Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Notebooks in Firmenwlan authentifizieren

Mitglied: EarthShaker

EarthShaker (Level 1) - Jetzt verbinden

23.04.2019 um 09:08 Uhr, 1165 Aufrufe, 18 Kommentare, 1 Danke

Guten Tag,

unsere Firma möchte gerne flächendeckend WLAN einführen und hat zu diesem Zweck einen Dienstleister beauftragt.
Wir benötigen ein WLAN-Netz für Externe als auch für unsere Notebooks (Windows 10 Pro Clients). Das Konzept für das Gastnetz geht für uns in Ordnung. (Separates Netz mit Userauthentifzierung)

Den Vorschlag für das Firmennetz können wir nicht so ganz nachvollziehen, deswegen möchte ich hier nachfragen.

Es wurden uns folgende Geräte vorgeschlagen:

LANCOM WLC-4006+ als WLAN-Controller
LANCOM LN-1700 als Access-Point

Für die Authentifizierung wurde die Installation eines Radius-Servers empfohlen. Damit könnten sich unsere User mit Ihren AD-Zugangsdaten einloggen.
Meine Rückfrage ob man sich dann mit jedem Endgerät anmelden kann, wurde bejaht. Das möchten wir natürlich nicht.
Der Lösungsvorschlag unseres Systemhauses daraufhin lautet mit einem MAC-Adressen-Filter zu arbeiten. Aber das kann doch nicht die Lösung sein, oder ?
Wir möchten ungern händisch über 50 MAC-Adressen erfassen, das muss doch irgendwie eleganter funktionieren.

Wie würdet Ihr diese Anforderung realisieren?
Mitglied: 139374
LÖSUNG 23.04.2019, aktualisiert um 09:32 Uhr
Der Lösungsvorschlag unseres Systemhauses daraufhin lautet mit einem MAC-Adressen-Filter zu arbeiten. Aber das kann doch nicht die Lösung sein, oder ?
Nee, absolut nicht, das is von Anno dazumal. Mach es per Radius und zertifikatsbasiertem Login auf Basis von Computerzertifikaten.
So eine Aussage von einem Systemhaus? Da würde ich bedenklich ins Grübeln kommen und mich nach jemand anderem umsehen!
Bitte warten ..
Mitglied: Spirit-of-Eli
23.04.2019, aktualisiert um 09:13 Uhr
Moin,

Radius ist schon richtig.
Hier sollte allerdings zusätzlich zur AD Authentifizierung auch noch ein Zertifikat verwendet werden. Die Regeln müssen so gestrickt sein, das beides erforderlich ist. Dann kommt sonst keiner in das Netz.

MAC Filter sind sinnlos und halten nur Scriptkiddies auf.

Noch besser geht es Bsp. Über NAC Lösungen wie Aurba Clearpass.

//Achja, GPO für den autologin ist auch kein Thema.

Gruß
Spirit
Bitte warten ..
Mitglied: certifiedit.net
LÖSUNG 23.04.2019 um 09:22 Uhr
Moin,

1. Verwerf die Idee des Systemhauses und ggf. sogar das Systemhaus als solches (völlig unabhängig von meiner Eigenschaft).
2. Die Kollegen haben es bereits angeführt, Radius Auth und gut ist.
3. @ Kollege Spirit, MAC-Filter halten nicht mal mehr diese auf, die halten vielleicht meine Oma noch auf. (Weil die die kleinen Kombinationen nicht mehr lesen kann/will).

Abgesehen davon würd ich auch den LanCom in Frage stellen.

Schönen Start in die Woche.

Viele Grüße,

Christian
certifiedit.net
Bitte warten ..
Mitglied: Spirit-of-Eli
23.04.2019 um 09:31 Uhr
Zitat von certifiedit.net:
Abgesehen davon würd ich auch den LanCom in Frage stellen.

Ich würde Lancom auch nicht mehr nutzen wollen wenn ich die Wahl habe.
Ich bin mittlerweile tatsächlich von Aruba über zeugt.
Mit Aruba IAPs rolle ich eine Umgebung von 100 oder mehr APs an einem Tag aus. (Mit ein paar Turnschuhläufern welche die APs verteilen)
Bitte warten ..
Mitglied: EarthShaker
23.04.2019 um 09:32 Uhr
Das klingt plausibel. Können hier selbst signierte Zertifikate verwendet werden? Eine eigene CA ist nicht vorhanden.
Bitte warten ..
Mitglied: Spirit-of-Eli
23.04.2019 um 09:34 Uhr
Zitat von EarthShaker:

Das klingt plausibel. Können hier selbst signierte Zertifikate verwendet werden? Eine eigene CA ist nicht vorhanden.

Tu dir den gefallen und zieh eine AD integrierte CA auf.
Das dauert nicht lange und du kannst die Client Zertifikate direkt ausrollen. Dann hast du damit kein stress.

Ob diese jetzt zweistufig sein muss sei dahin gestellt. Schöner ist es.
Bitte warten ..
Mitglied: 139374
23.04.2019, aktualisiert um 09:37 Uhr
Zitat von EarthShaker:

Das klingt plausibel. Können hier selbst signierte Zertifikate verwendet werden? Eine eigene CA ist nicht vorhanden.
Ohne Trusted Root konterkariert das so ein System, dann kannst du es gleich bleiben lassen. Richte eine eigene CA ein damit das wasserfest ist. Muss keine Windows CA sein, kann auch per OpenSSL oder XCA geschehen, mit einer AD integrierten CA ist der manuelle Aufwand aber halt wesentlich geringer, dort reichen eine Handvoll GPOs dafür.
Bitte warten ..
Mitglied: EarthShaker
23.04.2019 um 09:39 Uhr
Alles klar, vielen Dank für die zahlreichen Antworten. Wir werden uns dann mit dem Thema CA beschäftigen.
Bitte warten ..
Mitglied: aqui
23.04.2019 um 10:18 Uhr
Grundlagen dazu auch hier:
https://administrator.de/wissen/sichere-802-1x-wlan-benutzer-authentisie ...
Nur das es bei dir eben mit Zertifikaten gemacht wird.
Ein Gast WLAN erledigt man immer mit einem sog. Captive Portal und Einmalpasswörtern die zeitlich limitiert sind.
https://administrator.de/wissen/wlan-lan-gastnetz-einrichten-captive-por ...
Bessere Hersteller wie z.B. Ruckus haben sowas aber alles in ihrern APs selber integriert oder im Controller.
Rckus wäre hier auch die weit bessere Wahl, denn die supporeten eine integrierte Controller Funktion im AP selber. Wenn man nicht mehr als 50 APs verbaut ist diese Lösung einfacher managebar als mit einem teuren zusätzlichen Controller, weil man nur die APs benötigt und mehr nicht.
Bitte warten ..
Mitglied: sk
23.04.2019 um 12:45 Uhr
Immer wieder spannend, mit welcher fachlichen "Qualität" hier Fragen beantwortet werden...

Eine Mischung aus platten Beissreflexen (vermeintliche Unsicherheit eines Mac-Filters, obwohl dies im vorliegenden Fall nur ein zusätzliches Filterkriterium zur Disziplinierung der ohnehin berechtigten User wäre - und ohne sich mit der Frage eines möglicherweise vereinfachten Handlings dessen auseinander zu setzen), sinnfreies Bewerben des jeweils eigenfavorisierten Geräteherstellers ohne einen Mehrwert für den konkreten Anwendungsfall aufzeigen zu können sowie Aufzeigen eines Lösungsansatzes mit - je nach Einsatzumfeld - möglicherweise noch viel größeren Handhabungsaufwandes (Client-Zertifikate). Nur eines wird grundsätzlich nicht gemacht: nämlich erst mal fragen, welche gemeinsamen Eigenschaften die ca. 50 Geräte der internen Nutzer als Grupppe charaktetrisieren. Z.B. ob diese Geräte Member eines AD sind oder in dieses aufgenommen werden könnten...

Gruß
sk
Bitte warten ..
Mitglied: certifiedit.net
23.04.2019 um 13:15 Uhr
Zitat von sk:
nicht gemacht: nämlich erst mal fragen, welche gemeinsamen Eigenschaften die ca. 50 Geräte der internen Nutzer als Grupppe charaktetrisieren. Z.B. ob diese Geräte Member eines AD sind oder in dieses aufgenommen werden könnten...

Gruß
sk

Moin @sk,

und wenn man dann fragt wird man doof angemacht, weil man erst fragt, ohne zu antworten.

Darfst dich mit @St-Andreas in die klgusch.... Fraktion eingliedern.

Gruß
Bitte warten ..
Mitglied: EarthShaker
23.04.2019 um 13:15 Uhr
Hallo sk,

jetzt hast du mich aber neugierig gemacht. Ja, alle Clients sind Mitglied in unserer Domäne. Hättest Du noch einen Alternativvorschlag?

Am zusätzlichen Macfilter stört mich persönlich das manuelle To-Do. Automatisiert könne diese Liste nicht befüllt bzw. abgeglichen werden.
Bitte warten ..
Mitglied: Spirit-of-Eli
23.04.2019 um 13:29 Uhr
Zitat von certifiedit.net:

Zitat von sk:
nicht gemacht: nämlich erst mal fragen, welche gemeinsamen Eigenschaften die ca. 50 Geräte der internen Nutzer als Grupppe charaktetrisieren. Z.B. ob diese Geräte Member eines AD sind oder in dieses aufgenommen werden könnten...

Gruß
sk

Moin @sk,

und wenn man dann fragt wird man doof angemacht, weil man erst fragt, ohne zu antworten.

Darfst dich mit @St-Andreas in die klgusch.... Fraktion eingliedern.

Gruß

Vor allem ist die Herangehensweise ein Vertriebsthema. Wir haben hier nur technische Expertise geliefert.
Bitte warten ..
Mitglied: certifiedit.net
23.04.2019 um 13:33 Uhr
Pass auf, V... ist hier ein N-Wort!
Bitte warten ..
Mitglied: 139374
23.04.2019, aktualisiert um 14:23 Uhr
Zitat von certifiedit.net:
Darfst dich mit @St-Andreas in die klgusch.... Fraktion eingliedern.
Haben die nicht gerade Betriebsausflug nach Usbekistan B-)? Da gibt's noch genug günstige Flüge ....
Bitte warten ..
Mitglied: sk
LÖSUNG 23.04.2019, aktualisiert um 14:52 Uhr
Zitat von EarthShaker:
jetzt hast du mich aber neugierig gemacht. Ja, alle Clients sind Mitglied in unserer Domäne. Hättest Du noch einen Alternativvorschlag?

Dann ist die Sache doch simpel. Authentifiziere einfach die Notebooks mittels PEAP gegen das Computerkonto im AD. Alles was dafür erforderlich ist, bringt Windows bereits mit. Ihr benötigt die NPS-Rolle als Radius-Server, eine interne CA (kann die von Windows oder z.B. OpenSSL sein), ein von dieser CA ausgestelltes Zertifikat für den Radius-Server, eine AD-Gruppe, welche die berechtigten Computerkonten enthält sowie eine Gruppenrichtlinie, welche auf die relevanten Computerobjekte wirkt.
In der Gruppenrichtlinie wird den Clients die vorgenannte CA als vertrauenswürdig bekannt gemacht sowie die WLAN-Settings übergeben. Auf dem NPS-Server wird eine Policy erstellt, welche es den Membern der Computergruppe erlaubt, sich über die Accesspoints zu authentifizieren.
Alles was Du dann später operativ noch tun musst ist:
a) dafür zu sorgen, dass die Rechner die neue Gruppenrichtlinie ziehen (Client ggf. in die richtige OU schieben und diesen ggf. einmalig per Kabel mit der Domäne verbinden)
b) die Gruppenmitgliedschaft der Computerkonten zu pflegen

Im Normalfall reicht das mit PEAP erreichbare Sicherheitsniveau vollkommen aus. Wenn man höhere Ansprüche hat, kann man über das AD auch automatisiert Clientzertifikate ausrollen und diese zur Absicherung heranziehen. In einer verwalteten AD-Umgebung bedeutet das nach der Ersteinrichtung keinen zusätzlich Aufwand im Tagesbetrieb. Auf nicht verwalteten Clients ist die Verwendung von Clientzertifikaten hingegegen aus administrativer Sicht kein Spass. Geringer administrativer Aufwand war hier jedoch ausdrücklich erwünscht...


Zitat von EarthShaker:
Am zusätzlichen Macfilter stört mich persönlich das manuelle To-Do. Automatisiert könne diese Liste nicht befüllt bzw. abgeglichen werden.

Mit dem richtigen Backend-System geht das auch eleganter. z.B. mit vorgeschalteter Anlernphase oder durch Einrichtung eines Selfserviceportals mit Freischaltevorbehalt durch den Vorgesetzten und der gleichen. Die Mac-Adressen der bereits existierenden Clients hat man zudem in der Regel bereits in seinem DHCP-Server...
Aber da die Geräte ohnehin im AD sind, muss man sich darüber ja keine Gedanken mehr machen. Die bessere Alternative habe ich oben bereits erläutert.


Gruß
sk
Bitte warten ..
Mitglied: sk
23.04.2019, aktualisiert um 14:55 Uhr
Zitat von Spirit-of-Eli:
Vor allem ist die Herangehensweise ein Vertriebsthema.

Echt? Ist mir gar nicht aufgefallen, dass ich dem TO irgendetwas aufgeschwatzt hätte.
Mein Lösungsvorschlag kostet ihn keinen Cent extra.


Zitat von Spirit-of-Eli:
Wir haben hier nur technische Expertise geliefert.

Eine großartige Expertise ist das, wenn man wichtige Randbedingungen weder kennt noch hinterfragt.
Oder anders ausgedrückt: die mangelnde Ermittlung der Randbedingungen dokumentiert gerade das Nichtvorhandensein einer solchen.


Gruß
sk
Bitte warten ..
Mitglied: reksierp
01.05.2019 um 17:10 Uhr
Unabhängig vom Inhalt: es ist richtig schön, mal eine geschliffene Sprache, grammatisch und orthografisch richtig, zu lesen!
Bitte warten ..
Ähnliche Inhalte
Notebook & Zubehör
Notebook - AH512
Frage von BlindzerokillerNotebook & Zubehör2 Kommentare

Hey Leute, mein Lifebook a - ah512 hat anscheinend den Geist aufgegeben. Sobald ich ihn anschalte läuchtet der Blaue ...

Notebook & Zubehör
Notebook für Systemadministrator
Frage von banane31Notebook & Zubehör21 Kommentare

Guten Abend zusammen ich stehe aktuell vor der Qual der Wahl. Ich darf mir ein neues Arbeitsgerät aussuchen und ...

Notebook & Zubehör
Notebook - seltsame Tastaturprobleme
gelöst Frage von BigSnakeyeNotebook & Zubehör9 Kommentare

Hallöchen! Ich habe ein altes Vaio Notebook hier und es gibt sehr seltsame Probleme damit. Es ist Windows 8 ...

Verschlüsselung & Zertifikate
Verschlüsselung Notebook VeraCrypt
Frage von LauchheimerVerschlüsselung & Zertifikate27 Kommentare

Tag Leute, Wir müssen absofort unsere Notebooks verschlüsseln. Dazu wurde mir VeraCrypt empfohlen. Hat damit jemand bereits Erfahrung? Muss ...

Neue Wissensbeiträge
Off Topic
Europawahl 2019 - Ein Statement der Jugend
Information von Frank vor 32 MinutenOff Topic1 Kommentar

Dies ist ein offener Brief. Ein Statement. Von einem großen Teil der Youtuber-Szene. Am Wochenende sind die EU-Wahlen und ...

Off Topic
Europawahl 2019
Information von Frank vor 1 TagOff Topic24 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Humor (lol)

Minister wollen offenbar Ausweispflicht für .de-Domain

Information von Kraemer vor 1 TagHumor (lol)7 Kommentare

Zitat von Golem.de: Die zuständigen Verbraucherschutzminister fordern einem Medienbericht zufolge offenbar eine Ausweispflicht für .de-Domains. Das soll Betrugsfälle mit ...

Off Topic
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 3 TagenOff Topic5 Kommentare

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Heiß diskutierte Inhalte
Ausbildung
Wie sind eure Erfahrungen als oder mit Ü30 Azubis für Fachinformatik Systemintegration?
Frage von CaptainProcessorAusbildung26 Kommentare

Tagchen allerseits :) Mir steht in wenigen Monaten eine Veränderung bevor, da mein AG seine IT auslagert und ich ...

Off Topic
Europawahl 2019
Information von FrankOff Topic24 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Router & Routing
ZyXEL ZyWALL USG 20 Routing
Frage von Oggy01Router & Routing12 Kommentare

Hallo, und wieder habe ich ein Problem mit dem Routing. Bis vor ein paar Tagen habe ich das mit ...

Virtualisierung
VServer (Linux): Absichern, verschlüsseln usw
Frage von mrserious73Virtualisierung11 Kommentare

Hallo zusammen, ich möchte einen Linux-Vserver mieten und diesen absichern. Darunter verstehe ich in diesem Falle hauptsächlich: Dafür sorgen, ...