Jump to content
Sign in to follow this  
Greaf

Traffic-Verschlüsselung im LAN

Recommended Posts

Hallo zusammen,

 

ich beschäftige mich seit einiger Zeit mit 802.1X und der Authentifizierung über Zertifikate.

Allerdings ermöglicht mir 802.1X nur eine sichere Authentifizierung, der Netzwerktraffic nach der erfolgreichen Authentifizerung, also wenn der Port geöffnet ist, bleibt weiterhin unverschlüsselt.

 

Gibt es denn eine Möglichkeit den Netzwerktraffic im LAN komplett zu verschlüsseln und den Schlüsel entsprechend dynamisch in Intervallen zu ändern?

 

Ich wäre für Lösungsmöglichkeiten bzw. Quellen sehr dankbar.

 

Dank Euch.

 

Grüße

 

Greaf

Share this post


Link to post

Naja, IPSec ermöglicht zwar die Verwendung eines Tunnels, aber garantiert es denn auch eine sichere Authentifizierung von Client und Netzwerk.

 

Macht es denn Sinn ein LAN mit 1000+ Rechnern mit IPSec zu schützen, sprich für jeden Rechner einen Tunnel mit dem Netzwerk aufzubauen?

 

Ich würde mich auch über ein paar gute Links zu dem Thema freuen.

Share this post


Link to post

Hallo,

du willst 1000 Rechner über WLAN vernetzen?

Grundsätzlich sollte die Verkabelung der Rechner die deutlich bessere Möglichkeit sein, wenn diese sich nicht bewegen(Desktop Rechner). Dann hast du weniger Störungen und kannst dir grundsätzlich die Verschlüsselung sparen, was das ganze wieder schneller macht.

Mal aus reinem Interesse, was ist das für ein Netz, das du da bauen willst?

Gruß

Padde

Share this post


Link to post
Hallo,

du willst 1000 Rechner über WLAN vernetzen?

Vielleicht trügen mich meine alten Augen, aber du bist in diesem Thread bisher der einzige, der das Wort WLAN aufgeworfen hat. Wo steht, dass er 1.000 Rechner per WLAN vernetzen will :confused: :confused: :confused:

Villeicht noch mal für dich zum Lesen:

Zitat Greaf:

...Möglichkeit den Netzwerktraffic im LAN komplett zu verschlüsseln ...

 

.... Sinn ein LAN mit 1000+ Rechnern ....

 

 

@Greaf:

Naja, IPSec ermöglicht zwar die Verwendung eines Tunnels, aber garantiert es denn auch eine sichere Authentifizierung von Client und Netzwerk.

Wie mein Vorschreiber schon sagte, IPSEc setzt nicht ein Tunnel voraus, IPSec baut auch keinen Tunnel in dem Sinne auf, sondern bietet mir Verschlüsselung. Die Authentifizierung der Rechner habe ich mit IPSec auch, entweder Kerberos oder zertifikate. Sollte eigentlich als sichere Authentifizierung gelten.

IPSec ist deine Lösung, du solltest dich aber unbedingt näher damit beschäftigen. Bei Microsoft gibt es ewig Links dazu ;)

 

 

grizzly999

Share this post


Link to post

Hallo zusammen und danke für die Infos.

 

@Padde Natürlich will ich nicht 1000+ Rechner per WLAN vernetzen, sondern wie Grizzly schon festgestellt per Kabel verdrahten.

 

Folgendes muss für das Netz gelten:

 

- Es sollte sich niemand mit einem Nicht-Domänen-Computer im Netzwerk bewegen können:

Meine angedachte Lösung: 802.1X mit TLS zur Authentifizierung. Nur Computerzertifikate zur Authentifizierung. Da PXE-Boot verwendet werden muss zwei VLANs:

1. Default = DHCP, CA, Softwareinstallationsserver

2. erfolgreiche Authentifizierung per Computerzertifikat = komplett frei

Hier kenne ich mich gut aus. Das sollte kein Problem mehr darstellen.

 

Hier das Problem

- Der Datentransfer sollte nicht "mitgelauscht" werden können.

Da bei 802.1X nur die Authentifizierung verschlüsselt ist, kann man mit sehr einfachen Mitteln dennoch den vollen Datentransfer mitlauschen. Daher würde ich gerne den Datentransfer verschlüsseln.

Kann man eine kombinierte Lösung 802.1X mit IPSec Tunneled Mode implementieren?

Mit IPSec kenne ich mich eher bescheiden aus. Daher stelle ich auch die dämlichen Fragen. :confused:

Oder würde eine reine IPSec-Implementierung reichen? Dort hätte ich aber nicht den Vorteil, dass eine Authentifizierung am Edge-Device (dem ersten Switch) erfolgen muss.

Ich tue mir etwas schwer und hoffe auf Tips und Antworten.

 

Dank Euch ;)

 

Gruß

 

Greaf

Share this post


Link to post

also wenn du den Server auf "Sicherheit erforderlich" stellst (IPSec), muss sich der anmeldende Client mit IPsec authenfizieren! die einzige Verbindung die dann nicht gesichert ist und sein kann, ist wohl die Anfrage vom Client und eine evtl. Antwort vom Server, der IPsec haben will...

somit sollten dann alle mitglieder in der domäne gesichert sein! um unerwünschte Hardware auszuschliessen, sollte noch eine Port-Security eingesetzt werden, welche an jeden Switch-Port nur jeweils eine MAC durchlässt...

Share this post


Link to post

@xcode-tobi

Ok, stellt man die Ports der Cisco-Switches auf Single-Host-Mode wird nur eine Mac duchgelassen. Problem erschlagen.

Aber: Fälsche ich allerdings diese MAC mit der Verwendung eines Hubs dazwischen und zieh den bereits authentifizierten Rechner raus, habe ich dann eine freie Verbindung, wie bei der Verwendung von 802.1X oder wird die Verbindung mit IPSec dann wertlos bzw. trennt sich sogar?

Share this post


Link to post
@xcode-tobi

Ok, stellt man die Ports der Cisco-Switches auf Single-Host-Mode wird nur eine Mac duchgelassen. Problem erschlagen.

Aber: Fälsche ich allerdings diese MAC mit der Verwendung eines Hubs dazwischen und zieh den bereits authentifizierten Rechner raus, habe ich dann eine freie Verbindung, wie bei der Verwendung von 802.1X oder wird die Verbindung mit IPSec dann wertlos bzw. trennt sich sogar?

 

gut, klar können die MAC's geklont werden, aber es ist zumindest eine Hürde über die der "laie" erst mal muss...

Ich meine der "neue" Client muss sich ja dann auch wieder im AD, also am Server, anmelden und sich per IPsec authentifizieren.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...