Jump to content

Alternative zu 802.1x? Netzwerksicherheit / Clients einschränken


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Guten Abend zusammen,

 

mal eine kurze Frage. Ich suche nach einer Alternative zur Authentifizierung über 802.1x.

Hintergrund ist dass die Fremdgeräte im Netzwerk wachsen und erstaunlicherweise auch noch unter den TOP5 in der Webhistory auftauchen. 
Das möchten wir gerne unterbinden, aufgrund der gemischten und gewachsenen Struktur könnte ich mir gut vorstellen dass es zu Problemen kommt.


Deswegen ist meine Überlegung eine Art "Hotspot" einzurichten, oder dass Clients einen Agent installiert bekommen der wiederum den Netzwerkzugriff freigibt.

Clients ohne Agent werden erstmal geblockt, bis sie vielleicht manuell (z.B. für Gäste oder Außendienstler) freigegeben werden.

 

Hat da jemand eine Idee?

 

Besten Dank und einen angenehmen Abend.

Link to comment

Eigentlich sollte man fremden Geräten den Netzwerkzugriff generell verbieten.

 

Wenn das  nicht geht, könnte man vielleicht auch spezielle Netzwerkdosen einrichten, auf deren Port ein speziellen VLAN getaggt ist. Dieses  VLAN wird  dann halt nur zum Proxy  geroutet  oder es  wird (besser) ein eigener kaskadierter Proxy installiert.

 

Zur Sicherheit wird bei den internen PC's dann Radius verwendet.

 

NAP lässt sich  übrigens auch mit Radius  kombinieren (und macht  vielleicht auch nur dann Sinn).

Clients, die  nicht der Policy entsprechen (z.B. gültiges  Computer Zertifikat) , landen  dann im obigen "Gäste-Netz".

 

-Zahni

Link to comment

Dass manche Geräte nicht in der Domäne sind ist eigentlich kein Problem. Man bringt entweder das Zertifikat manuell auf die Notebooks oder mit MSCHAP per Username und Passwort authentifizieren.

Mir fällt spontan auch keine bessere Lösung ein. Wenn die Switche 802.1x unterstützen kann man die Einführung durchaus relativ kostengünstig hinbekommen.

Link to comment

Nächstes Problem: manche Notebooks sind nicht in der Domäne, zum Beispiel manche Außendienstler.

Das macht nichts. Ich habe hier Domänenclients und Clients die nicht der Domäne sind. Außerdem habe ich hier Drucker an geschützten Netzwerkdosen. Ich habe diese Geräte über MAC-Authentifizierung angeschlossen. Ich denke, dass viele Switche 802.1x und MAC-Authentifizierung können.

 

Weshalb sind immer die Notebooks der Außendienstmitarbeiter nicht in der Domain? Es gibt für die Benutzer keinerlei Nachteile wenn die Geräte in der Domain sind.

Das Thema hatte ich auch schon. Mir hat mal einer gesagt, dass er nie Notebooks für Außendienstler in eine Domäne legen würde.

 

Ich sehe das genauso wie Du. Ich habe alle in der Domäne. Man kann den Wert ja für Anmeldungen ohne Domäne ja hochsetzen. Ich meine der Wert 25 ist Standard.

Link to comment

Das Thema hatte ich auch schon. Mir hat mal einer gesagt, dass er nie Notebooks für Außendienstler in eine Domäne legen würde.

Mit welcher Begründung würde er das machen?

 

Ich sehe das genauso wie Du. Ich habe alle in der Domäne. Man kann den Wert ja für Anmeldungen ohne Domäne ja hochsetzen. Ich meine der Wert 25 ist Standard.

 

Das ist nicht das was Du meinst, sobald Du einmal an der Domain angemeldet bist, kannst Du das noch unendlich lange und oft machen.

Link to comment

Mit welcher Begründung würde er das machen?

Leider habe ich ihn damals nicht gefragt. Er sagte damals, dass kein Notebook, welches auch nur zw. außer Hause ist, etwas in der Domäne zu suchen hat.

 

 

Den Wert gibt's nur nicht. Das was du meinst ist die anzahlzwischengespeicherter Anmeldeinformatiomen. Und das hat mit der Anzahl der Anmeldungen ohne Domäne eines Users mit zwischengespeicherter Anmeldeinformatiomen genau nix zu tun.

Tja das wusste ich nicht. Wieder was dazu gelernt. :)

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...