich egal, ob Switch oder Kabel frei zugänglich sind.

Re(2): Level3 Switch mit automatischer VLAN Zurodnung

Paulas_Papa — Tue, 11 Aug 2020 05:39:50 GMT

Nachdem MAC Adressen frei wählbar sind, denke ich, dass das nicht als „Security“ Feature zu sehen ist. Das ist es wirklich egal, ob Switch oder Kabel frei zugänglich sind.

Re: Level3 Switch mit automatischer VLAN Zurodnung

Desolationrob — Tue, 11 Aug 2020 05:32:48 GMT

nur anhand von MAC Adressen macht man aber nur noch wenn die Devices kein 802.1X können und die Segmente auch entsprechend niedirge Sicherheitsanforderungen haben. Nennt sich dann MAC Authentication bypass. Ist man gezwungen das feature zu nutzen, muss man aber auf die physische Sicherheit von Switch, Endgerät und Kabel achten.
082.1X unterstützt quasi jeder Hersteller, muss man eben beim Modell schauen ob es eben auch dieses Fallback gibt, aber ich denke, auch das kann man als quasi Standard (bei den Herstellern, nicht in 802.1X) sehen.
Was du dann als Authenticationserver nimmst ist wieder ein anderes Thema

Re: Level3 Switch mit automatischer VLAN Zurodnung

Glockman — Mon, 10 Aug 2020 13:39:30 GMT

Hi!

Das sollte eigentlich jeder Switch können der GVRP bzw. MVRP beherrscht.

Wir haben das bei einem Kunden in Verbindung mit 802.1X im Einsatz, Switches von HP. Je nach angestecktem Gerät wird von einem RADIUS Server die entsprechende VLAN-ID an den Switch übermittelt, welcher der Port zugewiesen werden soll.

Re: Level3 Switch mit automatischer VLAN Zurodnung

Paulas_Papa — Mon, 10 Aug 2020 13:30:25 GMT

https://geizhals.at/?cat=switchgi&xf=14846_802.1xonly

Man macht das mit Hilfe eine Radius Servers.
https://www.msxfaq.de/windows/sicherheit/8021x.htm

Level3 Switch mit automatischer VLAN Zurodnung

codeslayer — Mon, 10 Aug 2020 13:21:07 GMT

Ich hatte mal vor Jahren ein System mit Cisco Switches und einem dedizierten Server im Einsatz wo man anhand der MAC Adressen eine automatische VLAN Zuteilung konfigurieren konnte.

Also zB. bei unbekannten MACs wurde der Switch-port auf ein Gäste VLAN geschaltet und bei bereits bekannten MACs auf das entsprechende VLAN Segment umgeschaltet.

Gibt es dieses System eigentlich noch immer NUR bei Cisco oder haben andere Hersteller hier etwas vergleichbares anzubieten?