Skydda nätverksuttag från obehöriga?

IT-säkerhet --> Nätverk och datorkommunikation
/Moderator

Ska det göras ordentligt är det detta du behöver https://sv.m.wikipedia.org/wiki/IEEE_802.1X Då använder man certifikat på enheterna som kopplas in.

Ja, men hur många APs stödjer det? För de trådlösa klienterna så absolut, men för APn själv?

Det finns säkert managerade enheter som stödjer IPSEC eller liknande, men det kommer kosta därefter och troligen kräva att TS har en controller inne i huset, som också kommer kosta svinmycket.

Är TS lite händig kan han flasha om APn med typ dd-wrt och sätta kabeln på utsidan på ett helt separat nät eller VLAN. Därefter får APn köra VPN in till det riktiga nätet. Då måste en angripade fysiskt koppla ner APn, ta sig in i den, extrahera krypteringsnycklarna/certifikaten och sedan köra det på sin laptop, vilket blir bra mycket mer jobb.

Ett mycket enklare alternativ är att ha APn på insidan av huset och köra en extern antenn utomhus.

Det här är egentligen det enda korrekta svaret. Men hårdvara har inte alltid stöd för certifikat. Eller har sällan är nog mera rätt.

Vitlistor med macadresser är en markant sämre lösning. Att byta mac-adress är inget som är svårt eller krångligt, det går out-of-the-box i både Windows och Linux och på i princip alla wifirouters. Men om du ser till att macadressen på din pryl som sitter ute inte är synlig så är det ju en bit på vägen även om det förstås går att ta reda på ändå.

Lägg ner allt krångel med MAC-addresser och skit.

TS, bygg in uttaget i en IP-klassad kopplingsdosa för utomhusbruk. Klart. Kostar några tior på Biltema.

Om det inte är möjligt så dra igenom en ny kabel hela vägen, eller åtminstone till insidan av väggen.

En del router tilllåter att man begränsa vilka mac adressser som används, men kommer bli omstädigt.

Finns olika produkter som fsysik begränsa access.

https://www.amazon.se/LINDY-40470-po...thernet%2Block

Jag tror att det är vägen att gå. Tack!

Hur är det då med andra enheter i nätverket? Att köra 802.1X på utrustning inomhus känns som overkill. En del av den utrustning jag har lär inte ha stöd för det (skrivare, Sonos och så vidare).

Min fråga är om det är möjligt att köra 802.1x endast på en nod? Eller måste jag då köra det i hela nätverket?

Utan att veta vad du har för enheter så brukar man aktivera .1x per port så du kan mixa portar med eller utan 1x.

Det finns lite olika varianter på detta men om det inte är en enterprise klassad ap så kommer troligen 1x med cert inte funka (eap-tls). Utan det är troligen MAB du få köra (whitlista macadresser) Men om din AP/kamera har stöd för 1x med eap-tls eller peap så kör på det.

Sedan behöver du en authentiserings server för att kolla om enheterna är tillåtna eller inte. Exempel på gratisvariant är freeradius.

Men som många sagt tidigare så fundera på om det verkligen är värt det och kanske istället gå på fysiskt skydd.