Dark_Masta

Das VoIP z.B. in ein eigenes VLAN gesetzt wird ist mir klar dennoch würde ich gerne von euch wissen wie ihr Ports absichert die eben diese 802.1x nicht unterstützten. z.B. mein Drucker Zuhause unterstützt kein 802.1x, ist zwar ein Netzwerkdrucker aber keine Business Lösung. Wie verhindere ich jetzt das ich mein Laptop nehme und mich an diesem Port anschließe und nicht sofort im Netz bin? Auf dem Port eine MAC hinterlegen ist zwar ein Hindernis aber überwindbar. :)

Werde mir das mit dem Proxy mal genauer anschauen :) Vielen Dank für euere Hilfe So wegen wollen und technische Realität...das bringt mich eigentlich gerade zur nächsten Frage :) Windows Clients zu authentifizieren ist ja eigentlich eine recht sichere Sache. Wenn man auf dem Switchport noch definiert das nur eine MAC Adresse aktiv sein kann, sollte auch der Angriff mit dem Hub nicht mehr klappen oder? Doch wie ist es mit nicht Windows Clients? Switches, Router, VoIP, Drucker... Wie macht ihr das? Definiert ihr MAC ACL auf dem Switch und die Port Authentication als "MAC Based"? Wenn ja, könnte ja eigentlich jeder die MAC fälschen und ist somit im Netzwerk.

Hallo zusammen Vielen Dank für die schnelle Antwort. Das mit dem Zertifikat ist mir klar auch das man mehrere braucht wenn man höhere Verschlüsselungen benutzen will. Im Grunde möchte ich eigentlich egal welche PVID,etc auf dem Port hinterlegt ist, jedes Gerät das angeschlossen wird soll automatisch in ein spezielles Gäste VLAN verschoben werden und von dort DHCP beziehen. Ich habe momentan den NPS für Ethernet gelöscht und auf dem Switch eine Guest VLAN ID hinterlegt... Bekomme auch die richtige Guest VLAN aber erst nach 2min45sec. Kann ich das beschleunigen? Der Test Client ist direkt am Switch angeschlossen und es dauert auch immer diese 2min45Sec Wie geht ihr eigentlich um wenn z.B. ihr eine fixfertige Netzwerk Stuktur habt mit Domäne und Radius Server und dann z.B. eine Tochter Gesellschaft einzieht die ihre eigenen Server hat aber das selbe Netzwerk (Switches) braucht. Wie kann ich dort eine schlaue Authentifizierung aufbauen? Gruss Dark_Masta

Hallo Zusammen Ich habe ein kleines Projekt das ich realisieren möchte und zwar wie sichert man ein Netzwerk in einer kleineren Firma ab. In meiner kleine Testumgebung gibt es jetzt eine pfSense, die das LAN in unterschiedliche VLANs unterteilt, somit konnte ich schon mal das Gäste Netzwerk von dem produktive Netzwerk isolieren ohne zusätzliche Switchs und Kabel zu installieren. Die pfSense verwaltet die VLANs, bedeutet wenn ein VLAN mit einem anderen kommunizieren müsste, geht es über die pfSense und nicht über einen L3 Switch (Keiner Vorhanden, schlimm?). pfSense verteilt DHCP & DNS für die einzelnen VLANs abgesehen von der Windows Domäne(ESX), der DC verwaltet DHCP & DNS für "sein" Netzwerk selbst. Mein nächster Schritt war ein AP so zu konfigurieren das die internen Domänen Benutzer in das Interne WLAN kommen über das Domänen-Login. Für das habe ich einen RADIUS Server (Netzwerkrichlinienserver) installiert. Die Verschlüsselung für den RADIUS Server und Client ist PEAP mit MSCHAP v2. Das möchte ich auf für das normale LAN Netzwerk, um somit zu verhindern das nicht einfach ein Gast sich an einer Dosen anschließen kann und sofort im internen Netzwerk ist. Die Einstellungen auf dem RADIUS Server sind die selben wie beim Wireless nur halt für Ethernet. Jetzt sollte ich doch beim Switch einfach die Port Authentication anschalten und den Control Mode auf "Force Authorized" schalten oder nicht? Wenn ich das mache, bleibt der Client (der nicht in der Domäne ist und somit auch kein Domänen Login besitzt) im selben Netzwerk. Wäre eigentlch der Plan das er in das VLAN 80 verschoben wird (Gäste Netzwerk) Ich hoffe ihr könnt mir helfen. Vielen Dank Gruss Dark_Masta