Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1447 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Remote Authentisierung mit RED10

black2k
Hallo,

ich habe bei mir eine RED10 an einer ASG 425 registriert.
Es läuft auch wunderbar, allerdings sehe ich bei mir ein Sicherheitsproblem: Jeder PC der an die RED angeschlossen wird, landet im remote LAN der RED und hat transparenten Zugriff auf meine internen Netze (soweit im Paketfilter freigegeben).

Meine Frage ist nun, wie kann ich Computer oder Geräte prüfen, ob sie ein Zertifikat von mir haben oder ähnliches, damit nur Mitarbeiter und keine Fremden Zugriff auf mein internes Netz haben? Ich habe weder im Paketfilter noch in den RED Management Optionen was dazu gefunden.

Grüße


This thread was automatically locked due to age.
  • 0
    Wenn dein per RED angebundenes fernes Netz andere IPs verwendet als dein zu schützendes LAN, dann packst du ganz weit vorn in deine Filterregeln eine, die RED-LAN => ANY => Secure-LAN blockt.

    Heben die fernen Clients IPs aus deinem zu schützenden Netz, dann muss du diese gruppieren und eben den Traffic von dieser Gruppe blockieren.
    -- 
    HTH & MfG,

    Steffen
  • 0
    Okay...

    Verstehensfrage & Analyse [;)]

    Die RED hat ein via DHCP zugewiesenes LAN 192.168.162.0 /29.
    Mein internes LAN hat z.B. 172.16.12.x /16.

    Ein Rechner stöpselt sich an die RED an und bekommt eine IP-Adresse zugewiesen, z.B. 192.168.162.3. Im Paketfilter gibt es dann Regeln, die sagen das Remote Netzwerk darf an Outlook, interne Webserver, Domain Controller dran.

    Das problem ist, dass das DHCP im Remote LAN anbleiben sollte, da dort wechselnde User mit wechselnden Geräten hinter hängen und statische Adressen unpraktisch sind. Ich möchte nun die Rechner auf ein Zertifikat oder so prüfen.

    Verständnisfrage 1:

    Was meinst du, mit "Heben die fernen Clients IPs aus deinem zu schützenden Netz, dann muss du diese gruppieren und eben den Traffic von dieser Gruppe blockieren." ?
    Zwischen Firmeninternen und Firmenexternen Geräten unterscheiden und dann die Firmenexternen aussperren? Aber wie macht man das bei einer ASG?
  • 0 in reply to black2k
    Die RED hat ein via DHCP zugewiesenes LAN 192.168.162.0 /29. Mein internes LAN hat z.B. 172.16.12.x /16.

    Ist doch schonmal gut. Sollte man so machen.

    Ein Rechner stöpselt sich an die RED an und bekommt eine IP-Adresse zugewiesen, z.B. 192.168.162.3. Im Paketfilter gibt es dann Regeln, die sagen das Remote Netzwerk darf an Outlook, interne Webserver, Domain Controller dran.

    Ich nehme an, das funktioniert soweit?

    Das problem ist, dass das DHCP im Remote LAN anbleiben sollte, da dort wechselnde User mit wechselnden Geräten hinter hängen und statische Adressen unpraktisch sind. Ich möchte nun die Rechner auf ein Zertifikat oder so prüfen.

    Verwende für deine festen Geräte im Remote-LAN feste IPs, meinetwegen 192.168.162.1..254/24. Alle anderen/Gastgeräte haben DHCP zu verwenden, 192.168.163.1..254 (k.A.). Aber bei beiden als SN 255.255.0.0

    Habe mit RED noch nicht gespielt, aber du wirst wohl in deiner Astaro das RED-Netz als 192.168.0.0/16 definieren müssen.

    Weiter machst du zwei Netzwerk-Objekte in deiner Astaro. Eben eins für die festen IPs und eins für die Gäste - wie oben halt. Aber beide mit  SN 255.255.255.0 - so haben wir das hier funktionierend.

    In deinem Paketfilter packst du dann oben eine Regel rein, die dem Gast-Netzwerk-Objekt den Traffic in dein LAN verweigert. Zertifikate durch die Astaro prüfen wäre mir neu. IPSec usw. ja, ASG-Zerti verwenden bei Surfen ja, aber nciht ob das Zerti A zu Netz B passt.

    Verständnisfrage 1:

    Was meinst du, mit "Heben die fernen Clients IPs aus deinem zu schützenden Netz, dann muss du diese gruppieren und eben den Traffic von dieser Gruppe blockieren." ?
    Zwischen Firmeninternen und Firmenexternen Geräten unterscheiden und dann die Firmenexternen aussperren? Aber wie macht man das bei einer ASG?

    Ich hatte die Zerti-Geschichte überlesen. Ansonsten wie weiter oben beschrieben: Host oder Netzwerk definieren und bei mehreren diese in eine Netzwerkgruppe packen und diese Gruppe dann verwenden.
    -- 
    MfG, Steffen
  • 0
    @black2k: Was du wahrscheinlich willst ist Port-authentication mit 802.1x. Das ist aber selbst in internen LANs nur schwach verbreitet.

    RED10 selber ist ein Layer2-Infrastrukturdevice und bietet keine Benutzer-Authentifizierung. Das muss man (wie im LAN) auf hoeheren Schichten loesen.

    Du solltest das Remote-LAN daher wie eine Segment deines lokalen LANs betrachten.

    /tom
  • 0
    Ja, 802.1x ist hier bei uns die Authentisierungsmethode.

    Kann die RED denn MAC-Adressbasierte Port Authentisierung? Also MAC-Adresse A ist an LAN-Port 1 erlaubt, sonst keine andere MAC-Adresse?

    Weil über 2 Netze /DHCP kann man das ja austricksen, dann gibt man sich einfach eine IP-Adresse aus dem erlaubten netz und darf "illegalerweise" ins Firmeninterne Netz.