Berni1976 0 Geschrieben 25. August 2015 Melden Geschrieben 25. August 2015 Hallo Zusammen Arbeite gerade an einem Projekt wo für das Interne Wlan WPA2 Enterprise implementiert wird. Es funktioniert alles in der Windows Welt (Win 7 und 8) Installiert ist folgendes. WLC 2504 mit NPS 2012 mit Certificate und Domainauthentifizierung. Das problem was ich jetzt habe ist folgendes. Wenn ich mit dem Iphone oder Android mich auf das Netzwerk verbinden will funktioniert der Login auch ohne installiertes Zertifikat. Vom Kunden ist allerdings gewünscht dass nur authorisierte Geräte sich darauf verbinden dürfen. in Windows wurde alles über GPO verteilt. Gibt es hier eine Lösung oder muss ich hier zwingend Userzertifikate installieren? Meldung auf dem Iphone (Wollen Sie das nicht vertrauenswürdige Zertifikat installieren) Danke im Voraus Gruß Bernie
Dunkelmann 96 Geschrieben 25. August 2015 Melden Geschrieben 25. August 2015 Moin, Du bringst hier scheinbar etwas durcheinander. MS-CHAPv2 ist Authentifizierung mit Benutzername und Kennwort. Das hat mit Zertifikaten gar nichts zu tun. PEAP ist das Authentifitzierungsprotokoll; dabei wird einTLS/SSL Tunnel zwischen NPS und Supplikant aufgebaut. Dafür wird dem Supplicant das Serverzertifikat präsentiert. Wie der Client mit einem nicht vertrauenswürdigen Zertifikat umgeht kann nur eingeschränkt oder gar nicht beeinflusst werden. Bei der Kombination PEAP mit MS-CHAPv2 werden Benutzername und Kennwort durch den gesicherten Tunnel übertragen. So weit die Grundlagen. Dass bei den Windows Geräten alles per GPO verteilt wurde, bedeutet nicht, das es auch 'wasserdicht' ist. Auch Fehlkonfigurationen können per GPO ausgerollt werden ;) Wenn der Kunde nur authentifizierte Geräte in seinem Netzwerk wünscht, muss eine gerätebasierte Authentifizierung erfolgen. Am NPS können dafür entsprechende Richtlinien erstellt werden.
Berni1976 0 Geschrieben 25. August 2015 Autor Melden Geschrieben 25. August 2015 Hi Ich meinte nur dass beim Windows client ohne Zertifikat kein login möglich ist. ich habe in der Policy beim NPS auch das Zertifikat ausgewählt das abgefragt werden sollte. nur Iphones und Android ignorieren dass. Wo würde ich diese gerätebasierten Richtlinien finden? Gruß Bernie
Dunkelmann 96 Geschrieben 25. August 2015 Melden Geschrieben 25. August 2015 Eine Clientseitige Zertifikatsprüfung ist keine Sicherheitsfunktion des Netzwerks, sondern soll verhindern, dass sich ein unbedarfter Anwender mit einem rogue AP o.ä. verbindet. Bei einem Windows Client kann die Zertifikatsprüfung recht einfach umgangen werden. In den Verbindungsanforderungs und Netzwerkrichtlininen werden die Bedingungen für 802.1x definiert. Da lassen sich für fast alle Anwendungsfälle passende Richtlinien basteln.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden