7
NPS auf Firmengeräte beschränken
Moin zusammen,
ich überlege im WLAN WPA2 Enterprise einzuführen, dass sich die Benutzer mit ihren Windows Zugangsdaten ins WLAN einloggen können. Ich möchte jedoch auch beschränken, dass sie sich nur mit den Firmengeräten anmelden dürfen.
Ich verwende dafür einen Windows NPS und Unifi Accesspoints.
Geht das nur mit Zertifikaten oder auch mit MAC Adress Filterung? Die iPhones verschleiern ja die MAC Adresse by default. Erst, wenn man mit dem WLAN verbunden ist, kann man die Verschleierung dann deaktivieren. Zur Authentifizierung bei der Erstverbindung klappt das dann mit der MAC Adressen Filterung nicht.
Wie sollte ich vor gehen.
Danke für Eure Hinweise and keep rockin'
Der Mike.
ich überlege im WLAN WPA2 Enterprise einzuführen, dass sich die Benutzer mit ihren Windows Zugangsdaten ins WLAN einloggen können. Ich möchte jedoch auch beschränken, dass sie sich nur mit den Firmengeräten anmelden dürfen.
Ich verwende dafür einen Windows NPS und Unifi Accesspoints.
Geht das nur mit Zertifikaten oder auch mit MAC Adress Filterung? Die iPhones verschleiern ja die MAC Adresse by default. Erst, wenn man mit dem WLAN verbunden ist, kann man die Verschleierung dann deaktivieren. Zur Authentifizierung bei der Erstverbindung klappt das dann mit der MAC Adressen Filterung nicht.
Wie sollte ich vor gehen.
Danke für Eure Hinweise and keep rockin'
Der Mike.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3133624518
Url: https://administrator.de/contentid/3133624518
Printed on: May 7, 2024 at 06:05 o'clock
7 Comments
Latest comment
Hi,
mit welchen Geräten arbeitest du denn?
Wir haben das komplett über Zertifikate laufen.
Gruß
mit welchen Geräten arbeitest du denn?
Wir haben das komplett über Zertifikate laufen.
Gruß
z.B. die open genannten iPhones.
Dann wollte ich alle Domänencomputer erlauben, jedoch keine Laptops, die sich nicht in der Domäne befinden.
Dann wollte ich alle Domänencomputer erlauben, jedoch keine Laptops, die sich nicht in der Domäne befinden.
Hallo Mike,
Das die Unterscheidung mit den MAC-Adressen nicht das gelbe vom Ei sind, hast du ja schon festgestellt. Neben den wechselnden Adressen der Mobilgeräte ist auch die leichte Änderbarkeit auf eine „erlaubte“ MAC ein Punkt, der so ein Konzept aushebeln könnte.
Aqui hat an dieser Stelle ein gutes Tutorial zu dem Thema geschrieben; da ist das meiste schon erklärt. Und unten die weiterführenden Links lohnen auch eine Blick.
Wenn du die Laptops ohne Zertifikate ins WLAN bringen möchtest: du kannst die Zugehörigkeit zum AD (OU/Gruppe) als Bedingung der NPS-Richtlinie machen. Bei den Mobilteilen stelle ich einfach mal die ketzerische Frage, ob nicht auch den privaten Geräten unter bestimmten Bedingungen WLAN-Zugang (und damit meine ich im Prinzip nur reine Internetzugang) gewährt werden kann. Quasi als Service des AGs an seine Mitarbeiter.
Bedingungen wären dann (für mich):
Brauch das Firmen-Handy dann direkten Zugriff auf interne Netze, kann es immer noch einen VPN aufmachen.
Grüße
Martin
Das die Unterscheidung mit den MAC-Adressen nicht das gelbe vom Ei sind, hast du ja schon festgestellt. Neben den wechselnden Adressen der Mobilgeräte ist auch die leichte Änderbarkeit auf eine „erlaubte“ MAC ein Punkt, der so ein Konzept aushebeln könnte.
Aqui hat an dieser Stelle ein gutes Tutorial zu dem Thema geschrieben; da ist das meiste schon erklärt. Und unten die weiterführenden Links lohnen auch eine Blick.
Wenn du die Laptops ohne Zertifikate ins WLAN bringen möchtest: du kannst die Zugehörigkeit zum AD (OU/Gruppe) als Bedingung der NPS-Richtlinie machen. Bei den Mobilteilen stelle ich einfach mal die ketzerische Frage, ob nicht auch den privaten Geräten unter bestimmten Bedingungen WLAN-Zugang (und damit meine ich im Prinzip nur reine Internetzugang) gewährt werden kann. Quasi als Service des AGs an seine Mitarbeiter.
Bedingungen wären dann (für mich):
- Mobilgeräte werden im eigenen VLAN separiert und haben keinen Zugriff auf interne Netze. Sie werden direkt ins öffentliche Internet ausgeleitet.
- die Geräte sind mit Client-Isolation voneinander getrennt (Privat- und Firmen-Handy sehen sich nicht)
- es gibt eine Regelungsabrede zwischen AG und MA
Brauch das Firmen-Handy dann direkten Zugriff auf interne Netze, kann es immer noch einen VPN aufmachen.
Grüße
Martin
Erst, wenn man mit dem WLAN verbunden ist, kann man die Verschleierung dann deaktivieren.
Nein das stimmt nicht ganz...https://support.apple.com/en-us/HT211227
Außerdem nutzen mittlerweile auch alle aktuellen Androiden und Laptops bzw. MacBooks diese Funktion. Die Mac Adresse ist aber pro SSID dann immer konstant.
Letztlich ist aber nur die Mac Adresse immer eine Sackgasse für das was du vorhast. Das Warum ist vor kurzem hier schon durchgekaut worden:
Funktionsweise und Nachteile von PSK und MAC-Adressen Authentifizierung
Letztlich hängt es von deinen Sicherheitsanforderungen ab. Kollege @TwistedAir hat oben die Fakten ja schon zusammengefasst geschildert.
Du kannst auch eine kombinierte Mac und Dot1x (WPA-Enterprise) Auth machen die beides checkt und dann auch die VLANs den Clients dynamisch zuweist.
Ohne Zertifikate nutzt .1x dann immer den Rechnernamen/Domain oder individuelle Usernamen je nachdem wie man den .1x Client customized. Mit GPOs muss man die Rechte dann so beschneiden das User das nicht ändern können.
Wenn dir das reicht bräuchtest du damit dann keine Client Zertifikate und damit keine CA. Letztere sind die Königsklasse bei der WLAN Authentisierung weil sicher, nicht übertragbar und du kannst wasserdicht bestimmen welches Gerät ins WLAN darf und welches nicht, weil dann Geräte ohne Zertifikate schlicht keine Chance haben.
Positiver Nebeneffekt eines solchen Konzeptes ist dann bei der Nutzung nur noch einer SSID immer (egal wie man es sicherheitstechnisch löst) das man im Gegensatz zu einem Resourcen fressenden MSSID Konzept wertvolle Airtime spart und damit die grundsätzliche Performance steigert im WLAN.
Hallo,
also ich verstehe das irgendwie nicht ganz, was kann denn Dein NPS oder auch was kann er nicht?
- LDAP für Kabelgebundene Geräte
- RadiusServer mit Zertifikaten für alle WLAN angebundenen Geräte
- WPA2 oder besser gleich WPA 3 für alle WLAN Klienten
Dobby
also ich verstehe das irgendwie nicht ganz, was kann denn Dein NPS oder auch was kann er nicht?
- LDAP für Kabelgebundene Geräte
- RadiusServer mit Zertifikaten für alle WLAN angebundenen Geräte
- WPA2 oder besser gleich WPA 3 für alle WLAN Klienten
Dobby
Hallo,
wir haben das folgendermaßen gelöst:
WLAN1 für alle AD-Computer mittels NPS mit Zertifikaten
WLAN2 für Smartphones mittels NPS über Benutzernamen und Passwort über ein MDM verteilt
Während WLAN1 den notwendigen Zugriff auf interne Ressourcen hat, kann WLAN2 nur auf explizite interne Dienste zugreifen (z.B. Intranet), gelöst ist das über zwei VLANs und jeweils unterschiedlichen SSIDs.
Mit diesem Verfahren haben wir seit Jahren gute Erfahrungen gemacht.
NPS mit Zertifikaten ist schnell eingerichtet, wir verwenden die Microsoft CA und die AD-Computer beziehen die Zertifikate via GPO.
wir haben das folgendermaßen gelöst:
WLAN1 für alle AD-Computer mittels NPS mit Zertifikaten
WLAN2 für Smartphones mittels NPS über Benutzernamen und Passwort über ein MDM verteilt
Während WLAN1 den notwendigen Zugriff auf interne Ressourcen hat, kann WLAN2 nur auf explizite interne Dienste zugreifen (z.B. Intranet), gelöst ist das über zwei VLANs und jeweils unterschiedlichen SSIDs.
Mit diesem Verfahren haben wir seit Jahren gute Erfahrungen gemacht.
NPS mit Zertifikaten ist schnell eingerichtet, wir verwenden die Microsoft CA und die AD-Computer beziehen die Zertifikate via GPO.
wir haben das folgendermaßen gelöst:
Hat aber wieder den großen Nachteil das man mit 2 MSSIDs arbeiten muss was wieder Airtime und damit Performance kostet und auch nicht sein müsste.Es ist ja lediglich ein Customizing des .1x Clients ob der Zertifikate nutzt oder User/Pass. Sprich es ist ein reines Client Customizing und NICHT das des NPS, denn der bedient bei .1x Zertifikate und User Credentials gleichsam.
Sinnvoller ist dann also immer eine zentrale SSID und 802.1x mit dynamischen VLANs.
Letztlich aber immer eine individuelle Entscheidung und Sicherheits Policy wie man das umsetzt.
