1
NAC (Macmon) mit Zertifikaten
Hallo,
wir führen gerade Macmon ein. Wenn möglich, arbeiten wir mit Zertifikaten.
Aber auch mit Zertifikaten wird der Client am Macmon anhand der MAC-Adresse identifiziert. Das Zertifikat dient nur als Eintrittserlaubnis, aber nicht als Identitäsnachweis.
Beispiel:
Für PC1 ist am Macmon die Authentifizierungsstufe "Hoch (Zertifikat)" eingestellt und er wird ins vLAN "GanzSicheresVLAN" geschickt. Er kommt auch nur mit Zertifikat ins Netz, ohne klappts nicht.
PC2 (hat ebenfalls ein Zertifikat) gibt sich jetzt selbst die MAC-Adresse von PC1 und geht damit ins Netz. Die (gefälschte) MAC-Adresse kommt beim Macmon an, dieser schaut nach "...aha, diese Mac soll ins vLAN "GanzSicheresVLAN", die eingestellte Authentifizierungsstufe ist 'Hoch (Zertifikat)' ... hast du ein Zertifikat? ... ja, hast du ... du darfst rein..."
Auf den Zertifikaten steht ja eigentlich der Name des jeweiligen PC's. Dieser wird aber nicht ausgewertet.
Ist das Sinn der Sache? Hab ich einen Denkfehler?
Danke
Martin
wir führen gerade Macmon ein. Wenn möglich, arbeiten wir mit Zertifikaten.
Aber auch mit Zertifikaten wird der Client am Macmon anhand der MAC-Adresse identifiziert. Das Zertifikat dient nur als Eintrittserlaubnis, aber nicht als Identitäsnachweis.
Beispiel:
Für PC1 ist am Macmon die Authentifizierungsstufe "Hoch (Zertifikat)" eingestellt und er wird ins vLAN "GanzSicheresVLAN" geschickt. Er kommt auch nur mit Zertifikat ins Netz, ohne klappts nicht.
PC2 (hat ebenfalls ein Zertifikat) gibt sich jetzt selbst die MAC-Adresse von PC1 und geht damit ins Netz. Die (gefälschte) MAC-Adresse kommt beim Macmon an, dieser schaut nach "...aha, diese Mac soll ins vLAN "GanzSicheresVLAN", die eingestellte Authentifizierungsstufe ist 'Hoch (Zertifikat)' ... hast du ein Zertifikat? ... ja, hast du ... du darfst rein..."
Auf den Zertifikaten steht ja eigentlich der Name des jeweiligen PC's. Dieser wird aber nicht ausgewertet.
Ist das Sinn der Sache? Hab ich einen Denkfehler?
Danke
Martin
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671149
Url: https://administrator.de/forum/nac-macmon-mit-zertifikaten-671149.html
Ausgedruckt am: 05.02.2025 um 19:02 Uhr
1 Kommentar
Hallo,
macmon NAC oder macmon SDP?
Ansonsten stelle deine Konfig hier zur Verfügung (anonymisiert) damit wir mal schauen können wo / ob du Fehler eingebaut hast.
Gruss,
Peter
macmon NAC oder macmon SDP?
Ist das Sinn der Sache?
Schon mal hier nachgefragt? https://www.macmon.eu/support-1Ansonsten stelle deine Konfig hier zur Verfügung (anonymisiert) damit wir mal schauen können wo / ob du Fehler eingebaut hast.
Gruss,
Peter
