mitgebrachter WLan-Router am grünen Port

Wie kann man das Konfigurieren?
Post Reply
Martin Rosnau
Posts: 32
Joined: January 13th, 2016, 4:29 pm
Location: Germany, Coal-Area

mitgebrachter WLan-Router am grünen Port

Post by Martin Rosnau » June 11th, 2017, 6:41 pm

Hallo Ihr Experten!

Wie konfiguriert man IPFire so, daß ein mitgebrachter und am grünen Netz angeklemmter
beliebiger WLan-Router nicht als Bridge sämtliche WLan-Geräte ins LAN lässt?

Wie kann man verhindern, daß Geräte mit kopierter und gelogen MAC-Adressen Zugang bekommen?

Ich kann mir vorstellen, daß es über einen Proxy mit Benutzernamen und Kennwort für
jeden Nutzer möglich ist, aber dieser Proxy macht das System zu langsam.

Welche Möglichkeiten gibt es noch?



Die Situation war folgende im heimischen LAN mit WLan:

ich hatte IPFire meiner Meinung nach sauber konfiguruiert:

drahtgebundene Geräte (grün) durften raus ins Internet und
dauerhaft auf das heimische NAS zugreifen. Die IP-Adresse wurde per DHCP vergeben.

Und:

WLan-Geräte durften über einen am blauen Port angeschlossenen
WLan-Router ins Internet. Sie bekamen ebanfalls ihre IP Adresse per DHCP
aber Sie kamen nicht an Geräte im grünen Netz, weil sie sich in einem anderen Subnetz befanden.

Der WLAN-Zugang war im Router mit WLan-Kennwort
versehen und in IPFire war präzise nur bestimmten MAC-Adressen der Zugang für blau erlaubt.

Nun war dem Junior der WLan-Zugang zu schwach und er steckte den WLan-Router vom blauen Netz
einfach mal an einer anderen Stelle der Wohnung ins grüne Netz, weil er dort ein stärkeres Signal bekam.

Plötzlich bekamen alle Familien-Handys IP-Adressen des grünen Netzes und konnten auch auf
den NAS zugreifen. Das war zwar ganz praktisch, weil alle ihre Fotos dort ablegen konnten,
aber doch ein Sicherheitsrisiko.

Nun gut, nicht jeder kennt das Passwort unseres WLAN-Routers, aber was, wenn jemand ein
passend konfiguriertes Gerät mitbringt und mit einem beliebigen grünen LAN Anschluß verbindet?

Wie löst Ihr dieses Problem in Firmennetzen?


Gruß, Martin
Image
My firewall: funkwerk UTM1100 with AEWin Mainboard, and mechanic HDD, active 19/24 h via
software timer shutdown and power off and on by electromechanical chrismas light switch.

Web interface is slow while line is under full load (10 Mbit/s).
Using IDS and Webproxy is nearly impossible (both not active :-)
power consumption is low + it's "old but payed" !

Very good system, nearly no maintainance neccessary.

fredym
Posts: 219
Joined: November 14th, 2016, 2:45 pm

Re: mitgebrachter WLan-Router am grünen Port

Post by fredym » June 12th, 2017, 6:23 am

allo,

1. schliesse aus, dass "fremde" Geräte gültige IPs bekommen ! (kriegen gar keine ...oder ein anders Netz)
2. ggfs. kann man in der Firewall auch MAC und IP blocken

welche Variante oder welche Kombination musst du anhand deiner Gegebenheiten selber entscheiden, evtl. spielt aber die GUI nicht richtig mit wegen "Fehleingaben" :)
Green= 192.168.168.0/24 und "fremde" kriegen eben 192.168.170.0/24 zugewiesen, bekannte MACs kriegen dann "feste IP" aus dem richtigen Block.

Fred

Alorotom
Posts: 250
Joined: March 30th, 2015, 6:56 am

Re: mitgebrachter WLan-Router am grünen Port

Post by Alorotom » June 12th, 2017, 8:56 am

Martin Rosnau wrote:Wie kann man verhindern, daß Geräte mit kopierter und gelogen MAC-Adressen Zugang bekommen?
[...]
Wie löst Ihr dieses Problem in Firmennetzen?
Hallo Martin,
üblicherweise, in dem man den physikalischen Zugriff auf die Ressource unterbindet. Also kein Zugriff auf Switche, nicht genutzte Ports deaktiviert und Netzwerkdosen nicht patcht, wenn sie nicht in Gebrauch sind. Denn sonst geht immer irgendein Weg. Das und noch eine Menge mehr Maßnahmen.
Aber ist es denn wirklich so, dass in Deinem Netz jemand die MAC-Adressen von Geräten gechincht hat? So trivial ist das ja nun auch wieder nicht.
Ich würde an Deiner Stelle noch mal bei dem WLAN-AP ansetzen. Wie kann der einfach von BLAU an GRÜN gesteckt, dort operieren? Ist der nicht statisch konfiguriert, sondern holt sich einen Teil seiner IP-Konfiguration per DHCP? Das sollte nicht sein. Verpass dem eine fixe IP aus BLAU und schütze die Konfiguration per Passwort. Zudem kannst Du den WLAN-AP mit einer Firewallregel auf MAC-Basis in GRÜN sperren.
Für einen irgendwoher mitgebrachten WLAN-Router hast Du das dann ja nur bedingt in der Hand. Wer die Parameter von eurem Netzwerk kennt, setzt den so auf, dass der in GRÜN arbeitet. Da sind wir dann wieder bei a).
Gruß
Alorotom
Image
Image
Image

Martin Rosnau
Posts: 32
Joined: January 13th, 2016, 4:29 pm
Location: Germany, Coal-Area

Re: mitgebrachter WLan-Router am grünen Port

Post by Martin Rosnau » June 12th, 2017, 10:05 am

Hallo zusammen!

Es gibt viele ältere Internet-Router, die defaultmäßig unterhalb der IP-Ebene arbeiten
und einfach das drahtgebundene LAN in den lokalen Äther übertragen.
Für so einen Accesspoint brauch man nicht viel zu konfigurieren:
LAN-Kabel in eine der vier LAN-Buchsen, einschalten und ab gehts in die Luft.

Selbst wenn nur genutze LAN-Dosen belegt sind, was hindert jemanden daran, das
LAN-Kabel aus dem PC oder Drucker herauszuziehen und in seinen WLan-Router zu stecken,
nur weil er mit seinem Tablet im Grünen sitzen will?

Und schon habe ich ein "unsicheres" Gerät - sprich Tablet oder Handy, welches bei
geeigneter Konfiguration auch mein LAN über das GSM- oder UMTS-Netz ins Internet routen könnte.

Ja, es gibt Tools, mit denen man eine beliebige abgelesene oder ausgedachte
MAC-Adresse einträgt, mit der dann die Netzwerkkarte im Netz arbeitet.

Die MAC zu verwenden, schottet nur die Normaluser ab.
Es müssen dann noch andere Authentifizierungsmechanismen wie Benutzername und Passwort greifen.

Damit wären wir wieder bei einem Proxy- und einem Domänen-Server und Benutzerrechten auf Dateiebene.

So einfach scheint es nicht zu sein, Sicherheit zentral in einer einzigen Firewall zu verwalten.

Viel Grüße, Martin
Image
My firewall: funkwerk UTM1100 with AEWin Mainboard, and mechanic HDD, active 19/24 h via
software timer shutdown and power off and on by electromechanical chrismas light switch.

Web interface is slow while line is under full load (10 Mbit/s).
Using IDS and Webproxy is nearly impossible (both not active :-)
power consumption is low + it's "old but payed" !

Very good system, nearly no maintainance neccessary.

fredym
Posts: 219
Joined: November 14th, 2016, 2:45 pm

Re: mitgebrachter WLan-Router am grünen Port

Post by fredym » June 12th, 2017, 7:04 pm

Hallo,
letzlich brauchen alle Devices eine MAC + IP um Pakete zu bearbeiten.
Devices nur zulassen, wenn MAC+IP passen ist noch einfach, der Verwaltungsaufwand steigt aber.
Bleibt dir nur noch verschlüsseln (Problem: Schlüssel) oder zwei Faktor Authentifizierung -> alles viel zu gross für eine "einfache SPI Firefwall", mit Authentifizierung über Radius habe ich mich noch nicht wirklich beschäftigt.
Alle Domaincontroller haveb auch wieder das Problem von mitgehörten Authentifizierungen.
Fred

Martin Rosnau
Posts: 32
Joined: January 13th, 2016, 4:29 pm
Location: Germany, Coal-Area

Re: mitgebrachter WLan-Router am grünen Port

Post by Martin Rosnau » June 19th, 2017, 1:39 pm

Hallihallo,

ohne jetzt näher auf zu erlaubende Ports einzugehen;

also, wenn ich es richtig verstanden habe, dann trage ich nach frischer Installation

- bei "Firewall Options" unter "Default firewall behaviour" "FORWARD" "Blocked" ein.

- erstelle ich ein Whitelist mit MAC und IP für jeden Client im grünen Zugang;
- und erlaube den Mitgliedern dieser Whitelist den Zugang zum roten Netz

... wird denn diese Whitelist wird unter "network DHCP", unter "Firewall Groups" "Hosts" oder unter "edit hosts" eingetragen ?
(nein, ich bin nicht so dumm, sondern ich frage absichtlich so dumm, um eine umso deutlichere Antwort zu bekommen! ),

- verbiete DHCP im grünen Netz

- erlaube im blauen Netz DHCP und erlaube ausgewählten Clients Zugang mit ihrer MAC unter "BlueAccess",

oder habe für den blauen Zugang auch eine Whitelist mit gepflegeter MAC und IP ohne Verwendung von DHCP?

Krasserweise hatten die unter Blue Access eingetragenen MACs plötzlich ein IP aus dem grünen Netz, nachdem der Access-Point-Router umgestöpselt wurde .

Und hoffe darauf, daß niemand auf die Idee kommt MAC und IP zu ändern und auch keine WLAN-Bridge installiert.

Habe ich etwas vergessen?

LG, Martin
Image
My firewall: funkwerk UTM1100 with AEWin Mainboard, and mechanic HDD, active 19/24 h via
software timer shutdown and power off and on by electromechanical chrismas light switch.

Web interface is slow while line is under full load (10 Mbit/s).
Using IDS and Webproxy is nearly impossible (both not active :-)
power consumption is low + it's "old but payed" !

Very good system, nearly no maintainance neccessary.

fredym
Posts: 219
Joined: November 14th, 2016, 2:45 pm

Re: mitgebrachter WLan-Router am grünen Port

Post by fredym » June 19th, 2017, 3:57 pm

Hallo,
oder .. black_list für bekannte Geräte aud MAC- basis; IP ist dann uninteressant, wir hatten noch zusätzlich
- bekannte Geräte bekommen eine "fixed" DHCP-IP mit richtigem Gateway (192.168.1.x ; 192.168.1.1)

- andere Geräte bekommen eine "laufende" IP mit falschem" Gateway (129.168.2.y/24 192.168.2.2)
...wenn 192.168.1.1 der richtige DHCP+Gateway Rechner ist.

Firewall - FORWARD ist die erste Regel blacklisted_mac DROP
(kann man auch auf INPUT machen, dann scheitert die DHCP-Anfrage).

Bekannte und zugelassene Device gehen auf Anhieb, der Rest scheitert (erst mal) und (wichtig!) wird erfasst !
Unknown MAC stehen in der DHCP-leases (unbekannte kriegen ja eine IP, wenn auch einen "falsche") und können danach geblockt werden.
Es ginge auch eine lange MAC-Whitelist mit Logauswertung auf abgewiesene MACs.
Kommt auf den Verwaltungsaufwand an ;)

Im Firmennetz hat falsche IP (anderes Netz) und falsches Gateway (DHCP-Option) gereicht.

Fred

Martin Rosnau
Posts: 32
Joined: January 13th, 2016, 4:29 pm
Location: Germany, Coal-Area

Re: mitgebrachter WLan-Router am grünen Port

Post by Martin Rosnau » August 4th, 2017, 2:29 pm

Oki, aber für den DHCP-Server mit dem falschem Standardgateway benötigt man dann einen extra DHCP-Server,
wenn man IPFire nicht per SCP-Zugriff verbiegen will; oder man aktiviert im WLAN-Router DHCP mit den schrägen Einstellungen.
Image
My firewall: funkwerk UTM1100 with AEWin Mainboard, and mechanic HDD, active 19/24 h via
software timer shutdown and power off and on by electromechanical chrismas light switch.

Web interface is slow while line is under full load (10 Mbit/s).
Using IDS and Webproxy is nearly impossible (both not active :-)
power consumption is low + it's "old but payed" !

Very good system, nearly no maintainance neccessary.

Post Reply

Who is online

Users browsing this forum: slnx0001 and 2 guests