Jump to content

802.1x heute noch eine gute Wahl


Recommended Posts

Hallo Forum,

 

ich würde gerne mein Netzwerk (erstmal Testumgebung) besser absichern und da währe die Beschränkung des Zugriffs ja schon einmal eine gute Idee. Zu Zeiten von Server 2008 R2 habe ich einiges mit 802.1x gemacht...meist WLAN und daher ist das natürlich das erste Mittel was mir eingefallen ist um auch das verkabelte Netzwerk zu härten. Jetzt meine Frage in die Runde, ist das heute noch eine gute Idee oder gibt es da inzwischen bessere Mittel? Ich würde es aus Kostengründen gerne mit Windows Server 2019 Bordmitteln umsetzen.

 

Freue mich auf euer Feedback

 

 

Link to post

Moin,

 

"besser" ist in der IT immer so eine Sache. Token Ring war "besser" (aus Ingenieurssicht) als Ethernet, NetWare war besser als NT3.51 (in dem, was sie beide konnten). Und wo sind diese "besseren" Technologien jetzt?

 

Es gibt richtig abgefahrene Lösungen, die elektromagnetische Profile der LAN-Adapter aufzeichnen, d.h. wenn Du zwar die gleiche Karte, aber mit einem anderen SFP nimmst, bist Du schon ein Fremder. Ist das besser? Kommt darauf an. Was gern genommen wird, und das war zu 2008R2-Zeiten gefühlt noch weiter verbreitet, ist so etwas wie MACMON oder ARP-GUARD. Beide können auf Wunsch auch 802.1X, würden aber ansonsten MAC-Kontrolle machen. Der Vorteil hier ist aus meiner Sicht nur die Einfachheit: Du brauchst nur das Wissen über die Physik des Clients, nicht aber irgendwas auf dem Client selbst. Dies kann aber auch ein Nachteil sein: Schafft jemand, auf einem als vertrauenswürdig eingestuften Endgerät ein anderes OS zu booten, schon ist auch jenes für den Netzwerkzugriff zugelassen. Und auch die Verwandtschaft zwischen der LAN- und der WLAN-Schnittstelle eines Rechners muss man im herkömmlichen NAC organisatorisch pflegen, währen bei 802.1X mit Zertifikaten alle Schnittstellen mit einer Identität bedient werden können.

 

Ich bin persönlich ein Freund von 802.1X. Es gibt aber sehr wohl Einsatzszenarien, wo ein anderes NAC besser geeignet ist.

Link to post
vor 23 Stunden schrieb cj_berlin:

Moin,

 

"besser" ist in der IT immer so eine Sache. Token Ring war "besser" (aus Ingenieurssicht) als Ethernet, NetWare war besser als NT3.51 (in dem, was sie beide konnten). Und wo sind diese "besseren" Technologien jetzt?

 

Es gibt richtig abgefahrene Lösungen, die elektromagnetische Profile der LAN-Adapter aufzeichnen, d.h. wenn Du zwar die gleiche Karte, aber mit einem anderen SFP nimmst, bist Du schon ein Fremder. Ist das besser? Kommt darauf an. Was gern genommen wird, und das war zu 2008R2-Zeiten gefühlt noch weiter verbreitet, ist so etwas wie MACMON oder ARP-GUARD. Beide können auf Wunsch auch 802.1X, würden aber ansonsten MAC-Kontrolle machen. Der Vorteil hier ist aus meiner Sicht nur die Einfachheit: Du brauchst nur das Wissen über die Physik des Clients, nicht aber irgendwas auf dem Client selbst. Dies kann aber auch ein Nachteil sein: Schafft jemand, auf einem als vertrauenswürdig eingestuften Endgerät ein anderes OS zu booten, schon ist auch jenes für den Netzwerkzugriff zugelassen. Und auch die Verwandtschaft zwischen der LAN- und der WLAN-Schnittstelle eines Rechners muss man im herkömmlichen NAC organisatorisch pflegen, währen bei 802.1X mit Zertifikaten alle Schnittstellen mit einer Identität bedient werden können.

 

Ich bin persönlich ein Freund von 802.1X. Es gibt aber sehr wohl Einsatzszenarien, wo ein anderes NAC besser geeignet ist.

Da hast du schon Recht....besser ist so ein Begriff in der IT

 

Also werde ich mich mit 802.1X auf verkabelter Ebene mal wieder anfreunden

vor 23 Stunden schrieb NorbertFe:

802.1x ist immer noch ne gute Wahl. Ob die bordmittel von ms dazu zählen, muss man wohl selbst entscheiden. ;)

Das mag sein, was wäre den für dich eine Alternative als Basis? Auch wenn sich zumindest optisch und gefühlt der Netzwerk Richtlinien Server nicht so sehr verändert hat in den letzten Server Versionen ist der doch eigentlich ganz gut geeignet, oder? Wie gesagt es soll einfache und wenn es geht günstige Basis sein und Windows CA, NPS usw. können es doch.

 

Wo siehst du Vor- und Nachteile?

 

Interessiert mich halt und wenn du deine Erfahrungen teilen mags wäre natürlich toll.

 

Danke

Link to post
vor 2 Stunden schrieb donnervogel515:

Auch wenn sich zumindest optisch und gefühlt der Netzwerk Richtlinien Server nicht so sehr verändert hat in den letzten Server Versionen ist der doch eigentlich ganz gut geeignet, oder?

Oder?

spätestens beim Troubleshooting macht der nps keinen Spaß mehr.

Link to post
vor 12 Stunden schrieb NorbertFe:

Oder?

spätestens beim Troubleshooting macht der nps keinen Spaß mehr.

Das stimmt, da habe ich auch lange im Dunklen suchen können.

 

Aber wie schon geschrieben bin ich ja sehr interessiert, was z.B. du da für eine Alternative vorschlagen würdest. Einfache Testumgebung zum Warmwerden und ggf. als Vorlage für kleine Umgebungen (bis 100 Ports)

Link to post
vor 3 Minuten schrieb donnervogel515:

Aber wie schon geschrieben bin ich ja sehr interessiert, was z.B. du da für eine Alternative vorschlagen würdest. Einfache Testumgebung zum Warmwerden und ggf. als Vorlage für kleine Umgebungen (bis 100 Ports)

 

Link to post
vor 6 Minuten schrieb zahni:

Port-Security ist übrigens auch nicht zu 100 Prozent sicher.

Wer hätte das denn vermutet? :)

vor 6 Minuten schrieb zahni:

Du kannst mit Boardmitteln auch durchgängig IPSEC implementieren. Allerdings wirst Du es hassen.

Ich kenne eine große Behörde die das eingesetzt hat(te). ;) Sie haben es alle gehaßt ;) 

  • Like 1
Link to post
vor 8 Minuten schrieb zahni:

Du kannst mit Boardmitteln auch durchgängig IPSEC implementieren.

Habe ich schon mal unter Server 2008 R2 (ichglaube die Vorgehensweise ist aber heute mit Boardmitteln noch gleich) gemacht und es hat auch funktioniert....aber es war wirklich furchtbar. 

 

 

vor 11 Minuten schrieb zahni:

Port-Security ist übrigens auch nicht zu 100 Prozent sicher.

Siehe den Abschnitt dazu https://de.wikipedia.org/wiki/IEEE_802.1X . Damit NPS sinnvoll funktioniert, muss man es im LAN auch mit 802.1x der Switche verheiraten. 

Das hatte ich nicht erwähnt, aber das Ziel ist auch die Freigabe der Ports am Switch damit zu steuern /abzusichern

 

Danke

Link to post
vor 6 Minuten schrieb donnervogel515:

Das hatte ich nicht erwähnt, aber das Ziel ist auch die Freigabe der Ports am Switch damit zu steuern /abzusichern

Dann verstehe ich Dein Eingangsposting nicht. Zu 802.1X gibt es dann keine Alternative. Es gibt da noch eine Schmalspur-Version, die nur MAC-Adressen filtert.

NPS stellt am Ende den Radius-Server für die Switche bereit.

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...