Na aanleiding van de vorige NETGEAR Tech-Dive over “Hoeveel hosts kan je in de praktijk kwijt in één VLAN?”, kreeg ik de volgende vraag van een van onze resellers:
In (semi-)openbare netwerken loop ik geregeld aan tegen ongewenst aangesloten apparatuur. Hetzij een “vreemde” printer of mensen die zelf een switch plaatsen op een kabel die alleen bedoeld is/was voor een enkel device.
Is er een mogelijkheid dat je aan een poort van een manageble switch een restrictie legt van 1 aangesloten MAC-adres of device?
Wat mij betreft, mooie vraag om dit onderwerp eens wat breder te trekken in de vorm van een blog om zo extra achtergronden te verschaffen.

We zien bij NETGEAR de trend dat de ICT resellers, maar ook de eindgebruikers steeds bewuster worden van veiligheidsrisico’s op een lokaal netwerk. Ter voorkomen van malwarebesmetting en het naleven van de Europese regelgeving (AVG ook wel GDRP) krijg de veiligheid van een netwerk steeds meer aandacht. Ook de stabiliteit van een netwerk kan in het geding komen, vaak door een wildgroei van onbedoeld aangesloten devices. Maar een ding is zeker, op een instabiel netwerk zit niemand te wachten in deze 24 uurs economie.
Vanaf de NETGEAR Smart Managed Pro switches is het mogelijk om de aansluitingen (ethernet poorten) op de switch te beveiligen tegen onrechtmatig gebruik. De boven gestelde vraag is eigenlijk tweeledig: Het is met poortbeveiliging mogelijk om op een switchpoort een specifiek MAC-adres toe te staan en zo de rest van de MAC-adressen te blokkeren. Daarnaast kan je dynamisch een beperkt van aantal MAC-adressen op een switchpoort toestaan.
Meest Spartaanse oplossing, om te voorkomen dat “derden” apparatuur aan zouden kunnen sluiten is, om de betreffende switchpoort via het switch management uit te zetten. Zodoende kan bekabeling toch aangesloten worden en kan je de poort op afstand aan of uitzetten.
Wil je overigens de beveiliging van een switchpoort nog stringenter uitvoeren, dan kan je gebruik maken van RADIUS-toegangscontrole om zo een ethernet cliënt te authentiseren en gecontroleerd en veilig toegang te geven tot het netwerk.
Onder een toelichting op de drie meest voorkomende scenario’s.

 

Voorkomen van ongeoorloofd aansluiten van switches:

Deze situatie zie je vaak in bedrijfsverzamelgebouwen maar ook bij bedrijven waar er een tekort aan netwerkaansluitingen zijn. In deze situatie wordt vaak even snel een switch aangesloten om zo het beschikbaar aantal netwerkaansluitingen op te hogen. In de praktijk soms ook buiten medewerking van de afdeling systeembeheer. Om dit fenomeen dit te voorkomen, kan je op de betrokken switchpoort het aantal MAC-adressen, welke gebruik mogen maken van de switchpoort limiteren. Door slechts één MAC-adres toe te staan op een switchpoort, kunnen er als er toch een switch aangesloten wordt, geen extra netwerkapparaten aangesloten worden. De betrokken switchpoort van de bestaande switch, ziet als eerste het MAC-adres van de nieuwe switch, maar er kunnen op deze switch geen extra apparaten aangesloten worden vanwege het gelimiteerd aantal MAC-adressen. Resultaat is dat het aansluiten van deze extra switch nutteloos geworden is. Deze instelling is terug te vinden in het web managementmenu van de beheerde NETGEAR switch onder de optie:

Security > Traffic Control > Port Security >Port Administrator

Meer informatieis te vinden in deze manual op pagina 318 met het onderwerp: “Set the Dynamic and Static Limit on Port 1/0/1

 

Koppelen van specifiek MAC-adres aan een switch poort:

Wil je ervoor zorgen dat alleen een specifiek MAC-adres gebruik kan maken van een bepaalde poort op een switch, dan kan je dit MAC-adres invoeren op de gewenste switchpoort. Op pagina 321 van deze manual staat onder de noemer “Create a Static Address”, beschreven hoe je dit via het menu:

Security > Traffic Control > Port Security > Static MAC address.

Kan instellen.
Deze optie heeft wel een punt van aandacht, en dat is het zogenaamde MAC Spoofing. Met MAC spoofing is het mogelijk om een ander MAC-adres in een netwerkcliënt op te geven, waardoor deze vorm van poortbeveiliging op de switch omzeild kan worden.

 

Port authenticatie op basis van RADIUS:

De meest veilige methode om toegang tot poorten op een switch af te schermen is op basis van RADIUS-authenticatie. Hierbij moet een op de betreffende netwerkport aangesloten ethernet device zich aanmelden bij een RADIUS-server. Deze RADIUS-server controleert of de aanvraag aan de gestelde criteria voldoet en zo ja dan opent de betreffende poort op de switch, vervolgens heeft dit device toegang tot het netwerk. Voldoet de aanvraag niet aan de gestelde vereisten, dan krijgt de cliënt uiteraard geen toegang tot het netwerk.
Met oog op beveiliging kan een RADIUS-server vanaf bijvoorbeeld een simpele username, wachtwoord combinatie tot een met het instellen van certificaten en of two-factor authenticatie geconfigureerd worden. Ook integratie met een Active Directory server is mogelijk, hiermee kan je zelfs op user niveau een device forceren in een van tevoren bepaald VLAN. Deze methode wordt dynamic VLAN’s genoemd.
Voor deze oplossing heb je buiten een NETGEAR Smart Pro of hogere categorie switch minimaal de beschikking over een RADIUS-server nodig. Daarnaast dient het betreffende netwerk device ook RADIUS te ondersteunen.
Er is een NETGEAR knowledgebase artikel wat beschrijft wat RADIUS inhoudt, opgevolgd met een artikel over hoe je dit kan configureren op een NETGEAR switch.
Het inrichten van de RADIUS-server verschilt per fabrikant, maar gelukkig zijn hier behoorlijk wat voorbeelden van terug te vinden op het Internet.

Heb je zelf een onderwerp voor een blog gerelateerd aan NETGEAR, stuur mij dan een email of schrijf in voor een van mijn volgende webinars.

Eric Lindeman
Sr. SE NETGEAR Benelux