Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 25 subscribers
  • Views 3449 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

innerhalb vom LAN kein Zugriff

zeus1976
Hallo Zusammen,

Ich supporte ein kleines Unternehmen. Die Firewall ist nicht im Serverraum sondern im Grossraumbüro. Jeder könnte ein Kabel einstecken und so ins LAN zugreifen.

Ziel: 
- Beim einstecken soll keine IP vergeben werden und der interne Verkehr soll (im LAN) nicht möglich sein. Diese Anpassung soll auf der Firewall gemacht werden

Bemerkung:
- Die Deaktivierung vom DHCP löst das Problem nur zum Teil, denn der MA kann ohne weiteres im LAN zugreifen, wenn er eine fixe IP Adresse verteilt
- Firewallregeln greifen innerhalb vom LAN zu LAN nicht - es kann ohne weiteres im LAN auf Geräte zugegriffen werden

Frage:
- Gibt es eine Möglichkeit zu verhindern, dass von LAN zu LAN (zwischen den Geräten) kein Zugriff möglich ist? (ohne zusätzlichen Switch Layer 3) 

Vielen Dank für die Antwort.

Gruss


This thread was automatically locked due to age.
  • 0
    Geht es darum das der MA ein Kabel direkt an ein Interface der FW anschließen könnte oder um einen Switchport?
  • 0
    An der FW würde ich entweder die ungenutzten Interfaces deaktivieren oder eine falsche IP drauflegen sodass der MA nicht in das LAN kommt. 

    Bei uns im Unternehmen habe ich die Switche so konfiguriert das sich die Interfaces abschalten wenn ein Endgerät mit einer anderen MAC Adresse angeschlossen wird. Bei HP nennt sich das "port security". Alternativ kannst du auch die ungenutzten Ports deaktivieren wenn es vom Switch unterstützt wird.
  • 0
    Hallo zeus1976,
    da ich die Größe & Konfiguration deines Kunden-Netzwerks nicht kenne, einfach mal so ein paar Gedanken:
    - Solange jemand physikalisch an der Firewall etwas verändern kann, wird es schwierig. Jeder könnte sich am LAN Interface einstecken. Aber somit wären alle anderen abgehängt und würden das schnell merken.
    - Wenn es daneben einen Switch gibt, kann sich natürlich jeder dazu hängen.
    - Die Firewall gehört inkl. einem Layer3-Switch mindestens in einen kleinen (z.B. 10HE), abschließbaren Rack. Kostenfaktor ca. 100,- EUR
    - Auf dem Switch gehört Port-basierte-Authentifizierung (IEEE 802.1X) mit z.B. Radius aktiviert.  Liest sich erstmal super kompliziert. Ist aber gar nicht so schwer. Im Ergebnis kannst Du erreichen, dass jeder Port erstmal in einem Gastnetz ist. Kommt ein Rechner aus der Domäne an den Port, wird er dynamisch ins lokale LAN umgestellt. Feine Sache!
    Grüße, Karsten
  • 0 in reply to KKnecht
    Hallo zeus1976,
    da ich die Größe & Konfiguration deines Kunden-Netzwerks nicht kenne, einfach mal so ein paar Gedanken:
    - Solange jemand physikalisch an der Firewall etwas verändern kann, wird es schwierig. Jeder könnte sich am LAN Interface einstecken. Aber somit wären alle anderen abgehängt und würden das schnell merken.
    - Wenn es daneben einen Switch gibt, kann sich natürlich jeder dazu hängen.
    - Die Firewall gehört inkl. einem Layer3-Switch mindestens in einen kleinen (z.B. 10HE), abschließbaren Rack. Kostenfaktor ca. 100,- EUR
    - Auf dem Switch gehört Port-basierte-Authentifizierung (IEEE 802.1X) mit z.B. Radius aktiviert.  Liest sich erstmal super kompliziert. Ist aber gar nicht so schwer. Im Ergebnis kannst Du erreichen, dass jeder Port erstmal in einem Gastnetz ist. Kommt ein Rechner aus der Domäne an den Port, wird er dynamisch ins lokale LAN umgestellt. Feine Sache!
    Grüße, Karsten


    Cool, danke für Dein Feedback.

    Hast du eine Anleitung, wie man den Switch und den Radius Server konfiguieren muss? (mit Switch)

    Danke für Dein Feedback.

    Gruss
  • 0 in reply to Kingpin
    Geht es darum das der MA ein Kabel direkt an ein Interface der FW anschließen könnte oder um einen Switchport?


    Danke für Deine Antwort.

    Ich wollte fragen, ob eine solche Konfiguration direkt auf der Firewall möglich ist? Oder gehts nur über den Switch Layer 3?

    Gruss
  • 0
    Hallo zeus1976,
    bin momentan etwas eingespannt. Sobald ich etwas Luft habe, versuche ich hier mal ein Beispiel zu posten.
    Aber vorab die Frage: Hast Du denn einen HP-Layer3-Switch? Wenn ja: Typ/Modell? Da HP ja unter einer Marke ebenfalls 3COM und H3C vertreibt, wäre das wichtig.
    Kannst Du bitte auch Kingpins Frage beantworten? Du antwortest lediglich mit einer Gegenfrage.... Dein Posting ist nicht ganz klar.
    Grüße, Karsten
  • 0 in reply to KKnecht
    Hallo KKnecht,

    Ups, diese Frage habe ich nicht gesehen, es handelt sich um einen Switchport.

    Ich arbeite mit einem Netgear GS108T (Layer 3 Switch), welcher Radius unterstützt.

    Vielen Dank für Deine Hilfe.

    Gruss
  • 0 in reply to zeus1976
    Hallo KKnecht,

    Ups, diese Frage habe ich nicht gesehen, es handelt sich um einen Switchport.

    Ich arbeite mit einem Netgear GS108T (Layer 3 Switch), welcher Radius unterstützt.

    Vielen Dank für Deine Hilfe.

    Gruss


    Hallo KKnecht, 

    Hättest du evt. Zeit die Anleitung online zu stellen?

    danke für deine Hilfe.

    Gruss
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML