Jump to content
Sign in to follow this  
LimpBizkit

WLAN absichern per RADIUS für Clients, die nicht in der Domäne sind

Recommended Posts

Hallo liebes Forum,

 

ich verwalte ein Schulnetz und versuche gerade, es ein wenig abzusichern.

 

Derzeitiger Stand:

Windows 2008 Server. Aufgesetzt mit AD und RADIUS. Einige Dutzend AP mit WPA-Extenden (EAP2). In der Domäne befinden sich derzeit ca. 10 Mitglieder (Domänencomputer) sowie ca. 100 Nicht-Domänenmitglieder (diverse private Lehrer- und Schüler-PCs, I-Phones, etc.). Alle PCs bekommen ihre IPs entweder dynamisch oder statisch von einem B-Netz 172.16.x.x, ich habe Reservierungen vorgenommen, um anhand der MAC-IDs ein wenig zu gruppieren.

 

Ich habe RADIUS erfolgreich so konfiguriert, dass er NUR die Domänencomputer in das Netzwerk lässt.

 

Problem: Täglich kommen einige hundert I-Phones etc. in das WLAN und legen unser Netz fast lahm. Der IP-Bereich für dynamische Vergaben ist ruckzuck so voll, dass keine IPs mehr zur Verfügung stehen. Die dynamische Vergabe soll nicht unterbunden werden, sondern nur bestimmten PCs / I-Phones / etc. zur Verfügungstehen. Die Reglementierung per Domänencomputer greift gut und sinnvoll, reicht aber nicht aus, da ich nicht alle zugelassenen Clients in die Domäne aufnehmen kann (es sind auch diverse Win7/XP Home Clients vorhanden). Bei Prüfungssituationen möchte ich auch die Möglichkeit haben, bestimmte Clients, die sonst Zugang haben, zu sperren.

 

Benutzerauthentifizierung geht nicht, da so etwas wirklich binnen weniger Tage ausgetauscht wird.

 

Wie gehe ich da am besten vor?

Derzeit arbeite ich probehalber mit einer NPS pro MAC-ID, aber das werde ich einfach nicht handeln können.

 

Mein erster Ansatz führte über DHCP-Bereiche, die ich in NPS ja verknüpfen kann. Eigentlich eine gute Idee, aber ich kann leider pro Netzwerk nur einen Bereich anlegen.

 

Hilfe wäre toll,

Tom

Share this post


Link to post
Share on other sites

Das Vergrößern des Adressbereiches ändert doch nichts an der physikalischen Belastung der Hardware, des physikalischen Netzes.

 

Es geht darum, nicht autorisierte Hardware sofort abzulehnen, keinen Zugang zu gewähren.

Share this post


Link to post
Share on other sites

ja, genau. Nicht authorisierte Hardware soll außen vor bleibe.

 

Das muss doch irgendwie gehen - und das Problem müsste es doch eigentlich auch recht häufig geben, oder?

 

Kann man denn per NPS irgendwie einstellen, dass der Zugriff gewährt wird, wenn die vom DHCP vergebene IP in einem bestimmten Beriech liegt?

 

also "wenn IP nach dem Muster 172.16.20.x dann Zugriff gestatten". Wichtig dabei, dass die IP vom DHCP vergeben wurde (und kein Schlingel die IP fest eingestellt hat)

 

Ich habe die möglichkeiten der Clientzertifikate auch noch nicht verstanden. Und wenn ich ehrlich bin, die des Serverzertifikats, dass da bei den NPS Vorgaben eingebunden wird, auch nicht :mad:

 

Wenn ich jetzt einen PC, der nicht in der Domäne ist, per WP einbinden möchte, kommt immer die Fehlermeldung auf dem Client, dass das Serverzertifikat nicht überprüft werden konnte. Tatsächlich ist in den WLAN-Eigenschaften mein Zertifikatserver auch nicht vorhanden, doch wie kriege ich den da überhaupt rein?

Share this post


Link to post
Share on other sites
..Das muss doch irgendwie gehen - und das Problem müsste es doch eigentlich auch recht häufig geben, oder?

 

Kann man denn per NPS irgendwie einstellen, dass der Zugriff gewährt wird, wenn die vom DHCP vergebene IP in einem bestimmten Beriech liegt?...

 

Ich meine, Du bist auf dem falschen Weg mit dem Gedanken an DHCP und IP-Bereichen. Der DHCP ist keine Sicherheitseinrichtung. Stelle dir vor, jemand konkonfiguriert sein Gerät mit einer festen IP, was dann? Da nützt auch Reservierung nichts. Auch eine MAC-Adresse kan man fälschen.

 

Ich bin kein Fachmann, meine aber, sicher gelöst wird sowas wohl mit Zertifikaten. Das muss man aber auf dem Gerät des Benutzers auch einrichten.

 

Und der Gedanke, die Hoffnung, Annahme, den Betrug bei Klassenarbeiten durch Abschalten des WLAN eindämmen, verhindern zu können, da bin ich mehr als skeptisch. Die Schüler benutzen nicht das WLAN sondern Ueinfac hMTS.

Share this post


Link to post
Share on other sites

also wenn mir jemand nen Tipp geben kann, WIE es mit Zertifikaten geht ... das interessiert mich schon und halte ich auch für machbar. Problem: Es gibt wohl auch WLAN-Geräte, die das nicht können. Mein PDA z.B. kann das sicherlich nicht.

 

Ich dachte, dass die NPS nicht nur die IP prüft, sondern auch, ob Sie vom DHCP vergeben wurde. Da gibt es in der NPS ja schon die Option "Profil", also das IP fälschen dürfte nicht gehen. MAC fälschen natürlich schon.

 

ich will das Schummeln nicht prinzipiell unterbinden, aber ich habe anonyme Briefe bekommen, in denen steht "ich finde es ungerecht, dass einige mit Ihren Handys auf Toilette gehen und im Internet die Lösungen suchen". Da haben die irgendwie schon Recht....

Share this post


Link to post
Share on other sites

ich will das Schummeln nicht prinzipiell unterbinden, aber ich habe anonyme Briefe bekommen, in denen steht "ich finde es ungerecht, dass einige mit Ihren Handys auf Toilette gehen und im Internet die Lösungen suchen". Da haben die irgendwie schon Recht....

 

Und was würde deine Lösung daran ändern? Die gehen im Zweifel auch per UMTS ins Internet und suchen Lösungen.

 

Bye

Norbert

Share this post


Link to post
Share on other sites

Ich könnte dir beschreiben, was wir getan haben, um externen Clients die Möglichkeit zu geben, den Internetzugang zu nutzen. Wer sind wir? Auch eine Schule mit 2 Servern (W2K8 und W2K8R2), ~120 Domänenclients und noch einer unbekannten Zahl von externen Clients, da wir das Netz dafür gerade erst geöffnet haben. Zu befürchten ist aber eine Explosion der Nutzer, obwohl man sich fragen muss, was ein iPhone für einen unterrichtlichen Nutzen bringt. Aber das ist ein anderes Thema. Wir haben diese Nutzung im Moment limitiert auf Lehrer, damit nur diese die Möglichkeit bekommen, den Internetzugang mit ihren privaten Rechnern zu nutzen. Auch hier ist es seltsam zu beobachten, dass der Anspruch gestellt wird, mit allem, was sie haben, den Zugang nutzen zu können (Notebook, MacBook, iPAD, iPhone etc.).

Wir haben alles mit Zertifikaten abgesichert und der Lehrer, der den Zugang nutzen will (vorausgesetzt, er hat alles auf seinem Rechner richtig installiert) muss bei der Verbindung mit dem Accesspoint seine (Domain-)Kennung und das dazugehörige Passwort eingeben.

Jetzt versuchen wir gerade Domänen-Notebooks zu integrieren, wobei hier ein Login mit jdem der ca. 1800 Domänen-Accounts möglich sein soll. Momentan scheitern wir an der simplen Tatsache, dass die Notebooks (obwohl Mitglied der Domäne - über Kabel integriert) sich nicht authentifizieren wollen. Insofern bekommt der sich anmeldende User dann auch die Meldung: "Domäne nicht gefunden". Die erfolgreiche Anmeldung ist in unserem Fall unabdingbar, weil sämtliche Profile serverbasiert sind.

Vielleicht können wir uns da irgendwie austauschen.

 

Gruß

Ralf

Share this post


Link to post
Share on other sites
.....Jetzt versuchen wir gerade Domänen-Notebooks zu integrieren, wobei hier ein Login mit jdem der ca. 1800 Domänen-Accounts möglich sein soll. Momentan scheitern wir an der simplen Tatsache, dass die Notebooks (obwohl Mitglied der Domäne - über Kabel integriert) sich nicht authentifizieren wollen. Insofern bekommt der sich anmeldende User dann auch die Meldung: "Domäne nicht gefunden". Die erfolgreiche Anmeldung ist in unserem Fall unabdingbar, weil sämtliche Profile serverbasiert sind.

Vielleicht können wir uns da irgendwie austauschen.

 

Hallo Ralf,

 

was soll Notebooks intergrieren bedeuten?

 

Wenn Geräte, egal ob Tower, Desktop oder Notebook der Domäne erfolgreich hinzugefügt, dann ist das Gerät Member der Domäne und damit integriert. Ob Roaming oder nicht, das ist nachrangig.

 

Können die Member denn den DC "sehen", per Ping oder Brower? Sind beim Joinen die Computerkonten entstanden im AD?

 

Wie, voher erhalten die Clients denn die IP, vom DHCP der Domäne? Funktioniert die Namensauflösung?

 

Austausch geschieht nur über das Board hier.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...