11
Computerauthentifizierung im Enterprise-WLAN mit einem NPS-Server
Hi Leute,
ich spiele gerade ein wenig mit einem NPS-Server und WPA2-Enterprise herum. Ich möchte keine Nutzer authentifizieren, sondern Computersysteme. Die Computer erhalten ein passendes Computerzertifikat von einer Test-CA.
Meine Clients können sich erfolgreich mit dem WLAN verbinden. Testweise habe ich ein Computerzertifikat gesperrt...dieser Client kommt nicht mehr ins WLAN - soweit so gut bzw. so soll es erst einmal sein.
Für mich stellt sich allerdings folgende Frage:
Wie kann ich sicher gehen, dass nur bestimmte Clients ins Netzwerk kommen?
Ich sage mal so...ein gültiges Computerzertifikat bekommen ich ja theoretisch von jeder offiziellen CA - dieser Client kann sich authentifizieren, auch wenn er nicht von mir berechtigt wurde. Das möchte "man" ja natürlich nicht.
Kann irgendwo definiert werden, dass das Computerzertifikat von einer bestimmten CA stammen muss...also z.B. sowas wie "Das Computerzertifikat muss von der internen CA ausgestellt worden sein", wenn nicht -> keine Verbindung.
Wie würde ich im Unternehmen die Computer zwischen berechtigten und unberechtigten Geräten unterscheiden?
Beispielsweise könnte es ja Computer geben, die ein Zertifikat der internen CA ausgestellt bekommen haben, aber nicht unbedingt ins WLAN kommen sollen.
Vielen Dank!
ich spiele gerade ein wenig mit einem NPS-Server und WPA2-Enterprise herum. Ich möchte keine Nutzer authentifizieren, sondern Computersysteme. Die Computer erhalten ein passendes Computerzertifikat von einer Test-CA.
Meine Clients können sich erfolgreich mit dem WLAN verbinden. Testweise habe ich ein Computerzertifikat gesperrt...dieser Client kommt nicht mehr ins WLAN - soweit so gut bzw. so soll es erst einmal sein.
Für mich stellt sich allerdings folgende Frage:
Wie kann ich sicher gehen, dass nur bestimmte Clients ins Netzwerk kommen?
Ich sage mal so...ein gültiges Computerzertifikat bekommen ich ja theoretisch von jeder offiziellen CA - dieser Client kann sich authentifizieren, auch wenn er nicht von mir berechtigt wurde. Das möchte "man" ja natürlich nicht.
Kann irgendwo definiert werden, dass das Computerzertifikat von einer bestimmten CA stammen muss...also z.B. sowas wie "Das Computerzertifikat muss von der internen CA ausgestellt worden sein", wenn nicht -> keine Verbindung.
Wie würde ich im Unternehmen die Computer zwischen berechtigten und unberechtigten Geräten unterscheiden?
Beispielsweise könnte es ja Computer geben, die ein Zertifikat der internen CA ausgestellt bekommen haben, aber nicht unbedingt ins WLAN kommen sollen.
Vielen Dank!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 329082
Url: https://administrator.de/forum/computerauthentifizierung-im-enterprise-wlan-mit-einem-nps-server-329082.html
Ausgedruckt am: 09.04.2025 um 01:04 Uhr
11 Kommentare
Neuester Kommentar
Zitat von @Philipp711:
Wie würde ich im Unternehmen die Computer zwischen berechtigten und unberechtigten Geräten unterscheiden?
Beispielsweise könnte es ja Computer geben, die ein Zertifikat der internen CA ausgestellt bekommen haben, aber nicht unbedingt ins WLAN kommen sollen.
Wie würde ich im Unternehmen die Computer zwischen berechtigten und unberechtigten Geräten unterscheiden?
Beispielsweise könnte es ja Computer geben, die ein Zertifikat der internen CA ausgestellt bekommen haben, aber nicht unbedingt ins WLAN kommen sollen.
Das ist die Schwachstelle bei Zertifikaten, dass diese auch ohne Wissen des Admins weiter gegeben werden können und somit auch Unbefugte Zugang zum WLAN bekommen.
Ein nicht aushebelbare Variante ist die Limitierung, dass z.B. nur Laptops aus einer bestimmten OU der Domäne sich am WLAN authentifizieren dürfen, das habe ich bisher am häufigsten gesehen.
Wenn das Unternehmen dann noch herstellerseitig homogen arbeitet, sprich z.B. nur HP-Notebooks einsetzt, können diese zwei Faktoren mit einem "AND" miteinander verknüpft werden, womit man die Authentifizierung noch weiter einschränkt.
Danke für die Antwort!
Eine Weitergabe des Zertifikats und eine erfolgreiche Authentifizierung ist doch nur unter Beibehaltung des Computernamens möglich, oder? Also wenn PC-A sein Zertifikat an PC-B weiter gibt, muss PC-B seinen Namen auf PC-A ändern um sich korrek authentifizieren zu können, richtig?
Was mir immer noch nicht in den Kopf gehen will ist die Zugangskontrolle. Nicht jeder hat eine AD installiert um die Steuerung über eine OU zu erledigen.
Folgendes Szenario: Ein Mitarbeiter besorgt sich ein Computerzertifikat von z.B. GlobalSign (vertrauenswürdige CA) für seinen privaten Computer...kommt damit in die Firma und kann sich ins WLAN einloggen da das Zertifikat ja grundsätzlich in Ordnung ist!
Das Problem kann man nur mit der AD lösen?! Eine Möglichkeit nur Zertifikate der internen CA anzunehmen gibt es nicht? Wie konfirugriert man dann "Nicht-Windows"-Geräte wie z.b. Smartphones - diese Geräteklasse kann ja nicht so einfach in die AD aufgenommen werden...
Die Sache mit der OU löst mein Problem natürlich...die AD-Gruppe steuert den Zugriff und mit dem Zertifikat bzw. mit den kryptographischen Schlüsseln wird die verbindung zum AP verschlüsselt.
Trotzdem würde ich die Thematik gerne verstehen und meinen Knoten aus dem Kopf bekommen...
Eine Weitergabe des Zertifikats und eine erfolgreiche Authentifizierung ist doch nur unter Beibehaltung des Computernamens möglich, oder? Also wenn PC-A sein Zertifikat an PC-B weiter gibt, muss PC-B seinen Namen auf PC-A ändern um sich korrek authentifizieren zu können, richtig?
Was mir immer noch nicht in den Kopf gehen will ist die Zugangskontrolle. Nicht jeder hat eine AD installiert um die Steuerung über eine OU zu erledigen.
Folgendes Szenario: Ein Mitarbeiter besorgt sich ein Computerzertifikat von z.B. GlobalSign (vertrauenswürdige CA) für seinen privaten Computer...kommt damit in die Firma und kann sich ins WLAN einloggen da das Zertifikat ja grundsätzlich in Ordnung ist!
Das Problem kann man nur mit der AD lösen?! Eine Möglichkeit nur Zertifikate der internen CA anzunehmen gibt es nicht? Wie konfirugriert man dann "Nicht-Windows"-Geräte wie z.b. Smartphones - diese Geräteklasse kann ja nicht so einfach in die AD aufgenommen werden...
Die Sache mit der OU löst mein Problem natürlich...die AD-Gruppe steuert den Zugriff und mit dem Zertifikat bzw. mit den kryptographischen Schlüsseln wird die verbindung zum AP verschlüsselt.
Trotzdem würde ich die Thematik gerne verstehen und meinen Knoten aus dem Kopf bekommen...
Du solltest das mal in Ruhe zu dem Thema lesen:
https://www.heise.de/ct/artikel/Radius-mit-Windows-Server-2087800.html
Dann wirst du merken wie du mit deinem Zertifikatsdenken ziemlich auf dem Holzweg bist. Bei PEAP und besonders EAP-TLS ist sowas wie eine Zertifikatsweitergabe vollkommen unmöglich. Ist ja auch vollkommen klar, denn das würde die Logik von Zertifikaten ja vollständig über den Haufen schmeissen die ja gerade die Authentizität eines einzelnen Gerätes absolut garantieren.
Wäre es mit der Weitergabe so einfach wäre es ja keinerlei Unterschied zu PSKs die man ja auch einfach weitergeben kann.
Hier musst du wohl noch einiges lesen was das Thema Zertifikate anbetrifft.
https://www.heise.de/ct/artikel/Radius-mit-Windows-Server-2087800.html
Dann wirst du merken wie du mit deinem Zertifikatsdenken ziemlich auf dem Holzweg bist. Bei PEAP und besonders EAP-TLS ist sowas wie eine Zertifikatsweitergabe vollkommen unmöglich. Ist ja auch vollkommen klar, denn das würde die Logik von Zertifikaten ja vollständig über den Haufen schmeissen die ja gerade die Authentizität eines einzelnen Gerätes absolut garantieren.
Wäre es mit der Weitergabe so einfach wäre es ja keinerlei Unterschied zu PSKs die man ja auch einfach weitergeben kann.
Hier musst du wohl noch einiges lesen was das Thema Zertifikate anbetrifft.
Moin chgorges,
@Philipp711
Gruß,
Dani
Das ist die Schwachstelle bei Zertifikaten, dass diese auch ohne Wissen des Admins weiter gegeben werden können und somit auch Unbefugte Zugang zum WLAN bekommen.
wie sieht das praktische Szenario dazu aus?@Philipp711
Eine Weitergabe des Zertifikats und eine erfolgreiche Authentifizierung ist doch nur unter Beibehaltung des Computernamens möglich, oder? Also wenn PC-A sein Zertifikat an PC-B weiter gibt, muss PC-B seinen Namen auf PC-A ändern um sich korrek authentifizieren zu können, richtig?
und dem privaten Schlüssel, welcher standardmäßig gar nicht vom Client exportierbar ist, da die Vorlage "Computer" auf einer Windows Server CA dies Option nicht aktiviert hat.Gruß,
Dani
Zitat von @aqui:
Du solltest das mal in Ruhe zu dem Thema lesen:
https://www.heise.de/ct/artikel/Radius-mit-Windows-Server-2087800.html
Dann wirst du merken wie du mit deinem Zertifikatsdenken ziemlich auf dem Holzweg bist. Bei PEAP und besonders EAP-TLS ist sowas wie eine Zertifikatsweitergabe vollkommen unmöglich. Ist ja auch vollkommen klar, denn das würde die Logik von Zertifikaten ja vollständig über den Haufen schmeissen die ja gerade die Authentizität eines einzelnen Gerätes absolut garantieren.
Wäre es mit der Weitergabe so einfach wäre es ja keinerlei Unterschied zu PSKs die man ja auch einfach weitergeben kann.
Hier musst du wohl noch einiges lesen was das Thema Zertifikate anbetrifft.
Du solltest das mal in Ruhe zu dem Thema lesen:
https://www.heise.de/ct/artikel/Radius-mit-Windows-Server-2087800.html
Dann wirst du merken wie du mit deinem Zertifikatsdenken ziemlich auf dem Holzweg bist. Bei PEAP und besonders EAP-TLS ist sowas wie eine Zertifikatsweitergabe vollkommen unmöglich. Ist ja auch vollkommen klar, denn das würde die Logik von Zertifikaten ja vollständig über den Haufen schmeissen die ja gerade die Authentizität eines einzelnen Gerätes absolut garantieren.
Wäre es mit der Weitergabe so einfach wäre es ja keinerlei Unterschied zu PSKs die man ja auch einfach weitergeben kann.
Hier musst du wohl noch einiges lesen was das Thema Zertifikate anbetrifft.
Der Artikel ist zwar ganz interessant, aber wirklich Klarheit bringt er (mir) nicht.
Gut, eine Weitergabe scheint nicht zu funktionieren, da der private Schlüssel nicht zu exportieren ist - habe ich so nicht bedacht und ist auch, wie du schon sagtest, vollkommen logisch und nötig.
Ein Zertifikat identifiziert den Client eindeutig und kümmert sich durch die kryptographischen Schlüssel um die sichere Verbindung. Um die Zugangsberechtigung kümmert sich das Zertifikat nicht - dies muss mit anderen mitteln bewerkstelligt werden (z.b. eine AD-Gruppe), richtig?!
Ein Zertifikat identifiziert den Client eindeutig
Das stimmt!und kümmert sich durch die kryptographischen Schlüssel um die sichere Verbindung.
Das kann sein ist aber kein muss, den man kann auch ohne Verschlüsselung und nur mittels Zertifikat arbeiten,macht aber kaum einer weil es dann nicht so sicher ist und auch irgend wie an der Realität vorbei gearbeitet wird.
Um die Zugangsberechtigung kümmert sich das Zertifikat nicht -
Doch genau das ist die Aufgabe des Zertifikates! Es ist eher wie eine Billet oder eine Fahrkarte bzw. eine Eintrittskartemit der man Zugang zu einem Netzwerk hat aber eben nicht zu allen Netzwerken.
dies muss mit anderen mitteln bewerkstelligt werden (z.b. eine AD-Gruppe), richtig?!
Man kann das sicherlich kombinieren oder alles aufteilen ganz wie man möchte.- LDAP Rolle oder Server für Kabel gebundene Geräte
- Radius Server mit Zertifikat (wie in Deinem Fall) für die eigenen bzw. privaten (Kabel losen) WLAN Geräte
- Capive Portal mit Voucher System für WLAN Besucher (Kabel lose Geräte)
Gruß
Dobby
Zitat von @108012:
mit der man Zugang zu einem Netzwerk hat aber eben nicht zu allen Netzwerken.
Um die Zugangsberechtigung kümmert sich das Zertifikat nicht -
Doch genau das ist die Aufgabe des Zertifikates! Es ist eher wie eine Billet oder eine Fahrkarte bzw. eine Eintrittskartemit der man Zugang zu einem Netzwerk hat aber eben nicht zu allen Netzwerken.
Naja aber dann müsste ich doch im Radius/NPS irgendwie definieren welche Zertifikate in Ordnung sind und welche nicht?! Wie bzw. wo definiere ich das denn??
Moin,
Gruß,
Dani
Naja aber dann müsste ich doch im Radius/NPS irgendwie definieren welche Zertifikate in Ordnung sind und welche nicht?! Wie bzw. wo definiere ich das denn??
NPS prüft ob das Zertifikat unter anderem ob das Zertifikat von der CA stammt, gültig ist und auf keiner Sperrliste erscheint. Anschließend ist die Authentifizierung durchgeführt. Da das Zertifikat meist auf dem Computername ausgestellt wird, ist dem NPS der Benutzer erstmal egal. Du kannst das natürlich noch einschränken... wobei hier die Frage nach dem Sinn für mich ist.Gruß,
Dani
Zitat von @Dani:
Moin,
Moin,
Naja aber dann müsste ich doch im Radius/NPS irgendwie definieren welche Zertifikate in Ordnung sind und welche nicht?! Wie bzw. wo definiere ich das denn??
NPS prüft ob das Zertifikat unter anderem ob das Zertifikat von der CA stammt, gültig ist und auf keiner Sperrliste erscheint. Anschließend ist die Authentifizierung durchgeführt. Da das Zertifikat meist auf dem Computername ausgestellt wird, ist dem NPS der Benutzer erstmal egal. Du kannst das natürlich noch einschränken... wobei hier die Frage nach dem Sinn für mich ist.Finde irgendwie keine passende Einstellung zur Zertifikatsprüfung...kannst du mir evtl. sagen wo das konfiguriert wird?
Finde irgendwie keine passende Einstellung zur Zertifikatsprüfung...kannst du mir evtl. sagen wo das konfiguriert wird?
Gar nicht... das ist technisch gesehen, Bestandteil der PKI. Setzt natürlich voraus, dass die (Delta)Sperrlisten sauber konfiguriert wurde.Gruß,
Dani
Zitat von @Dani:
Finde irgendwie keine passende Einstellung zur Zertifikatsprüfung...kannst du mir evtl. sagen wo das konfiguriert wird?
Gar nicht... das ist technisch gesehen, Bestandteil der PKI. Setzt natürlich voraus, dass die (Delta)Sperrlisten sauber konfiguriert wurde.Logisch...ich glaube ich habe mich missverständlich ausgedrückt.
Mir geht nicht in den Kopf wie der Server nur anhand des Zertifikats die Autorisierung zum Zugang zum WLAN geben kann. Das Zertifikat authentifiziert/identifiziert doch nur eindeutig...
Der Server kann doch in der jetzigen Situation gar nicht erkennen, ob ein offiziell gültiges Zertifikat zum Zugang zum WLAN berechtigt oder halt eben nicht! Ich habe doch gar keine Eigenschaften definiert an denen sich der Server orientieren kann.
Es gibt doch technisch gesehen keinen unterschied zwischen einem Zertifikat das von einer internen- oder einer externen-CA stammt...solange das Root-CA-Zertifikat im Speicher der "vertrauenswürdigen Stammzertifizierungsstellen" installiert ist, passt doch alles.
Beispiel: Ich bestelle für meinen privat PC ein offizielles und gültiges Computerzertifikat bei Verisign mein privater Computer ist offiziell mit einem gültigen Zertifikat ausgestattet. Wieso sollte mir der Unternehmes-NPS-Server jetzt sagen..."nö, du kommst hier nicht rein"?!
Es kann doch nirgends definiert werden "Verisign-Zertifikate" sind Böse...es muss doch eine zweiter Schritt zur Autorisierung (z.B. AD-Gruppen) eingebaut werden....
