Jump to content

Fragen zu Netzwerkzugang per 802.1x


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen,

 

um nicht jedem Device das sich an einem unserer Netzwerkports ansteckt Zugriff zu unserem Netzwerk zu geben, haben wir den NAP-Server und unsere Switche entsprechend konfiguriert.

 

Es funktioniert auch soweit, dass unsere Windowsclients nach der Authentifizierung ins passende VLAN kommen und somit Zugriff erhalten.

Nun haben wir aber drei Fälle, bei welchen das leider nicht so einfach geht und wollte mal nachfragen wie hier eure Erfahrungen sind bzw wie wir das am besten realisieren.

 

1.) Geräte wie Drucker, Wie werden die am sinnvollsten hier eingebunden?

2.) Linux und auch Macrechner bei den Clients, wie werden diese eingebunden?

3.) Gästerechner, wir haben diverse Dienstleister oder freie Mitarbeiter die Zugriff auf unser LAN benötigen, aber die Clients natürlich auch nicht in unserer Domäne hängen.

 

Wäre prima wenn ihr mir hier weiterhelfen könntet wie das am besten zu realisieren wäre und was hier Best/Practise ist.

 

Zu 2 und 3 haben wir uns schon überlegt wir könnten die Clients per User/Passwort authentifizieren, aber das wäre teilbar und erscheint uns somit nicht wirklich sicher.

 

Gruß Lars

Link to comment

Für Gäste: Gäste VLAN

Für normale Gäste klar, es gibt aber Gäste bzw. IT-Dienstleister die Zugriff in unser Netz benötigen. Wie wird sowas realisiert? Fürs WLAN haben wir hier ein Ticketsystem wo die Gäste einen Tagespass bekommen.

 

Für Drucker: unsere können 802.1x wir haben aber einfach feste Druckerports auf den Switchen. Wenn sich da einer einstöpselt kann er die anderen Drucker erreichen, sonst nix.

Ok, das ist einfach, unsere hängen auch in einem eigenen VLAN, somit wäre das auch unkritisch.

 

Für Linux: kann 802.1x. Hier sehe ich das Problem nicht.

Linux und auch Mac können 802.1x, das ist klar. Aber wie realisieren wir das am besten? User und Passwort allein ist nicht wirklich ein Schutz, sonst könnte ein Mitarbeiter seinen privaten Rechner einstecken und authentifiziert sich auch da mit User und Passwort.
Link to comment

Du könntest du linuxrechner zu domänenMitglieder machen.

 

Bei Apple hab ich keine Ahnung.

 

Das mit den dienstleistern ist schwierig. Denen könnte man ein Zertifikat zukommen lassen.

 

Man könnte die dienstleister auch verpflichten einen radiusserver zu betreiben und das ganze so wie das DFN-roaming aufziehen. Je nach dem wer ihr seid und wer die dienstleister sind kann das gehen oder halt auch nicht.

Link to comment

Das ist so langweilig pragmatisch...

Eine verteilte hierarchische radius-Infrastruktur durchzudrücken ist doch viel cooler.

 

Ne im ernst: Wenn es Angst vor privaten Geräten gibt wüsste ich nicht wieso man Dienstleistergeraten mehr vertrauen sollte.

 

Was ist denn der Grund warum nur eigene Geräte ins Netz sollen und keine privaten? Hat es was mit Sicherheit zu tun? Was unterscheidet private Geräte, von Dienstleistern und eigene?

Edited by magheinz
Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...