Maikarl 10 Geschrieben 28. April 2014 Melden Geschrieben 28. April 2014 Hallo zusammen, benötige mal etwas Hilfe zu o. a. Thema. Das wurde wie folgt eingerichtet. 1. NPS unter Server 2008 R2 als Radiusserver 2. MAC-Adressen Authentifizierung mit dynamischer VLAN Zuweisung 3. Authentifizierung für Telnet,Web und SSH über Radius 4. Benutzer (Benutzername und Passwort = MAC-Adresse) und Gruppen wurden im Active Directory angelegt und zugeordnet 5. Switch HP Procurve 2910-48al Imageversion W.15.12.0011 Switchkonfig im Anhang Soweit funktioniert alles einwandfrei. Jetzt zu meinem kleinen Problemchen. Mein Chef möchte gerne den ganzen Umzügen einen Riegel vorschieben, da die ganzen Dokumentationen nicht mehr stimmen usw. Es soll aber dennoch Aufgrund von Laptops flexibel bleiben. Ist es über den NPS möglich den Switchport als Bedingung zu benutzen? Ich habe das wenn nicht finden können. Denn ich will damit festlegen, das zum Beispiel MAC-Adresse XYZ nur am Port 1 arbeiten darf. Port Security und MAC Authentifizierung können bei dem HP Switch nicht gleichzeitig eingerichtet werden. Vielen Dank Gruß Thomas test1.txt
zahni 587 Geschrieben 28. April 2014 Melden Geschrieben 28. April 2014 Ich verstehe nicht, was "flexibel" ist, wenn ein NB nur einem Port arbeiten darf. Und nichts für ungut. Authentifizierung über MAC-Adresse bringt, außer jede Menge Arbeit, so gut wie nichts. Zumindest nichts was mit Sicherheit zu tun hat. Ich empfehle mit Zertifikaten zu arbeiten.
Maikarl 10 Geschrieben 29. April 2014 Autor Melden Geschrieben 29. April 2014 Hallo, Erstmal danke für die Antwort. Ja vermutlich wird es daruf hinauslaufen und eigentlich macht diese Art von Authentifizierung keinen Sinn auf Port begrenzt, da es dann nicht mehr wirklich flexibel ist. Dann könnte man auch Port Security alleine einrichten. MAC Auth wird aber als Rückfallalternative für Geräte wie z. B. Drucker bleiben müssen, die das mit Zertifikaten nicht unterstützen. Gruß Thomas
zahni 587 Geschrieben 29. April 2014 Melden Geschrieben 29. April 2014 Es gibt auch Drucker die das unterstützten. Z.B. halbwegs aktuelle Drucker von Lexmark.
Maikarl 10 Geschrieben 29. April 2014 Autor Melden Geschrieben 29. April 2014 Ja einige haben es auch bei uns aber leider nicht alle. Gruß Thomas
Daniel -MSFT- 129 Geschrieben 29. April 2014 Melden Geschrieben 29. April 2014 Die Drucker sollten eh in ein separates VLAN. Genauso andere Netzwerkgeräte wie IP-Telefone. Über diese Angriffsvektoren wurden schon einige erfolgreich gehacked.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden