WLAN Authentifizierung Strategie

[::micha:: 10]

Hallo,

 

ich stehe derzeit vor der Aufgabe unser WLAN sicherer zu machen und wollte mal gerne eure Meinung dazu einholen.

Derzeit setzen wir auf eine Benutzerauthentifierzierung mittel NPS und AD.

Dabei geschied eine dynamische VLAN Zuordnung am AP.

Leider ist es nun so, dass der Benutzer XYZ sein privates Notebook mitbringt und sich damit auch ins WLAN einloggen kann. Dies würde ich gerne unterbinden.

Ich bin auf eure Ansätze gespannt.

 

Grüße aus dem Norden

Micha

[Hannes91 10]

Hallo,

 

ich stehe derzeit vor der Aufgabe unser WLAN sicherer zu machen und wollte mal gerne eure Meinung dazu einholen.

Derzeit setzen wir auf eine Benutzerauthentifierzierung mittel NPS und AD.

Dabei geschied eine dynamische VLAN Zuordnung am AP.

Leider ist es nun so, dass der Benutzer XYZ sein privates Notebook mitbringt und sich damit auch ins WLAN einloggen kann. Dies würde ich gerne unterbinden.

Ich bin auf eure Ansätze gespannt.

 

Grüße aus dem Norden

Micha

 

 

Auf Computerauthentifizierung umsteigen oder um es den Benutzer etwas schwerer zu machen auf Benutzerauthentifizierung mit Zertifikaten umsteigen und es verbieten den Private Key zu exportieren.

 

Wars***einlich wird momentan Username und Passwort genutzt?!

 

Gruß

[::micha:: 10]

Auf Computerauthentifizierung umsteigen oder um es den Benutzer etwas schwerer zu machen auf Benutzerauthentifizierung mit Zertifikaten umsteigen und es verbieten den Private Key zu exportieren.

 

Wars***einlich wird momentan Username und Passwort genutzt?!

 

Gruß

 

 

Das ist richtig, derzeit wird Username/Passwort genutzt. Dies muss allerdings auch als Bedingung so bleiben. Benutzerzertifikate scheiden aus, da anhand des Realms eine Domänenzuweisung erfolgt.

Der Umstieg auf Computerauthetifizierung ist da leider auch nicht praktikabel. Es erfolgt ja zusätzlich anhand des Benutzers eine VLan zuweisung.

 

Welche Möglichkeiten gibt es noch?

 

Micha

[Hannes91 10]

Das ist richtig, derzeit wird Username/Passwort genutzt. Dies muss allerdings auch als Bedingung so bleiben. Benutzerzertifikate scheiden aus, da anhand des Realms eine Domänenzuweisung erfolgt.

Der Umstieg auf Computerauthetifizierung ist da leider auch nicht praktikabel. Es erfolgt ja zusätzlich anhand des Benutzers eine VLan zuweisung.

 

Welche Möglichkeiten gibt es noch?

 

Micha

 

Wenn du Computerauthentifizierung machst, kannst du genau wie mit Benutzern natürlich auch Vlan zuweisung machen.

 

Eine weitere möglichkeit wäre, dass du die MAC Addressen am NPS einträgst die zugriff haben dürfen.

Bei der Benutzerauthentifizierung wird die MAC des Client PCs mitgeschickt (Anrufer ID)

 

Du kannst dann in deiner Netzwerkrichtlinie eine neue Bedingung hinzufügen (Anrufer ID) und in diesem Feld die Mac Addressen getrennt mit einem pipeline eintragen.

 

z.b. 00-00-00-00-00-00|11-11-11-11-11-11

 

Das wäre die für dich wars***einlich einfachste Lösung. Das sollte normalerweise so funktionieren, aber die Liste muss natürlich gepflegt werden und ich weiß nicht auf wieviele Zeichen dieses Feld begrenzt ist.

 

Eine andere möglichkeit fällt mir zur Zeit nicht ein.

 

Gruß

[::micha:: 10]

 

Eine weitere möglichkeit wäre, dass du die MAC Addressen am NPS einträgst die zugriff haben dürfen.

Bei der Benutzerauthentifizierung wird die MAC des Client PCs mitgeschickt (Anrufer ID)

 

Du kannst dann in deiner Netzwerkrichtlinie eine neue Bedingung hinzufügen (Anrufer ID) und in diesem Feld die Mac Addressen getrennt mit einem pipeline eintragen.

 

z.b. 00-00-00-00-00-00|11-11-11-11-11-11

 

Gruß

 

Hallo,

 

Danke,

 

ich hab das eben mal getestet und es funktioniert. Leider passen in eine Bedingung nur 13 Mac Adressen. Dann muss es wohl über die Anzahl der Bedingungen gelöst werden ;) Ich hoffe nicht, dass diese auch begrenzt sind.

 

Gruß

Micha

 

Anzahl der Bedingungen ist natürlich quatsch, sondern Anzahl der Richtlinien

bearbeitet 5. September 2012 von ::micha::