Zugriffskontrolle für Netzwerkressourcen (möglicherweise mit VLANs?)

1135
Markus A.

Ich versuche, ein Netzwerk einzurichten, das mehrere unterschiedliche Gerätegruppen mit unterschiedlichen Zugriffsrechten hat. Physikalisch sind Geräte entweder über Wandports oder über eines von mehreren verfügbaren WLAN-Netzwerken mit dem Netzwerk verbunden. Als Hardware verwende ich ein paar intelligente Cisco SG200-08-Switches, eine Reihe von UniFi-WLAN-APs und einen EdgeRouter Lite, der einen Vyatta-Linux-Zweig namens EdgeOS ausführt.

Da in den angeschlossenen Geräten ein gewisser Fluss vorhanden ist, möchte ich keine MAC-Adressliste verwalten, um die Zugriffsrechte zu verwalten, sondern die Geräte implizit einer Gruppe zuweisen, einfach basierend auf dem Wall-Port- oder WiFi-Netzwerk, das ich mit ihnen verbinde zu.

Mein derzeitiger Gedanke, wie das geht, ist folgender:

  • Definieren Sie verschiedene VLANs für die verschiedenen Gerätegruppen (zur Vereinfachung sagen wir VLAN 10 für vertrauenswürdige Systeme mit vollem Zugriff und VLAN 20 für Gäste, die nur auf bestimmte Ressourcen zugreifen dürfen).
  • Die Smart Switches können dann den verschiedenen Wall-Ports automatisch VLAN-IDs zuweisen.
  • Es stellt sich heraus, dass die UniFi-APs bis zu 4 WLAN-Netzwerke gleichzeitig mit unterschiedlichen Zugangsdaten senden können und dann den Verkehr mit VLAN-IDs kennzeichnen, abhängig davon, aus welchem ​​WLAN-Netzwerk er stammt.
  • Der EdgeRouter bindet schließlich alles zusammen, indem er Zugriffsrechte für die verschiedenen VLANs verwaltet.

Das Problem, das ich habe, ist, dass einige Geräte, die ich habe, verschiedene Methoden der automatischen Erkennung verwenden, um von ihrer Zugriffssoftware (UPNP, Windows-Netzwerkfreigaben, proprietären Protokollen, ...) gefunden zu werden. Ich möchte, dass die Geräte, auf die jeder zugreifen kann (von VLAN 10 und 20), auch von jedem (dh von beiden VLANs) auffindbar sind. Daher muss ich einen Weg finden, Broadcasts richtig weiterzuleiten und vielleicht ein paar andere Dinge zu tun ...

Hier bin ich gerade mit meinen Gedanken darüber, wie das geht:

  • Richten Sie einen DHCP-Server ein, der Werte in 192.168 zuweist. 10 .0 / 24 zu VLAN 10
  • Richten Sie einen zweiten DHCP-Server ein, der Werte in 192.168 zuweist. 20 .0 / 24 zu VLAN 20
  • Lassen Sie die DHCP-Server ihren Clients mitteilen, dass die Subnetzmaske 255.255 ist. 0 .0 (um sie hoffentlich aufzufordern, Geräte in beiden Adressbereichen zu ermitteln)
  • Richten Sie ARP-Proxying und Broadcast-Paketweiterleitung zwischen den VLANs ein (Sie wissen noch nicht, wie Sie dies erreichen können. Vielleicht überbrücken Sie nur die 2 VLANs?)
  • Fügen Sie Firewall-Regeln hinzu, die alle Cross-VLAN-Pakete verwerfen, mit Ausnahme von Broadcast-Paketen oder Paketen, deren VLAN-10-IP einem Gerät entspricht, auf das auch Gäste zugreifen können.

Also hier sind meine Fragen:

  1. Ist das Setup, wie ich es oben beschrieben habe, überhaupt sinnvoll, oder gibt es eine völlig andere, bessere Möglichkeit, die Zugangskontrolle zu erreichen? (Ich möchte auf jeden Fall die Bequemlichkeit beibehalten, Computer implizit den verschiedenen Zugriffsgruppen zuzuweisen, indem ich sie einfach an eines der verfügbaren WLAN-Netzwerke anbinde oder sie an bestimmte Wall-Ports anschließt.)

  2. Würde das beschriebene Setup tatsächlich die Erkennung von (UPNP-) Geräten über VLANs zulassen? Wie wäre es mit Windows-Computern und ihren Netzwerkfreigaben?

  3. Kann ein DHCP-Server in Linux Adressen in einem Subnetz zuweisen (z. B. 192.168.10.0/24), seinen Clients jedoch eine andere Subnetzmaske bereitstellen (z. B. 255.255.0.0)?

    Zusätzliches Guthaben: Kann ich dies über die EdgeOS-Benutzeroberfläche auf meinem EdgeRouter irgendwie durchführen, oder muss ich dies über die Befehlszeile einrichten?

  4. Muss ich nur eine generische Brücke zwischen den VLANs einrichten und "illegale" Pakete verwerfen, oder gibt es eine bessere Möglichkeit (sicherere, bessere Leistung, ...), um die beiden Netzwerke zu verbinden, um Geräteerkennung und -zugriff zu ermöglichen?

  5. Ist es möglich, nur zwei völlig unabhängige VLANs zu erstellen (kein Bridging) und der Router einfach ein Gerät in das andere Netzwerk "abbilden" zu lassen? Dh ein System mit der IP-Adresse 192.168.20.5 in VLAN 20 "gefälscht" und einfach den gesamten Datenverkehr an das reale System in 192.168.10.5 in VLAN 10 weitergeleitet? Kann dies so gemacht werden, dass es keinen Unterschied zwischen dem abgebildeten virtuellen System und der tatsächlichen Verbindung des Systems mit dem Netzwerk unter der jeweils anderen IP gibt?

Noch etwas zu beachten: Nicht alle Geräte, die ich über Netzwerke hinweg teilen muss, laufen unter Linux. Ich kann also nicht einfach die Geräte über virtuelle Schnittstellen wie eth0.10 und eth0.20 mit beiden VLANs "verbinden".

PS: Ich habe gelesen, dass VLANs nicht die sicherste Möglichkeit sind, Zugriffskontrollen bereitzustellen, da es mehrere einfache Möglichkeiten gibt, sie zu hacken (doppeltes Tagging usw.). Es hörte sich jedoch so an, als würden mit ein wenig Sorgfalt native IDs und Trunk-Ports vermieden, diese können leicht verhindert werden. Gibt es andere, grundlegendere Gründe, KEINE VLANs zu diesem Zweck zu verwenden? Wenn ja, was wäre eine Alternative?

0
Was ist, wenn Sie die vollständig verfügbaren Geräte in VLAN30 einrichten und den Datenverkehr von VLAN10 und 20 zulassen, nur nicht zwischen ihnen? NickW vor 10 Jahren 0
Ich dachte so etwas: Die beschränkten Ressourcen einfach auf VLAN-10 und die öffentlichen Ressourcen auf VLAN-30 zu haben und dann den Verkehr zwischen 10 und 30 und zwischen 20 und 30, aber nicht zwischen 10 und 20 zuzulassen. Ich weiß noch nicht, wie ich in diesem Fall die automatische Erkennung für VLANs funktionieren lassen würde. Wenn ich einfach zwei Brücken schaffe: 10-30 und 20-30, wären das auch die Brücken 10 und 20? Markus A. vor 10 Jahren 0
Sie sollten sie zwar nicht implizit überbrücken, aber Sie möchten wahrscheinlich Regeln, die den Verkehr zwischen den Netzwerken verhindern (durch IP sollte funktionieren). Im Übrigen können sowohl Windows als auch Linux mehrere NICs oder mehrere IP-Adressen verarbeiten. Sie können auch zwei NAT-Sitzungen zwischen 10 <-> 30 und 20 <-> 30 durchführen, um die gemeinsam genutzten Ressourcen in beiden mit lokalen IP-Adressen zu präsentieren. NickW vor 10 Jahren 0
Können Sie die automatische Erkennung von Geräten über NATs durchführen? Markus A. vor 10 Jahren 0

0 Antworten auf die Frage