Dhcp Nap

  • Hi Zusammen


    Ich bin gerade unser LAN am absichern und bräuchte eure Meinungen.


    IST:
    Wenn jemand, irgend ein externer, sein Notebook ans LAN ansteckt, kriegt er eine IP und hat Verbindung auf alle unsere Ressourcen.
    Klar, er braucht noch ein Login um darauf zu zugreifen, aber trotzdem ist das schon ein Sicherheitsrisiko.


    SOLL:
    Es sollen in Zukunft nur noch Domänen-Geräte zugelassen werden.
    Wenn also ein externer kommt kann er zwar einstecken, jedoch kriegt er keine IP.


    Meine Überlegungen:
    Ich mache NAP-Rules.
    Bevor ich diese aber Aktiviere möchte ich euch fragen was Ihr dazu meint, nicht dass dann alle schreien..


    Verbindungsanforderungsrichtlinie
    Rule01
    Bedingung: Uhrzeiteinschränkung So-Sa 0000-2400 (also immer)
    Einstellung: Authentifizierung zulassen


    Netzwerkrichtlinie
    Rule02
    Bedingung: User der Gruppe Domänenuser oder Computer der Gruppe Domänencomputer (kurz und gut: alles was in der Domäne ist)
    Einstellung: Netzzugriff gewähren


    Rule03
    Bedingung: Uhrzeiteinschränkung So-Sa 0000-2400 (also immer)
    Einstellung: Netzzugriff verweigern


    -> Rule02 ist vor Rule03 eingestuft, wird also vorher abgearbeitet.



    So, meiner Meinung nach sollte nun ein Domänen-Gerät jederzeit zugelassen werden, und alles andere immer abgelehnt.


    Stimmt das so?
    Hab ich was vergessen oder einen Denkfehler gemacht?


    E: Als "Quelle" habe ich "DHCP-Server" eingestellt. Es sollte also den DHCP betreffen.



    Besten Dank
    whyti

  • Das ist nur solange sicher wie der "Bad User" mit seinem "Bad Client" den IP Range nicht kennt. Wireshark an + Broadcast sniffen -> Schon hat man den Range.


    Wir haben bei uns in der Firma 802.1x am werkeln. Blockt den User bereits auf dem Switchport und setzt halt intelligente Switches voraus.

  • Nun, den wenigsten "Bad Users" die da ins LAN möchten traue ich zu dass die das schaffen.
    Die wüssten wohl nicht einmal wo die IP setzen.


    Aber klar, wenn sie das Range kennen könnten Sie eine IP setzen.
    Dann müsste ich fast mit MAC-Filter aufm DHCP arbeiten, aber das ist zu aufwendig.


    Wir haben durchaus gute Switches im einsatz, ProCurve 5308xl.
    Wie habt ihr das realisiert?

  • Unsere Client Switches (Cisco 3560/4506) überprüfen an einem Radius Server (Cisco ACS) ob der Client ein gültiges Zertifikat schickt (Client Zertifikat vom AD ausgestellt) und öffnen oder sperren dementsprechend dann den Port.


    Das Zertifikat wird vom Radius Server an einen Microsoft NPS geschickt der den Check im AD macht. Wir habens so implementiert damit wir später über den ACS dynamic VLAN verteilen können und über den NPS Client Settings enforcen können. Über den NPS lässt sich ja der Patch Status von Clients prüfen und bei ungenügendem Patchlevel wird halt der Zugriff verweigert.

  • Ah ja, natürlich eine sehr elegante Lösung.
    Aber nen Radius kann ich nicht mal schnell aufsetzen und in Betrieb nehmen..
    Vorerst müssen die NAP-Rules genügen.


    Sollten die also so funktionieren?