nanoHD Access Point und E-Auto Ladestation vom Firmennetzwerk abschotten

Break16

Lt. Junior Grade
Registriert
Okt. 2006
Beiträge
388
hallo!

Wir haben folgende Netzwerkprodukte in der Firma:

1 x Ubiquiti UniFi Cloud Key Gen2 im Serverraum
1 x Fortinet FortiGate 60E Firewall (FG-60E) im Serverraum
1 x Ubiquiti UniFiSwitch Pro 48 Rackmount Gigabit Managed Switch im Serverraum
3 x Ubiquiti UniFi nanoHD Access Point im Großraumbüro
1 x Ubiquiti UniFi nanoHD Access Point in der Tiefgarage

Mein Anliegen: Ich habe in der Tiefgarage ja wie erwähnt einen nanoHD Access Point und eine Elektroautoladestation. Beide Geräte sind über ein Netzwerkkabel mit dem Patchpanel mit der Fortinet FortiGate 60E Firewall verbunden. Wie kann ich mich davor absichern, dass jemand in der Tiefgarage, das Kabel des nanoHD Accesspoits und der Ladestation aussteckt und versucht sich mit dem Firmennetzwerk zu verbinden bzw. versuchen misst zu bauen?

Sollte die Frage kommen: Ja, wir haben eine externe IT Firma, die sich um solche Angelegenheiten kümmert, jedoch würde ich mich gerne davor über alle Möglichkeiten informieren und eine der sichersten Methoden kennenlernen.

danke!

LG
 
Wenn jemand mit entsprechendem Know-How kommt schwer bis gar nicht.
Wohin muss die Ladestation denn kommunizieren können? Wenn kein Traffic ins Firmennetzwerk nötig ist pack alles in ein extra VLAN und leg auf der Fortigate entsprechende Firewallregeln an.
Du könntest mit 802.1X Authentifizierung den Port zusätzlich etwas absichern, da die Wallbox die Authentifizierung mit Zertifikaten höchst wahrscheinlich nicht unterstützt bliebe dir hier nur mac-based authentication über und die lässt sich relativ einfach umgehen. Kann natürlich trotzdem helfen wenn jemand nur mal schnell im vorbei gehen schauen will was in dem Netzwerk zu finden ist.
 
  • Gefällt mir
Reaktionen: PHuV und nosti
+1 für MAC-Based Authentication.

Zusätzlich sollten alle Stecker in einem abschließbarem Schrank liegen. Frei zugängliche Stecker sind immer ein Sicherheitsrisiko. Es gibt Patchkabel, welche nur mittels speziellem Schlüssel entfernt werden können. Das hindert einen Angreifer aber nicht, das Kabel durchzuschneiden und somit den Betrieb zu beeinflussen, oder gar seinen eigenen Stecker dran zu flanschen. Dies bekommst du nur durch einen Entzug des physikalischen Zugriffs hin.

Im Endeffekt sollte es auf eine Kombination verschiedenen Absicherungsmethoden herauslaufen.....Sicherheit ist ein ganzheitliches Konzept und nicht nur "die eine" Lösung.

Grüße
 
Ist die große Frage...
Bei uns ist das alles in separaten Netzen getrennt. Wir haben aber im Produktivnetz auch kein WLAN.
Das Unifi WLAN läuft autark in einem anderen Netz mit anderem Internetanschluss.

Wenn bei euch das Produktivnetz über WLAN läuft, dann ist der Netzwerkanschluss dort natürlich kritisch.

Ich glaube du kannst bei Unifi den Switchport zum AP auch deaktivieren lassen, wenn er den Link verloren hat.
Das macht in der Administration natürlich etwas mehr Aufwand, aber wenn jemand den AP abzieht ist der Port tot bis man ihn auf dem Switch wieder resettet und von der Sicherheit her damit die beste Option. Zudem hast du auch einen Indikator ob ein Manipulationsversuch stattgefunden hat und kannst dir das angebrachte Siegel an der Montageplatte anschauen.

Bei der Ladestation würde ich ggf. ein autarkes Netz einrichten. 4 Ports am Switch abtrennen oder separater 5 Port Switch. Bei Bedarf den Zugang irgendwo hin patchen.
Hier müssen ja evtl. Servicetechniker mit ihrem Notebook dran. Bei uns sind die Ladestationen gar nicht verkabelt. Der Spieltrieb hätte das gerne, aber es gibt keine Notwendigkeit dafür.
 
h00bi schrieb:
Der Spieltrieb hätte das gerne, aber es gibt keine Notwendigkeit dafür.
Sehe ich genauso, hat in einem Firmennetz nichts verloren. Wenn sie die Daten für ne Abrechnung oder irgendwas brauchen, sollte sich jemand mit einem Laptop direkt an die Wallbox verbinden und fertig wird ja kaum täglich gebraucht werden. Ansonsten vielleicht einen UMTS Router nehmen und darüber erreichbar machen die Ladesäule, könnte im Worst-Case jemand mal die Wallbox ausschalten bzw. laden unterbrechen...
 
Zurück
Oben