Wenn dies dein erster Besuch hier ist, lies bitte zuerst die Hilfe - Häufig gestellte Fragen durch. Du musst dich vermutlich registrieren, bevor du Beiträge verfassen kannst. Klicke oben auf 'Registrieren', um den Registrierungsprozess zu starten. Du kannst auch jetzt schon Beiträge lesen. Suche dir einfach das Forum aus, das dich am meisten interessiert.
Hier ist dann sofern von allen teilnehmern unterstütz IEEE802.1X sicherer als der MAC filter
Am Ende geht es aber nicht um öffentliche Gebäude sondern privaten Wohnraum oder? Ich denke da ist nen MAC Filter in den meisten Fällen ausreichend besonders auf Ethernetseite wo ein physischer Zugriff zum Netzwerk bestehen muss.
Bei IEEE802.1X brauchst du soweit ich weiß auch wieder einen Authentifizierungsserver. Will man sowas privat pflegen und was ist wenn die Kiste die das Ding bereit stellt mal kaputt ist? Kommt dann niemand mehr rein.
Mehr Sicherheit geht im allgemeinen mit einem Verlust an Komfort einher.
Das ist zum größten teil richtig ewfwd. Aber einen MAC Filter habe ich mit ner bridge und der selben MAC im Handumdrehen umgangen. Und der Garten ist für Leute die ich durch diese Maßnahmen ja abwehren will theoretisch leicht erreichbar.
Klar hast du installationsaufwand aber wenn ich das in relation setze, ohne ETS ist dein KNX auch nicht programmiert und geht das KNX Netzteil kaputt stehst du auch im Dunkeln da. Von daher zieht deine Argumentation da nur bedingt.
Zudem richtet man das IEEE802.1X ja auch nur für die Ports im Garten ein sollte der Radius Dienst den Geist aufgeben gehen die CAM's nicht mehr bis ich den Dienst wieder am laufen habe bzw es als workaround deaktiviert habe.
Du hast da vollkommen recht Sicherheit geht selten einher mit Komfort.
Ich möchte ja kein Spassverderber sein aber IEEE802.1X läßt sich auf die gleiche Weise umgehen. Je nach Konfiguration sogar leichter als einen MAC-Filter. Möchtest du eine sichere Absicherung bleibt dir eigentlich nur der Weg, die Verbindung zusätzlich per IPSec abzusichern.
Ich vermute die meisten SOHO Komponenten können weder IPSec noch dot1X...
wofür benötigst du denn das Netzwerk im Garten? Es würde sich vielleicht anbieten zB für Webcams einfach von vornerein nur die Protokolle und Ports zuzulassen die das Endgerät benötigt, VLANs usw. Und selbst wenn der "Angreifer" dann im Netzwerk ist sollte man seine (Server)Dienste und was man da hat eh ohnehin durch Passwörter schützen.
Ich möchte ja kein Spassverderber sein aber IEEE802.1X läßt sich auf die gleiche Weise umgehen. Je nach Konfiguration sogar leichter als einen MAC-Filter.
Wie möchtest jetzt 802.1x umgehen, da bin ich mal kurz gespannt.
Das Problem ist, dass die Anmeldung nur zu Anfang (mit Reauth-Timer auch z.b. jede Stunde) statt findet. Nach erfolgreicher Anmeldung ist der Port freigegeben. Schalte ich nun einen Switch zwischen den Switch mit dot1X und einem berechtigtem Client, so kann jedes Geräte ohne irgendwelche Authentifizierung auf das Netzwerk zugreifen. Somit einfacher / unsicherer als ein Mac-Filter.
Diese Schwachstelle wurde bereits 2005 von einem Microsoftmitarbeiter aufgezeigt, so dass Switche der späteren Generation (je nach Konfiguration) die Authentifizierung nicht mehr am Port fest machen, sondern anhand der HW-Adresse (MAC). Allerdings verhält sich dies wie ein normaler Mac-Filter, so dass man diesen auch durch einfaches Mac-Spoofing umgehen kann.
Eine echte Absicherung verspricht nur die Absicherung durch IPSec oder MACsec!
Du musst den Port aber erstmal freischaltern ... das wird bei jeder Statusänderung angefragt und die Authentifizierung umgehst du keineswegs im handumdrehen. Theoretisch wenn der Port mal frei ist hast du da recht um da hinzukommen ist der Weg wohl viel weiter als bei nem macfilter...
Ja das stimmt. Aber wir reden ja hier von Ports an denen bereits ein legitimes Endgerät hängt. Und hier muss ich nur einen Switch dazwischen schalten und dann gibt es keine Statusänderung am Port nach der Authentifizierung. Einen öffentlichen Port ohne Endgerät kannst du fast genau so sicher mit einem Mac-Filter absichern wie mit dot1X. Denn wenn du das "Secret" z.B. die MAC nicht kennst kommst du auch nicht rein. (Bruteforce der MAC wird i.d.R. mit PortSecurity auch verhindert).
Ich möchte damit sagen, dass der private Aufwand ein dot1X zu betreiben, meiner Meinung nach in keiner Weise gerechtfertigt ist (im privaten Bereich). Ich vermute sogar das 99% erhebliche Einrichtungsfehler macht, und sich zum Schluss in falscher Sicherheit wägt.
hallo ich will das hier auch gar nicht weiter treiben du wirst da vermutlich recht haben mit der Einrichtungsproblematik etc hängt immer von den Skills des jeweiligen ab.
Nur um das noch richtig zu verstehen. Du hängst ein Switch dazwischen schließt das Gerät an das neue Switch an und das Gerät übernimmt dann die Authentifizierung für dich oder wie? Ich glaube das muss ich mal ausprobieren.
Bei Portbased-Auth ist das genau so. Daher wurde, wie schon geschrieben, der Macbased-Auth eingeführt. Damit kannst du mehrere Geräte an einem Unmanged-Switch hängen, welcher dann an einem Dot1Xfähigen Switch hängt. Alle Geäte müssen sich dann für ihre Mac-Adresse per EAPol anmelden. Ist u.a. auch wichtig bei VoIP Telefonen, welche einen integrierte Switch/Port haben um den Rechner anzuschließen. Sonst würde der Rechner ohne Auth im gleichen LAN wie das Telefon (meist einb extra VoiceLAN) landen
Hallo traxanos, ich hätte da auch noch eine Frage.
Das ganze betrifft ja nur (abgesehen von öffentlichen Gebäudn) LAN Anschlüsse im Aussenbereich, da ein Fremder nur da einen switch dazwischen hängen kann.
Wohlweislich habe ich intuitiv bisher immer auf Wlan Kameras gesetzt und habe selbst keine unifi Cams.
Aber ein Vlan welches komplett nur für Kameras ist und zu anderen (Vlans) abgeschottet, also jeglicher Verkehr ist unterbunden. wäre doch sicher. Zugriff zum anschauen der Kamerabilder darf dann allerdings dann auch nur innerhalb dieses Vlans erfolgen ? oder ?
So ist zumindest mein Konzept bei meinem o.g. Privat - Vlan wo nur das NAS für meine Bilder, die Workstation für die Bildbearbeitung sowie mein Fotodrucker sowie alle privaten Daten (Banksachen etc) drin ist und jeglicher Verkehr zu anderen Netzen und i-net unterbunden ist. Das hielt ich zumindest bisher für sicher. Nachteil ist halt kein Zugriff von Tablett/Handy etc auf diese Daten
Korrekt. Die Idee mit WLAN Kameras halt ich aber nicht für so sinnvoll, da diese einfach lahmgelegt werden können (durch Funkstörungen). Aber generell WLAN im Außenbereich zu verwenden ist tatsächlich sinnvoll. Mache ich so mit dem Fernseher.
VLANs ohne Brücke (Router o.ä.) sind wie physikalisch getrennt anzusehen. Man sollte aber beachten dass keine galvanische Trennung statt gefunden hat und somit gegen andere Angriff anfällig sind. Überspannung kann den Switch und alle daran angeschlossenen Geräte zerstören. Gibt es also einen VLAN getrennten LAN Port im Aussenbereich kann dieser genutzt werden anderen Schaden anzurichten. Das betrifft auch eine Steckdose, weshalb man diese über einen eigenen FI wenn möglich anbindet.
Ob eine VLAN Trennung im privaten Bereich sinnvoll ist - dazu habe ich ja schon meine Meinung geschrieben.
Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.
Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.
Kommentar