Hallo,

da wir im Moment etwas im Bereich Netzwerk Sicherheit unternehmen und ich mich dort leider noch nicht so gut auskenne wollte ich euch hier mal meine Überlegungen vorstellen und eure Meinung dazu einholen.

Situation:

Das Lokale Netzwerk und ein zusätzliches WLan sollen vor unbefugtem zugriff abgesichert werden. Es soll eine Aufteilung anhand von VLANs erfolgen, die etwa so aussieht:

VLAN 1: admin – zugriff auf alles

VLAN 2: user – nur ICA Protokoll auf die Citrix Serverfarm

VLAN 3: gast – nur http Protokoll nach außen

Überlegung:

Die Überlegung ist einen Radius Server einzusetzen in unserem falle einen ISA2006 Server und damit eine Authentifizierung zu ermöglichen und eine Zuweisung in die entsprechende VLANs basierend auf der Authentifizierung einzurichten.

Dazu dann mal einige Fragen:

Ist diese vorgehensweise sinnvoll und ist es auch eine gute Möglichkeit das LAN und das WLAN gegen unbefugten Zugriff zu schützen?

Gibt es auch eine Alternative um einen ähnlichen Schutz oder einen besseren zu gewährleisten?

Würdet ihr so etwas auch mit einem ISA Radius Server realisieren oder gibt es dafür bessere Systeme im ähnlichen Preisniveau?

Schon jetzt einmal vielen Dank für eure Antworten.

PS: Falls es hier nicht reinpasst bitte einfach verschieben. Danke

Bitte erstmal die Grundlagen zu VLAN durcharbeiten.

VLANs dienen zur Unterteilungen eines geswitchten Netzes in logische Teilbereiche und bieten keine Sicherheitsmechanismen wie die gewuenschten User-Berechtigungen.

Deine Switches muessen VLAN (IEEE802.1q) koennen.

Dann brauchst Du einen Router oder Routing Switch, der zwischen VLANs routen kann.

VLANs koennen statisch sein (basierend auf den Switchports), dynamisch (basierend auf MAC-Adressen, verwaltet in einer DB auf dem Switch), Layer3-protokollbasierend (IP oder IPX, selten implementiert) oder basierend auf Layer4-Ports (TCP/UDP Ports, selten implementiert).

Es wird ausschliesslich anhand a) des festen Switch-Ports, anhand der MAC-Adresse des Systems, c) anhand des Layer3-Protokolls oder d) anhand des Layer4-Ports entschieden, in welchen VLANs der Zugriff erlaubt ist.

VLAN1 kann nicht als benutzerdefiniertes VLAN genutzt werden. Denn VLAN1 ist sehr oft das default VLAN, dort kommt alles rein was nicht zugeordnet wird.

hallo,

also das mit den VLANs is eigentlich klar soweit das ich die switche und router dafür brauch die sind ja auch alle vorhanden.

Aber dann mal jetzt noch die Frage ich hab gelesen das die VLAN einteilung mit Hilfe eines Radius Servers auch benutzerbezogen erfolgen kann.

Geht das oder geht das nicht?

Ansonsten müsste eben eine einteilug nach Layer 4 Protokoll erfolgen kann das dann auch jeder Switch? und auf was muss man da noch besonders achten bzw wieso wird es so wenig implementiert?

Die VLAN nummern waren nur willkürlich gewählt *g* also ist schon klar das es ein Default VLAN gibt in das alle reinkommt