Jump to content

WLAN-Absicherung mit Zertifikaten


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

wir wollen unser WLAN absichern, so dass nur bestimmte Geräte zugreifen dürfen (evtl mit Zertifikaten, wenn möglich). Die User sollen also nicht ihr Gerät mitnehmen und am Active Directory anmelden dürfen.

 

Nun die Frage: wie machen wir das am besten? Verwendet wird derzeit ein Windows Server 2003 mit RADIUS-Authentifizierung mittels Benutzernamen/Kennwort. Geht da was mit Zertifikaten? Eine PKI ist vorhanden.

Bei den GPOs für Wireless Networks gibt's ja die Authentication Mode "Computer only". Würde das etwas helfen, das zu verwenden? Im AD gibt's eine Gruppe mit den PCs, die zugreifen dürfen.

 

MAC-Filterung sollte es nicht sein.

Link zu diesem Kommentar

OFFTOPIC: Du, ich haeng da auch grad dran, W2K3 Server, ist IAS und DC, aber keine PKI, sondern nur von einer Linux ein selfsigned Zertifikat drauf.

Vom EAP Authenticator geht dann immer ein Radius Request hin, aber bekomm im Eventlog einen Fehler das der Zugriff geloescht wurde und entweder Client oder Server falsch konfiguriert sind.

 

Wird die Windows PKI definitiv benoetigt?

Link zu diesem Kommentar

MS-Chap ist dafür nicht geeignet. Das Serverzertifikat muss der Benutzer mittels Computerzertifikat nicht überprüfen (und daher folglich auch nicht auf seinem Laptop haben), das lässt sich clientseitig nämlich leider deaktivieren (Häkchen bei "Serverzertifikat überprüfen" entfernen).

 

EAP-TLS scheint das selbe Problem zu haben. Es wird zwar hier zusätzlich ein Nutzerzertifikat verwendet, das kann der Benutzer aber exportieren. Ein Kollege meinte, dass man das Exportieren aber verhindern kann (lässt sich angeblich im Zertifikat festlegen). Hier wird aber zum automatischen Verteilen mind. Server 2003 Enterprise Edition benötigt. Hat da jemand Erfahrungen, geht das? (Bereitstellung von sicheren 802.11-Unternehmensnetzwerken mit Microsoft Windows)

 

In der Netzwerk-policy wird derzeit zwar auch die Computergruppe überprüft, sobald sich der Benutzer aber mit seinen Credentials anmeldet, pfeift Windows auf diese Überprüfung (daher evtl. "Computer only"; hat jemand Erfahrungen damit?).

 

PKI muss nicht sein, wäre aber vorhanden für den Fall, dass es NUR damit geht...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...