Jump to content
Sign in to follow this  
commk

WLAN-Absicherung mit Zertifikaten

Recommended Posts

Hallo,

 

wir wollen unser WLAN absichern, so dass nur bestimmte Geräte zugreifen dürfen (evtl mit Zertifikaten, wenn möglich). Die User sollen also nicht ihr Gerät mitnehmen und am Active Directory anmelden dürfen.

 

Nun die Frage: wie machen wir das am besten? Verwendet wird derzeit ein Windows Server 2003 mit RADIUS-Authentifizierung mittels Benutzernamen/Kennwort. Geht da was mit Zertifikaten? Eine PKI ist vorhanden.

Bei den GPOs für Wireless Networks gibt's ja die Authentication Mode "Computer only". Würde das etwas helfen, das zu verwenden? Im AD gibt's eine Gruppe mit den PCs, die zugreifen dürfen.

 

MAC-Filterung sollte es nicht sein.

Share this post


Link to post

OFFTOPIC: Du, ich haeng da auch grad dran, W2K3 Server, ist IAS und DC, aber keine PKI, sondern nur von einer Linux ein selfsigned Zertifikat drauf.

Vom EAP Authenticator geht dann immer ein Radius Request hin, aber bekomm im Eventlog einen Fehler das der Zugriff geloescht wurde und entweder Client oder Server falsch konfiguriert sind.

 

Wird die Windows PKI definitiv benoetigt?

Share this post


Link to post

MS-Chap ist dafür nicht geeignet. Das Serverzertifikat muss der Benutzer mittels Computerzertifikat nicht überprüfen (und daher folglich auch nicht auf seinem Laptop haben), das lässt sich clientseitig nämlich leider deaktivieren (Häkchen bei "Serverzertifikat überprüfen" entfernen).

 

EAP-TLS scheint das selbe Problem zu haben. Es wird zwar hier zusätzlich ein Nutzerzertifikat verwendet, das kann der Benutzer aber exportieren. Ein Kollege meinte, dass man das Exportieren aber verhindern kann (lässt sich angeblich im Zertifikat festlegen). Hier wird aber zum automatischen Verteilen mind. Server 2003 Enterprise Edition benötigt. Hat da jemand Erfahrungen, geht das? (Bereitstellung von sicheren 802.11-Unternehmensnetzwerken mit Microsoft Windows)

 

In der Netzwerk-policy wird derzeit zwar auch die Computergruppe überprüft, sobald sich der Benutzer aber mit seinen Credentials anmeldet, pfeift Windows auf diese Überprüfung (daher evtl. "Computer only"; hat jemand Erfahrungen damit?).

 

PKI muss nicht sein, wäre aber vorhanden für den Fall, dass es NUR damit geht...

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...