Schlagwort-Archive: Netzwerke

Cisco, Microsoft, Möglichkeiten

Authentifizierung mit 802.1X Zertifikaten & Windows Server 2016

3 Kommentare

Dieser Beitrag zeigt, wie ein Netzwerk mit Hilfe von Zertifikaten, sowie 802.1X in einer Microsoft Windows Server 2016 Domäne gesichert werden kann. Das Protokoll 802.1X ermöglicht es, eine Authentifizierung eines Hosts bei Verbindungsherstellung mit einer Netzwerkkomponenten, etwa einem Switch, zu erzwingen. Auf Basis eines Regelwerks kann so beispielsweise realisiert werden, bestimmten Hosts oder gar Nutzern den Zugriff auf das Netzwerk zu erlauben oder zu verbieten bzw. diesen verschiedenen VLANs im Netzwerk zuzuordnen.

Beispielkonfiguration - Aufbau des 802.1X Labs

Die folgende Topologie besteht aus dem Mindestumfang zur Demonstration von 802.1X. Im Detail werden drei Komponenten verwendet:

  • Ein Microsoft Windows 7 Notebook als aufzunehmenden Client,
  • ein Microsoft Windows Server 2016 Host, sowie
  • ein Switch, im Beispiel ein Cisco Catalyst 3560-CG PoE.

Die Vorgehensweise bei Microsoft Windows Server 2012, sowie Windows 8 oder Windows 10 als Client ist vergleichbar. Um reproduzierbare Ergebnisse zu erhalten, verwende ich für die Demonstration eine neue, bisher ungenutzte Windows 7 sowie Windows Server 2016 Installation.

Microsoft Windows Server 2016 - Neue Installation
Microsoft Windows Server 2016 - Neue Installation
Microsoft Windows 7 - Neue Installation
Microsoft Windows 7 - Neue Installation

Es folgt die Konfiguration der Netzwerkkomponente, im Beispiel dem Switch. Die folgende Konfiguration dient einer ersten Prüfung, ob alle Geräte im Netzwerk korrekt miteinander verbunden wurden sowie miteinander kommunizieren können.

Initiale Netzwerkkonfiguration

Der Server und das Notebook sind direkt an einen Cisco-Switch angeschlossen. Das Windows 7 Notebook ist mit dem Anschluss Gi0/1, der Windows Server 2012 mit dem Anschluss Gi0/2 des Switch verbunden. Im Lab werde ich das VLAN 20 als Produktiv-VLAN verwenden.

Die initiale Konfiguration des Switch ist wie folgt:

# VLAN 20 anlegen
Switch(config)#vlan 20
Switch(config-vlan)#name Productive
Switch(config-vlan)#exit

# Interface Gi 0/1 als Access-Port im VLAN 20
Switch(config)#int gi 0/1
Switch(config-if)#sw mo ac
Switch(config-if)#sw ac vl 20

# Interface Gi 0/2 als Access-Port im VLAN 20
Switch(config)#int gi 0/2
Switch(config-if)#sw mo ac
Switch(config-if)#sw ac vl 20

# SVI Interface im VLAN 20 anlegen
Switch(config)#int vlan 20
Switch(config-if)#ip address 172.16.0.100 255.255.255.0
Switch(config-if)#no shut

Die Konfiguration verschiebt beide Windows-Hosts in das VLAN 20. Der Switch selbst ist ebenfalls im VLAN 20 unter der IP 172.16.0.100 erreichbar. Im nächsten Schritt werden IP Adressen für die Netzwerkkonnektivität vergeben, beginnend auf dem Windows Server, mit der Adresse 172.16.0.1/24.

Microsoft Windows Server 2016 - IP-Konfiguration Netzwerkadapter
Microsoft Windows Server 2016 - IP-Konfiguration Netzwerkadapter

Der Eintrag eines Gateways ist für unsere Beispieltopologie nicht notwendig, da sich alle Geräte innerhalb eines Subnetzes befinden.
Authentifizierung mit 802.1X Zertifikaten & Windows Server 2016 weiterlesen

Cisco, Möglichkeiten

Cisco Port-Security

Schreibe einen Kommentar

Da ich mich aktuell auf einige Cisco Zertifizierungen vorbereite, treffe ich immer wieder auf Themen, die gut in diesen IT Security Blog passen könnten. Beginnen möchte ich heute mit dem Thema Cisco Port Security.

Port Security ermöglicht es auf Cisco Geräten, den eingehenden Traffic eines Ports auf bestimmte MAC-Adressen zu limitieren. Durch diese Technologie kann innerhalb eines Unternehmens garantiert werden, dass an einem Switch-Port ausschließlich bestimmte Unternehmenshardware und nicht etwa fremde Geräte (mit anderer MAC-Adresse) oder ein Switch angeschlossen werden.

Grenzen von Port Security

Zu Beginn möchte ich auf die Grenzen von Port Security hinweisen: Port Security basiert auf MAC-Adressen. Netzwerkhardware hat zwar eine feste, "eingebrannte" MAC-Adresse, die BIA, diese lässt sich jedoch häufig von übergeordneten Schichten verändern. Es besteht in den meisten Betriebssystemen die Möglichkeit, die Layer 2 Adresse, welche beim Senden verwendet wird, zu modifizieren.

Port Security Layer

Cisco Port-Security weiterlesen

Möglichkeiten

Unidirektionale Netzwerke (Data Diode)

Ein Kommentar

Eines der interessantesten, erfolgversprechendsten Möglichkeiten zur Absicherung sensibler Informationen, insbesondere zur Data Leakage Prevention, bieten unidirektionale Netzwerke mithilfe einer Data Diode. Diese Technik bietet eine der sichersten Möglichkeiten, Netzwerke auf hohem Niveau abzusichern.

Definition und genereller Aufbau unidirektionaler Netzwerke

Unidirektionale Netzwerke stellen sicher, dass Informationen nur von einer zur anderen Seite übertragen werden können, jedoch nicht umgekehrt. Data Dioden dienen der Netz-Trennung auf physikalischer Ebene.

Unidirektionales Netzwerk mit Data Diode
Unidirektionales Netzwerk mit Data Diode

Bezugnehmend auf die Abbildung könnte es sich beim "high"-Netzwerk beispielsweise um das Subnetz des Log-Servers handeln, dort sollen ausschließlich Protokoll-Meldungen eingehen und gespeichert, jedoch nicht wieder durch die Datenquelle ausgelesen bzw. geändert werden können. Gängig ist auch die Trennung und Absicherung des Forschungs- und Entwicklungsnetzwerks: Eine Data Diode verhindert hierbei zuverlässig, dass sensible Daten unbemerkt das Netzwerk verlassen können.
Unidirektionale Netzwerke (Data Diode) weiterlesen

Möglichkeiten

Netzwerkzugriff für Unternehmens-Notebooks absichern

Schreibe einen Kommentar

Die Absicherung des Netzwerkzugriffs für Unternehmens-Notebooks, also die Beschränkung des Zugriffs auf bestimmte Netzwerke, ist Thema des heutigen Beitrages.

Szenario der heutigen Problemstellung

In einem Unternehmens-Netzwerk existieren PCs, Notebooks oder andere netzwerkfähige Geräte, die von Mitarbeitern auch mit nach Hause genommen werden dürfen. Diese sind mit einer Netzwerkkarte ausgestattet, die es den Mitarbeitern ermöglicht, Services des Unternehmens zu nutzen.

Das Unternehmen möchte aus verschiedenen Gründen garantieren, dass die Mitarbeiter das Notebook nicht mit dem Heimnetzwerk verbinden können - um einen Abfluss vertraulicher Daten und ungeschützten Zugriff ins Internet zu verhindern.
Netzwerkzugriff für Unternehmens-Notebooks absichern weiterlesen

Grundlagen

Netzwerke: Grundlagen

Schreibe einen Kommentar

Heute möchte ich in meinem IT Security Blog mit einigen Grundlagen, rund um die Themen Internet, Netzwerke, Ports und Protokolle beginnen. In den letzten Jahren habe ich während meiner Arbeit sowohl im IT-Support, als auch im Rahmen meiner Tätigkeit als Netzwerkadministrator, immer wieder die gleichen Sätze gehört:

  • "Mein PC ist sicher, ich verwende doch das Antivirenprogramm ABC und die Firewall XYZ."
  • "Mir kann nichts passieren, warum sollte irgendjemand etwas von mir wollen?"
  • "Mein Bekannter hat mir meinen PC vor einigen Jahren eingerichtet, der ist sicher."

Auf der anderen Seite ist die Anzahl der Personen, die sich überhaupt nicht für die Sicherheit ihrer Daten interessieren, erschreckend hoch. Ich habe in den letzten Jahren immer wieder festgestellt, dass es den meisten Personen, unabhängig des Alters, an einem "Grundwissen" rund um Computer, deren Funktionsweisen und Risiken fehlt. Erstaunlicherweise ist das Wissen der "Digital Natives", also derjenigen, die mit dem Internet groß geworden sind, im Bereich der Sicherheit ebenfalls eher gering.

Funktionsweise des Netzwerks "Internet"

Bevor wir uns näher mit dem Thema IT-Sicherheit beschäftigen, einige Grundlagen dazu, wie das Internet funktioniert und wo mögliche Schwachstellen im Rahmen der digitalen Nutzung liegen könnten. Netzwerke: Grundlagen weiterlesen