Portsecurity etc

[magheinz 111]

Vohanden ist eine Windows AD mit einer funktionierenden PKI.

Ich würde jetzt gerne dafür sorgen das Rechner mit Zertifikat in ein bestimmtes VLAN kommen und Rechner ohne in ein "Gast-Netz".

Soweit so einfach.

 

Wenn ich jetzt aber meine Rechner in verschiedene VLANs stecken möchte, z.B: pro Liegenschaft ein anderes, wie gehe ich da vor? Brauche ich dann unter-PKIs damit die unterschiedlich unterschriebene Zertifikate bekommen oder kann ich z.B. auch nach OU im AD unterscheiden?

Ich bräuchte da mal einen Schubser in die richtige Richtung.

 

Magnus

[Dunkelmann 96]

Moin,

 

am einfachsten wäre es vermutlich an allen Standorten das gleiche VLAN für authentifizierte Clients zu verwenden.

 

Du könntest am NPS als Bedingung z.Bsp. den Namen des Radius Clients verwenden - der am NPS konfigurierte Anzeigename. Dabei werden auch Wildcards unterstützt.

Bspw. 'SW-LOK-AA-*' könnte bei geigneter Nomenklatur eine Richtlinie für alle Switches (SW) an der Lokation (LOK) Aachen (AA) mit einer fortlaufenden Nummer (00-99) abdecken.

[zahni 588]

Ja, in der Theorie klappt das nur richtig mit ein Switch der Radius http://de.wikipedia.org/wiki/IEEE_802.1X unterstützt.

Das Ganz kann man dann mit Windows NAP "verheiraten" http://en.wikipedia.org/wiki/Network_Access_Protection

[Doso 77]

Windows NAP wird ab der nächsten Windows Server Version nicht mehr unterstützt. Denke nicht das man das nun noch einführen sollte.

[magheinz 111]

am einfachsten wäre es vermutlich an allen Standorten das gleiche VLAN für authentifizierte Clients zu verwenden.

Das ist aber nunmal gewünscht. MIt einem VLAN ist das einfach, da weiss ich was ich machen muss.

 

Windows NAP wird ab der nächsten Windows Server Version nicht mehr unterstützt. Denke nicht das man das nun noch einführen sollte.

Das wusste ich nicht. Was wird denn dann die neue Vorgehensweise sein? Fällt die komplette Rolle NPAS weg?

 

802.1x ist auch klar. Ich hab in den Büros cisco sg300er im Einsatz. Die Frage die sich aufgetan hat ist wie man da die Liegenschaften unterscheidet. Ob man mehrere CAs oder unterCAs benötigt oder ob man da irgendwie anhand der OU in der sich der Rechner befindet unterscheiden kann.

[Dunkelmann 96]

Standortabhängige Richtlinien benötigen in den meisten Fällen keine eigene CA.

Der NPS hat einige Möglichkeiten, Bedingungen abzubilden. Die OU gehört jedoch nicht dazu.

 

Was gefällt Dir daran nicht, den Radius Client (Switch) als Indikator für den Standort zu nutzen?

[magheinz 111]

Standortabhängige Richtlinien benötigen in den meisten Fällen keine eigene CA.

Der NPS hat einige Möglichkeiten, Bedingungen abzubilden. Die OU gehört jedoch nicht dazu.

 

Was gefällt Dir daran nicht, den Radius Client (Switch) als Indikator für den Standort zu nutzen?

Weil ich des öfteren verschiedene VLANs auf einem Switch haben muss. z.B. ein Rechenr der ein Infoterminal ist und ein kassensystem

[Dunkelmann 96]

Bei AD-Mitgliedern bietet sich eine Sicherheitsgruppe als Kriterium an.

Bei nicht AD Mitgliedern könnte eine angepasste Zertifikatsvorlage mit zusätzlichem EKU Attribut verwendet werden.

http://technet.microsoft.com/en-us/library/hh945104.aspx

[zahni 588]

Ich bin nicht ganz bewandert in den Thema. Es müsste doch möglich sein, anhand des personalisierten (Computer-)Zertifikats über einen Radius-Server einem Computer das gewünschte VLAN zuweisen.

Eventuell kann man über die ORG-Infos im Zertifikat auch noch etwas zuweisen.

[Dunkelmann 96]

Jain. Der NPS kann out of the box nur EKU OIDs (Verwendungszwecke) prüfen. Neben Gültigkeit usw. natürlich.

http://technet.microsoft.com/de-de/library/cc772401%28v=ws.10%29.aspx

Einige Radius Clients können Filter/Regeln auf Basis anderer Zertifikatsattribute (OU, C, L usw.) anwenden.

 

Man sollte beim dem Thema zwischen den drei A, Authentication, Authorization, Accounting, sauber trennen und genau überlegen, was wie und womit umgesetzt werden soll.

 

Es gibt wohl eine NPS API, mit der sich benutzerdefinierte Bedingungen realisieren lassen sollen. Das habe ich allerdings noch nicht im Einsatz gesehen.

[magheinz 111]

na dann werde ich wohl mal sehen ob das nicht mit freeradius einfacher umzusetzen ist.

Die Zuordnung der VLANs anhand der OU hat dem Charm das jeder Depp das bedienen kann und es trotzdem höchst flexibel ist. Wird das verschieben in die korrekte OU vergessen hat der Rechner kein Netz und die It-Abteilung wird zeitnah per Telefon informiert :-)

Zum Testen können wir jede Rechner überall einstöpseln und er funktioniert so wie er soll.

 

mal sehen ob das mit freeradius geht...

[zahni 588]

Nicht die  OU-Attribute im Zertifikat mit  dem AD vermischen. Im Zertifikat kann man die als User nicht  ändern. 

[magheinz 111]

Ich will auch nicht nach user sondern nach Rechner-OU filtern. Irgendwie muss das doch gehen das man das AD befragt in welcher OU sicher in bestimmter Rechner befindet.

die einzige andere Alternative wären ja mehrere CAs, unterCAs o.ä.

 

Ich muss halt sicherstellen das ich einen Rechner einfach umziehen kann. Das darf nicth vom user abhängen sondern nur vom Rechner selber.

[zahni 588]

Mit NPS wird das gehen. Wie das aber in der nächsten Windows-Version dann funktionieren soll, ist mir nicht bekannt.

Eventuell gibt es von Cisco noch eine andere Implementierung.

[Dunkelmann 96]

Ich will auch nicht nach user sondern nach Rechner-OU filtern. Irgendwie muss das doch gehen das man das AD befragt in welcher OU sicher in bestimmter Rechner befindet.

die einzige andere Alternative wären ja mehrere CAs, unterCAs o.ä.

 

Ich muss halt sicherstellen das ich einen Rechner einfach umziehen kann. Das darf nicth vom user abhängen sondern nur vom Rechner selber.

Die aktuelle OU im AD ist kein Sicherheitsmerkmal und mMn nicht für die Autorisierung geeignet. Ein Sicherheitskonzept darauf aufbauen zu wollen, erscheint mir fragwürdig.

 

Noch ein letzter Ratschlag, bevor ich wegen Beratungsresistenz aufgebe:Beschäftige Dich bitte mit dem Themen PKI, Zertifikatsvorlagen und Radius/NPS bevor Du weitere Sub CAs installierst.