Guufy

hallo... Aber wenn Drucker und Angreifer (dieser kann sich ja ebenfalls nicht authentifizieren) im selben VLAN (Guest-VLAN) sind, könnte der Angreifer nicht den Verkehr zum Drucker abhören? Gruss!

Hallo zusammen, Bei meiner 802.1x Implementation werden die Benutzer über SmartCards authentifiziert basierend auf EAP-TLS. Nun kann es ja sein, dass jemand die SmartCard verliert oder vergisst. Gibt es bei diesem Szenario eine "kluge" Fallback-Lösung? Kann ich z.B. meinen RADIUS-Server so konfigurieren, dass er merkt wenn EAP-TLS abgelehnt wird und somit eine EAP-MD5-Challenge verschickt? Und wie kann ich dieses Szenario beim Client konfigurieren? Eine Checkbox "SmartCard vergessen" wird es wohl nicht geben :-) Grüsse, Yves

Danke für deine Antwort! Ein MAC-basierte Authentifizierung wird eher schwierig sein, da es für einen Angreifer wahrscheinlich möglich ist die MAC-Adresse des Drucker herauszufinden und somit mittels MAC-Spoofing ohne Probleme ins Netz kommt. Aber ich könnte den Switch so konfigurieren, dass alles was am Port X angehängt wird, ins VLAN "Drucker" kommt und dieses VLAN mittels Access Listen nur beschränkte Berechtigung aufs Netzwerk erhält. Oder? :)

Hallo zusammen, Wir müssen in der Schule ein Netzwerk (LAN, ohne W) aufbauen, dass eine 802.1x Port basierte Netzwerkauthentifizierung beinhaltet. Nun sind wir auf folgendes Problem gestossen: Alle Clients müssen sich am Switch über EAPoL authentifizieren mit Zertifikaten. Erst bei erfolgreicher Authentifizierung beim RADIUS-Server öffnet der Switch den Port. Jetzt sind aber noch Drucker an diesem Switch angeschlossen, die sich ja nicht mit EAP-TLS authentifizieren können. Jedoch möchten wir den Port am Switch für den Drucker nicht einfach offen lassen, da sonst jemand das Netzwerkkabel am Drucker verwenden kann um ohne Authentifizierung ins Netz zu kommen. Wie sieht die "Best practice"-Variante für dieses Szenario aus? Erhalten die Drucker ein eigenes VLAN? Zweite Frage: Der Switch ist mit einem Router verbunden? Wie wird dort die Sicherheit gewährleistet? Lässt man den Port am Switch auch einfach offen, da der physikalische Zugang zum Switch sowieso nicht gewährt werden soll? Ich hoffe ihr könnt mir nützliche Tipps geben :rolleyes: Besten Dank, Guufy