Netzwerk Authentifizierung durch System Id?
Bei uns in der Firma, wenn man einen neuen Rechner bekommt (zBsp. neuer Mitarbeiter), ist dieser sofort im Netzwerk (Wlan oder Kabel) drinnen, bekommt IP und kann alles machen. Man muss kein Username/Passwort eintippen. Ich dachte, dass die Netzwerkadmins die MAC-Adresse der Netzwerkkarte dafür verwenden und habe naiv gefragt, ob das wirklich sicher ist, da man die MAC-Adresse ändern kann.
Die Antwort war: es wird die ID des Rechners verwendet (und nicht MAC der Netzwerkkarte), und diese ist direkt mit der Hardware verbunden bzw. nicht veränderbar. Und in der Zukunft werden sie den Hashwert aller Komponenten des Rechners verwenden, so dass der Tausch einer Hardwarekomponente sofort den Hashwert ändern würde, und damit der Rechner ausgesperrt wäre.
Das war mir ganz neu. Sie haben mir keine weitere Infos gegeben und ich konnte dazu nichts finden.
Habt ihr Ideen, wie das funktioniert? Ich dachte, dass Router eigentlich nur die MAC-Adresse sehen? Fast alle Rechner bei uns sind Windows und vielleicht ist das etwas Windows spezifisches (was ich mir schwer vorstellen kann). Oder vielleicht irgendein Enterprise-Feature... Keine Ahnung
Weiß jemand vielleicht mehr drüber? Danke.
Die Antwort war: es wird die ID des Rechners verwendet (und nicht MAC der Netzwerkkarte), und diese ist direkt mit der Hardware verbunden bzw. nicht veränderbar. Und in der Zukunft werden sie den Hashwert aller Komponenten des Rechners verwenden, so dass der Tausch einer Hardwarekomponente sofort den Hashwert ändern würde, und damit der Rechner ausgesperrt wäre.
Das war mir ganz neu. Sie haben mir keine weitere Infos gegeben und ich konnte dazu nichts finden.
Habt ihr Ideen, wie das funktioniert? Ich dachte, dass Router eigentlich nur die MAC-Adresse sehen? Fast alle Rechner bei uns sind Windows und vielleicht ist das etwas Windows spezifisches (was ich mir schwer vorstellen kann). Oder vielleicht irgendein Enterprise-Feature... Keine Ahnung
Weiß jemand vielleicht mehr drüber? Danke.
Please also mark the comments that contributed to the solution of the article
Content-Key: 51870152874
Url: https://administrator.de/contentid/51870152874
Printed on: July 26, 2024 at 12:07 o'clock
2 Comments
Latest comment
Ich dachte, dass Router eigentlich nur die MAC-Adresse sehen?
Router arbeiten bekanntlich immer auf Layer 3 und "sehen" also außer der Mac auch immer die IP Adresse aller Clients.So oder so hat aber ein Router rein gar nichts mit einer Netzwerk Authentisierung wie z.B. 802.1x zu tun, die Mac Adressen oder andere Credentials eines Users prüft für z.B. einen per Radius gesicherten Netzwerk Zugang. Ein Router ist also per se niemal in eine Netzwerk Authentisierung (NAC) involviert und einzig nur verantwortlich für die Wegefindung in IP Netzen! Solche einfachen Basics weiss auch ein Hobby Admin.
Vermutlich machst du hier im Grundsatz der Technik zu NAC Verfahren schon einen großen Denkfehler?!
Ein paar einfache Grundlagen zu der Thematik findest du HIER und in den weiterführenden Links dort.
Hi,
Wie genau soll die Authentifizierung denn ablaufen? Ich habe davon auch noch nicht gehört.
Der Standard zur Authentifizierung von Rechnernetzen ist hier meines Wissens nach 802.1x als Authentifizierungsprotokoll.
Schützenswerte Netze, insbesondere das Clientnetz sichert man am besten mit EAP TLS, also rein Zertifikatsbasiert. Ist die einmal vernünftig eingerichtet, lässt es sich so gut wie voll automatisieren.
Dies erfordert jedoch viele Vorbereitungen und Tests. CA, RADIUS, AD-Komponenten sowie die switches sind nicht mal eben an einem Tag eingerichtet wenn man zumindest eine dreistellige Anzahl an Clients verwaltet.
Wie genau soll die Authentifizierung denn ablaufen? Ich habe davon auch noch nicht gehört.
Der Standard zur Authentifizierung von Rechnernetzen ist hier meines Wissens nach 802.1x als Authentifizierungsprotokoll.
Schützenswerte Netze, insbesondere das Clientnetz sichert man am besten mit EAP TLS, also rein Zertifikatsbasiert. Ist die einmal vernünftig eingerichtet, lässt es sich so gut wie voll automatisieren.
Dies erfordert jedoch viele Vorbereitungen und Tests. CA, RADIUS, AD-Komponenten sowie die switches sind nicht mal eben an einem Tag eingerichtet wenn man zumindest eine dreistellige Anzahl an Clients verwaltet.