Jump to content

Traffic-Verschlüsselung im LAN


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich beschäftige mich seit einiger Zeit mit 802.1X und der Authentifizierung über Zertifikate.

Allerdings ermöglicht mir 802.1X nur eine sichere Authentifizierung, der Netzwerktraffic nach der erfolgreichen Authentifizerung, also wenn der Port geöffnet ist, bleibt weiterhin unverschlüsselt.

 

Gibt es denn eine Möglichkeit den Netzwerktraffic im LAN komplett zu verschlüsseln und den Schlüsel entsprechend dynamisch in Intervallen zu ändern?

 

Ich wäre für Lösungsmöglichkeiten bzw. Quellen sehr dankbar.

 

Dank Euch.

 

Grüße

 

Greaf

Link zu diesem Kommentar

Naja, IPSec ermöglicht zwar die Verwendung eines Tunnels, aber garantiert es denn auch eine sichere Authentifizierung von Client und Netzwerk.

 

Macht es denn Sinn ein LAN mit 1000+ Rechnern mit IPSec zu schützen, sprich für jeden Rechner einen Tunnel mit dem Netzwerk aufzubauen?

 

Ich würde mich auch über ein paar gute Links zu dem Thema freuen.

Link zu diesem Kommentar

Hallo,

du willst 1000 Rechner über WLAN vernetzen?

Grundsätzlich sollte die Verkabelung der Rechner die deutlich bessere Möglichkeit sein, wenn diese sich nicht bewegen(Desktop Rechner). Dann hast du weniger Störungen und kannst dir grundsätzlich die Verschlüsselung sparen, was das ganze wieder schneller macht.

Mal aus reinem Interesse, was ist das für ein Netz, das du da bauen willst?

Gruß

Padde

Link zu diesem Kommentar
Hallo,

du willst 1000 Rechner über WLAN vernetzen?

Vielleicht trügen mich meine alten Augen, aber du bist in diesem Thread bisher der einzige, der das Wort WLAN aufgeworfen hat. Wo steht, dass er 1.000 Rechner per WLAN vernetzen will :confused: :confused: :confused:

Villeicht noch mal für dich zum Lesen:

Zitat Greaf:

...Möglichkeit den Netzwerktraffic im LAN komplett zu verschlüsseln ...

 

.... Sinn ein LAN mit 1000+ Rechnern ....

 

 

@Greaf:

Naja, IPSec ermöglicht zwar die Verwendung eines Tunnels, aber garantiert es denn auch eine sichere Authentifizierung von Client und Netzwerk.

Wie mein Vorschreiber schon sagte, IPSEc setzt nicht ein Tunnel voraus, IPSec baut auch keinen Tunnel in dem Sinne auf, sondern bietet mir Verschlüsselung. Die Authentifizierung der Rechner habe ich mit IPSec auch, entweder Kerberos oder zertifikate. Sollte eigentlich als sichere Authentifizierung gelten.

IPSec ist deine Lösung, du solltest dich aber unbedingt näher damit beschäftigen. Bei Microsoft gibt es ewig Links dazu ;)

 

 

grizzly999

Link zu diesem Kommentar

Hallo zusammen und danke für die Infos.

 

@Padde Natürlich will ich nicht 1000+ Rechner per WLAN vernetzen, sondern wie Grizzly schon festgestellt per Kabel verdrahten.

 

Folgendes muss für das Netz gelten:

 

- Es sollte sich niemand mit einem Nicht-Domänen-Computer im Netzwerk bewegen können:

Meine angedachte Lösung: 802.1X mit TLS zur Authentifizierung. Nur Computerzertifikate zur Authentifizierung. Da PXE-Boot verwendet werden muss zwei VLANs:

1. Default = DHCP, CA, Softwareinstallationsserver

2. erfolgreiche Authentifizierung per Computerzertifikat = komplett frei

Hier kenne ich mich gut aus. Das sollte kein Problem mehr darstellen.

 

Hier das Problem

- Der Datentransfer sollte nicht "mitgelauscht" werden können.

Da bei 802.1X nur die Authentifizierung verschlüsselt ist, kann man mit sehr einfachen Mitteln dennoch den vollen Datentransfer mitlauschen. Daher würde ich gerne den Datentransfer verschlüsseln.

Kann man eine kombinierte Lösung 802.1X mit IPSec Tunneled Mode implementieren?

Mit IPSec kenne ich mich eher bescheiden aus. Daher stelle ich auch die dämlichen Fragen. :confused:

Oder würde eine reine IPSec-Implementierung reichen? Dort hätte ich aber nicht den Vorteil, dass eine Authentifizierung am Edge-Device (dem ersten Switch) erfolgen muss.

Ich tue mir etwas schwer und hoffe auf Tips und Antworten.

 

Dank Euch ;)

 

Gruß

 

Greaf

Link zu diesem Kommentar

also wenn du den Server auf "Sicherheit erforderlich" stellst (IPSec), muss sich der anmeldende Client mit IPsec authenfizieren! die einzige Verbindung die dann nicht gesichert ist und sein kann, ist wohl die Anfrage vom Client und eine evtl. Antwort vom Server, der IPsec haben will...

somit sollten dann alle mitglieder in der domäne gesichert sein! um unerwünschte Hardware auszuschliessen, sollte noch eine Port-Security eingesetzt werden, welche an jeden Switch-Port nur jeweils eine MAC durchlässt...

Link zu diesem Kommentar

@xcode-tobi

Ok, stellt man die Ports der Cisco-Switches auf Single-Host-Mode wird nur eine Mac duchgelassen. Problem erschlagen.

Aber: Fälsche ich allerdings diese MAC mit der Verwendung eines Hubs dazwischen und zieh den bereits authentifizierten Rechner raus, habe ich dann eine freie Verbindung, wie bei der Verwendung von 802.1X oder wird die Verbindung mit IPSec dann wertlos bzw. trennt sich sogar?

Link zu diesem Kommentar
@xcode-tobi

Ok, stellt man die Ports der Cisco-Switches auf Single-Host-Mode wird nur eine Mac duchgelassen. Problem erschlagen.

Aber: Fälsche ich allerdings diese MAC mit der Verwendung eines Hubs dazwischen und zieh den bereits authentifizierten Rechner raus, habe ich dann eine freie Verbindung, wie bei der Verwendung von 802.1X oder wird die Verbindung mit IPSec dann wertlos bzw. trennt sich sogar?

 

gut, klar können die MAC's geklont werden, aber es ist zumindest eine Hürde über die der "laie" erst mal muss...

Ich meine der "neue" Client muss sich ja dann auch wieder im AD, also am Server, anmelden und sich per IPsec authentifizieren.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...