Hallo!

Am Dienstag 31 August 2010 schrieb Luca Bertoncello:

Nun, da der Chef viel in Sicherheit investieren will, überlege ich, die einzelne PCs zu zwingen, sich an diesen Switch mit dem Protokoll 802.1x zu authentifizieren.

Noch ein Leidensgenosse. Genau darum ging es bei mir mit der Frage nach dem Radius-Server. Du wirst also kurz gesagt die Informationen in einem Textfile oder wie bei mir in einem LDAP-Server haben müssen (ich liebe LDAP!). Die wiederum gibt jetzt der Radius-Server an den Switch weiter. Mein weiteres Problem: Jeder Netzkartentreiber hat andere Möglichkeiten zur Authentifizierung. Meine Notebooks mit Atheros-Chips können 802.1X unter Windows XP. Andere Karten ("Intel Centrino") haben solche Optionen nicht. Unter Windows 7 können es die meisten Karten - denn für ältere Karten gibt es nicht mal Treiber. Laut Aussage der Netzwerkfirma wollen die dann über den WLAN-Controller und die Access-Points mehrere virtuelle WLANs bauen. Rechner mit 802.1X würden in einem "sicheren" WLAN landen, die anderen in einem unsicheren (nur wie soll ich die dann "sicher" bekommen? Verstanden habe ich das noch nicht ganz). Zumal die Firma an verschiedenen Rechnern sogar eine automatische Anmeldung ohne Authentifizierung eingebaut hat. IMHO untergräbt das jegliche Sicherheits- bemühungen.

Insofern habe ich hier schon einen "Testaufbau", den ich nun Stück für Stück aufbauen werde. Mit der Authentifizierung unter Linux habe ich mich noch nicht genauer auseinander gesetzt...

Gruss Reiner

On Tue, August 31, 2010 19:56, Luca Bertoncello wrote:

Morgen sollte im Büro den neuen Switch (HP Procurve 2810-24G) ankommen. Darüber freue ich mich schon.

Gratuliere zum neuen "Spielzeug"... ;-)

Nun, da der Chef viel in Sicherheit investieren will, überlege ich, die einzelne PCs zu zwingen, sich an diesen Switch mit dem Protokoll 802.1x zu authentifizieren. Ich kenne das Protokoll eigentlich nicht, und weiß auch nicht ganz, wie es mit dem Procurve geht... Ich werde den Handbuch lesen...

Ok, 802.1x ist ein reines Authentifikationsverfahren fuer LAN-Ports. D.h wenn sich jemand angemeldet hat ist der Port freigeschaltet - auch fuer andere Geraete die am selben Port haengen (bei WLAN ist meines Wissens eine spezifische MAC freigeschaltet). Wenn er sich abmeldet ist der Port wieder gesperrt. Die Authentifikation (EAP) selbst, wenn korrekt implementiert, ist sicher. Die Kommunikation zwischen den EAP Handshakes ist nicht gesichert.

Das macht nur Sinn wenn Du haufenweise Ports hast die unbekannten Leuten frei zugaenglich sind, die nicht unbedingt in dieses Netz sollen. Andererseits sollte man an der Stelle ueber die Sicherheit der physischen Seite des Netzes nachdenken (Merke: Kabel am Patchfeld muessen nicht unbedingt angesteckt sein).

Es hilft nicht gegen Snooping, Social Engineering, etc.pp.

Bevor Du anfaengst spezifische Protokolle zu probieren solltest Du erstmal Dein Netzwerk aufmalen und Dir ueberlegen was die Anforderungen an die Sicherheit des Netzes sind. Wichtige Fragen dabei:

* wo liegt Netz an, bzw. wo soll es anliegen (Steckdosen zaehlen und auf einer Skizze der Raeumlichkeiten einmalen) * welche anderen physischen Sicherungen existieren (gleiche Skizze), wie effektiv sind sie * wer schliesst sich dort an, welche Vertrauensstellung haben diese Personen/Computer * welche Arten von Daten und Programmen gibt es im Netzwerk und welche Bedeutung haben sie fuer die Firma/Schule/etc., welche Bedeutung haben die Daten fuer potentielle Angreifer * was passiert wenn welche Daten kompromittiert werden (direkte Kosten, Verlust von Wettbewerbsvorteilen, rechtliche Konsequenzen, ...) * welche potentiellen Angriffsszenarien existieren (Typen von Angreifern, Vektoren die misbraucht werden koennen)

Wenn Du das hast geht es weiter mit:

* welche Sicherungen und Teilungen kann man auf physischer Ebene einfuehren (LAN-Segmente, Tuerschloesser, Kabel einfach nicht anstecken, etc.) * welche Probleme lassen sich mit einer simplen Firewall-Regel loesen * welche anderen Sicherheitsprotokolle stehen zur Verfuegung

Fuer jede Massnahme: * welchen positiven Effekt hat die Massnahme (exakter Attackenvektor der verhindert wird) * welche negativen Effekte hat die Massnahme (Denial of Service - auch bekannt als "ich kann mich nicht einloggen!", Bandbreitenverlust, Zeitverlust, etc.) * welche Kosten verursacht die Massnahme (Geld, Admin-Stunden, Mitarbeiter-Stunden) * welchen Nutzen bringt die Massnahme (leitet sich aus positiven Effekten ab)

Wenn alle diese Fragen beantwortet sind kannst Du abschaetzen was Du wirklich tun solltest. Irgendein Protokoll (z.B. 802.1x) einzufuehren weil es sicher klingt halte ich fuer keine gute Idee - aller Wahrscheinlichkeit fuehrt es nur zu einem minimalen Gewinn an Sicherheit und verbraucht haufenweise Zeit, die man nuetzlicher anlegen koennte.

Hinweis: die Antworten auf die Fragen oben muessen nicht unbedingt den Umfang einer Diplomarbeit haben - manchmal sind sie ganz einfach und alltaeglich. Insb. wenn Du nicht nur Software, sondern auch ganz einfache (physische) Massnahmen (Kabel rausziehen, Tuer abschliessen, Bildschirm sperren) betrachtest werden sehr viele Probleme plotzlich ganz klein.

Konrad