11
NAC (Macmon) mit Zertifikaten
Hallo,
wir führen gerade Macmon ein. Wenn möglich, arbeiten wir mit Zertifikaten.
Aber auch mit Zertifikaten wird der Client am Macmon anhand der MAC-Adresse identifiziert. Das Zertifikat dient nur als Eintrittserlaubnis, aber nicht als Identitäsnachweis.
Beispiel:
Für PC1 ist am Macmon die Authentifizierungsstufe "Hoch (Zertifikat)" eingestellt und er wird ins vLAN "GanzSicheresVLAN" geschickt. Er kommt auch nur mit Zertifikat ins Netz, ohne klappts nicht.
PC2 (hat ebenfalls ein Zertifikat) gibt sich jetzt selbst die MAC-Adresse von PC1 und geht damit ins Netz. Die (gefälschte) MAC-Adresse kommt beim Macmon an, dieser schaut nach "...aha, diese Mac soll ins vLAN "GanzSicheresVLAN", die eingestellte Authentifizierungsstufe ist 'Hoch (Zertifikat)' ... hast du ein Zertifikat? ... ja, hast du ... du darfst rein..."
Auf den Zertifikaten steht ja eigentlich der Name des jeweiligen PC's. Dieser wird aber nicht ausgewertet.
Ist das Sinn der Sache? Hab ich einen Denkfehler?
Danke
Martin
wir führen gerade Macmon ein. Wenn möglich, arbeiten wir mit Zertifikaten.
Aber auch mit Zertifikaten wird der Client am Macmon anhand der MAC-Adresse identifiziert. Das Zertifikat dient nur als Eintrittserlaubnis, aber nicht als Identitäsnachweis.
Beispiel:
Für PC1 ist am Macmon die Authentifizierungsstufe "Hoch (Zertifikat)" eingestellt und er wird ins vLAN "GanzSicheresVLAN" geschickt. Er kommt auch nur mit Zertifikat ins Netz, ohne klappts nicht.
PC2 (hat ebenfalls ein Zertifikat) gibt sich jetzt selbst die MAC-Adresse von PC1 und geht damit ins Netz. Die (gefälschte) MAC-Adresse kommt beim Macmon an, dieser schaut nach "...aha, diese Mac soll ins vLAN "GanzSicheresVLAN", die eingestellte Authentifizierungsstufe ist 'Hoch (Zertifikat)' ... hast du ein Zertifikat? ... ja, hast du ... du darfst rein..."
Auf den Zertifikaten steht ja eigentlich der Name des jeweiligen PC's. Dieser wird aber nicht ausgewertet.
Ist das Sinn der Sache? Hab ich einen Denkfehler?
Danke
Martin
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671149
Url: https://administrator.de/forum/nac-macmon-mit-zertifikaten-671149.html
Ausgedruckt am: 10.04.2025 um 18:04 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
macmon NAC oder macmon SDP?
Ansonsten stelle deine Konfig hier zur Verfügung (anonymisiert) damit wir mal schauen können wo / ob du Fehler eingebaut hast.
Gruss,
Peter
macmon NAC oder macmon SDP?
Ist das Sinn der Sache?
Schon mal hier nachgefragt? https://www.macmon.eu/support-1Ansonsten stelle deine Konfig hier zur Verfügung (anonymisiert) damit wir mal schauen können wo / ob du Fehler eingebaut hast.
Gruss,
Peter
1
Auf den Zertifikaten steht ja eigentlich der Name des jeweiligen PC's. Dieser wird aber nicht ausgewertet.
Da musst du auf dem Radius-Server schon eine entsprechende Radius Policy-Rule erstellen die den Common-Name des Certs und die MAC für das jeweilige Device in Relation erzwingt. Du bestimmst das Regelwerk, ohne entsprechende Regel weiß das System halt nicht was du erreichen willst 
. Da lassen sich ja vielfältige Regelwerke verwirklichen indem man mittels Fingerprinting selbst MAC-Spoofing erkennen kann.1
Zitat von @151434:
Auf den Zertifikaten steht ja eigentlich der Name des jeweiligen PC's. Dieser wird aber nicht ausgewertet.
Da musst du auf dem Radius-Server schon eine entsprechende Radius Policy-Rule erstellen die den Common-Name des Certs und die MAC für das jeweilige Device in Relation erzwingt.Danke für den Tipp. Ich schau mal. Das Problem ist, wir haben für die Einführung eigentlich einen Dienstleister. Leider hat der dafür auch wieder einen Dienstleister und der ist nur schwer erreichbar.
Outsource Hölle, mein Beileid, am besten selbst in die Materie einlesen und Dienstleister in die Binsen kicken 😉.
1
Wenn ich in einer Endgerätegruppe unter Advanced Security "TLS" anhake, kann man den Allgemeinen Namen auf Änderungen prüfen lassen
Darf ich das so verstehen, dass, wenn ein PC (bzw. eine MAC-Adresse) sich das erste Mal am Macmon meldet (und diese MAC-Adresse auch freigegeben ist), dann merkt sich Macmon den Allgemeinen Namen des Zertifikats und zukünftig ist nur noch diese Kombination "MAC-Adresse - Zertifikatsname" gültig?
Danke
Martin
Danke
Martin
Jepp.
1
Wenn ich TLS aktiviere, muss ich einen oder mehrere Ports angeben
3389 (rdp) und 443 (https) sind auswählbar, alle anderen Ports könnte ich eintippen.
Fragt Macmon den Client auf diesem Port ab und liest das Zertifikat aus?
Welcher wäre das dann, um einen Windows-Client auszulesen, der über die interne CA ein Computer/Benutzer-Zertifikat bekommen hat?
Und welcher Port wäre es für einen Igel-Client?
Danke
Martin
Fragt Macmon den Client auf diesem Port ab und liest das Zertifikat aus?
Welcher wäre das dann, um einen Windows-Client auszulesen, der über die interne CA ein Computer/Benutzer-Zertifikat bekommen hat?
Und welcher Port wäre es für einen Igel-Client?
Danke
Martin
Hallo,
Schon mal was von (https://www.wireshark.org/download.html) Kabelhai] hier im Forum gelesen und gehört was du damit machen kannst? https://www.wireshark.org/docs/
Damit kannst du feststellen ob dein Client angefragt wird, welche Ports genutzt werden usw. Und auch die Konfiguration deines macmon (NAC oder SDP] sollte passen sonst wirds nichts.
Gruss,
Peter
Schon mal was von (https://www.wireshark.org/download.html) Kabelhai] hier im Forum gelesen und gehört was du damit machen kannst? https://www.wireshark.org/docs/
Damit kannst du feststellen ob dein Client angefragt wird, welche Ports genutzt werden usw. Und auch die Konfiguration deines macmon (NAC oder SDP] sollte passen sonst wirds nichts.
Gruss,
Peter
Es geht um Macmon NAC. Steht auch im Titel.
Klar kenn ich Wireshark. Aber solange ich bei der Endgerätegruppe keinen Port eingebe, kann ich das gar nicht abspeichern, also kann Macmon auch nichts anfragen.
Der Windows-PC hat dieses Zertifikat
Auf welchem Port kann das abgefragt werden. Das muss doch was standardmäßiges sein.
Danke
Martin
Klar kenn ich Wireshark. Aber solange ich bei der Endgerätegruppe keinen Port eingebe, kann ich das gar nicht abspeichern, also kann Macmon auch nichts anfragen.
Der Windows-PC hat dieses Zertifikat
Danke
Martin
Wenn es das denn nun war als Lösung bitte nicht vergessen deinen Thread hier dann auch als erledigt zu schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
