On Tue, August 31, 2010 19:56, Luca Bertoncello wrote:
Morgen sollte im Büro den neuen Switch (HP Procurve 2810-24G) ankommen. Darüber freue ich mich schon.
Gratuliere zum neuen "Spielzeug"... ;-)
Nun, da der Chef viel in Sicherheit investieren will, überlege ich, die einzelne PCs zu zwingen, sich an diesen Switch mit dem Protokoll 802.1x zu authentifizieren. Ich kenne das Protokoll eigentlich nicht, und weiß auch nicht ganz, wie es mit dem Procurve geht... Ich werde den Handbuch lesen...
Ok, 802.1x ist ein reines Authentifikationsverfahren fuer LAN-Ports. D.h wenn sich jemand angemeldet hat ist der Port freigeschaltet - auch fuer andere Geraete die am selben Port haengen (bei WLAN ist meines Wissens eine spezifische MAC freigeschaltet). Wenn er sich abmeldet ist der Port wieder gesperrt. Die Authentifikation (EAP) selbst, wenn korrekt implementiert, ist sicher. Die Kommunikation zwischen den EAP Handshakes ist nicht gesichert.
Das macht nur Sinn wenn Du haufenweise Ports hast die unbekannten Leuten frei zugaenglich sind, die nicht unbedingt in dieses Netz sollen. Andererseits sollte man an der Stelle ueber die Sicherheit der physischen Seite des Netzes nachdenken (Merke: Kabel am Patchfeld muessen nicht unbedingt angesteckt sein).
Es hilft nicht gegen Snooping, Social Engineering, etc.pp.
Bevor Du anfaengst spezifische Protokolle zu probieren solltest Du erstmal Dein Netzwerk aufmalen und Dir ueberlegen was die Anforderungen an die Sicherheit des Netzes sind. Wichtige Fragen dabei:
* wo liegt Netz an, bzw. wo soll es anliegen (Steckdosen zaehlen und auf einer Skizze der Raeumlichkeiten einmalen) * welche anderen physischen Sicherungen existieren (gleiche Skizze), wie effektiv sind sie * wer schliesst sich dort an, welche Vertrauensstellung haben diese Personen/Computer * welche Arten von Daten und Programmen gibt es im Netzwerk und welche Bedeutung haben sie fuer die Firma/Schule/etc., welche Bedeutung haben die Daten fuer potentielle Angreifer * was passiert wenn welche Daten kompromittiert werden (direkte Kosten, Verlust von Wettbewerbsvorteilen, rechtliche Konsequenzen, ...) * welche potentiellen Angriffsszenarien existieren (Typen von Angreifern, Vektoren die misbraucht werden koennen)
Wenn Du das hast geht es weiter mit:
* welche Sicherungen und Teilungen kann man auf physischer Ebene einfuehren (LAN-Segmente, Tuerschloesser, Kabel einfach nicht anstecken, etc.) * welche Probleme lassen sich mit einer simplen Firewall-Regel loesen * welche anderen Sicherheitsprotokolle stehen zur Verfuegung
Fuer jede Massnahme: * welchen positiven Effekt hat die Massnahme (exakter Attackenvektor der verhindert wird) * welche negativen Effekte hat die Massnahme (Denial of Service - auch bekannt als "ich kann mich nicht einloggen!", Bandbreitenverlust, Zeitverlust, etc.) * welche Kosten verursacht die Massnahme (Geld, Admin-Stunden, Mitarbeiter-Stunden) * welchen Nutzen bringt die Massnahme (leitet sich aus positiven Effekten ab)
Wenn alle diese Fragen beantwortet sind kannst Du abschaetzen was Du wirklich tun solltest. Irgendein Protokoll (z.B. 802.1x) einzufuehren weil es sicher klingt halte ich fuer keine gute Idee - aller Wahrscheinlichkeit fuehrt es nur zu einem minimalen Gewinn an Sicherheit und verbraucht haufenweise Zeit, die man nuetzlicher anlegen koennte.
Hinweis: die Antworten auf die Fragen oben muessen nicht unbedingt den Umfang einer Diplomarbeit haben - manchmal sind sie ganz einfach und alltaeglich. Insb. wenn Du nicht nur Software, sondern auch ganz einfache (physische) Massnahmen (Kabel rausziehen, Tuer abschliessen, Bildschirm sperren) betrachtest werden sehr viele Probleme plotzlich ganz klein.
Konrad