NPS auf Firmengeräte beschränken

nordicmike
Goto Top
Moin zusammen,

ich überlege im WLAN WPA2 Enterprise einzuführen, dass sich die Benutzer mit ihren Windows Zugangsdaten ins WLAN einloggen können. Ich möchte jedoch auch beschränken, dass sie sich nur mit den Firmengeräten anmelden dürfen.

Ich verwende dafür einen Windows NPS und Unifi Accesspoints.

Geht das nur mit Zertifikaten oder auch mit MAC Adress Filterung? Die iPhones verschleiern ja die MAC Adresse by default. Erst, wenn man mit dem WLAN verbunden ist, kann man die Verschleierung dann deaktivieren. Zur Authentifizierung bei der Erstverbindung klappt das dann mit der MAC Adressen Filterung nicht.

Wie sollte ich vor gehen.

Danke für Eure Hinweise and keep rockin'

Der Mike.

Content-Key: 3133624518

Url: https://administrator.de/contentid/3133624518

Ausgedruckt am: 01.07.2022 um 18:07 Uhr

Mitglied: killtec
killtec 21.06.2022 um 14:04:59 Uhr
Goto Top
Hi,
mit welchen Geräten arbeitest du denn?
Wir haben das komplett über Zertifikate laufen.

Gruß
Mitglied: NordicMike
NordicMike 21.06.2022 um 14:09:24 Uhr
Goto Top
z.B. die open genannten iPhones.
Dann wollte ich alle Domänencomputer erlauben, jedoch keine Laptops, die sich nicht in der Domäne befinden.
Mitglied: TwistedAir
TwistedAir 21.06.2022 um 14:37:56 Uhr
Goto Top
Hallo Mike,

Das die Unterscheidung mit den MAC-Adressen nicht das gelbe vom Ei sind, hast du ja schon festgestellt. Neben den wechselnden Adressen der Mobilgeräte ist auch die leichte Änderbarkeit auf eine „erlaubte“ MAC ein Punkt, der so ein Konzept aushebeln könnte.

Aqui hat an dieser Stelle ein gutes Tutorial zu dem Thema geschrieben; da ist das meiste schon erklärt. Und unten die weiterführenden Links lohnen auch eine Blick. face-wink

Wenn du die Laptops ohne Zertifikate ins WLAN bringen möchtest: du kannst die Zugehörigkeit zum AD (OU/Gruppe) als Bedingung der NPS-Richtlinie machen. Bei den Mobilteilen stelle ich einfach mal die ketzerische Frage, ob nicht auch den privaten Geräten unter bestimmten Bedingungen WLAN-Zugang (und damit meine ich im Prinzip nur reine Internetzugang) gewährt werden kann. Quasi als Service des AGs an seine Mitarbeiter.
Bedingungen wären dann (für mich):
  • Mobilgeräte werden im eigenen VLAN separiert und haben keinen Zugriff auf interne Netze. Sie werden direkt ins öffentliche Internet ausgeleitet.
  • die Geräte sind mit Client-Isolation voneinander getrennt (Privat- und Firmen-Handy sehen sich nicht)
  • es gibt eine Regelungsabrede zwischen AG und MA

Brauch das Firmen-Handy dann direkten Zugriff auf interne Netze, kann es immer noch einen VPN aufmachen.

Grüße
Martin
Mitglied: aqui
aqui 21.06.2022 aktualisiert um 17:13:56 Uhr
Goto Top
Erst, wenn man mit dem WLAN verbunden ist, kann man die Verschleierung dann deaktivieren.
Nein das stimmt nicht ganz...
https://support.apple.com/en-us/HT211227
Außerdem nutzen mittlerweile auch alle aktuellen Androiden und Laptops bzw. MacBooks diese Funktion. Die Mac Adresse ist aber pro SSID dann immer konstant.
Letztlich ist aber nur die Mac Adresse immer eine Sackgasse für das was du vorhast. Das Warum ist vor kurzem hier schon durchgekaut worden:
https://administrator.de/forum/funktionsweise-und-nachteile-von-psk-und- ...

Letztlich hängt es von deinen Sicherheitsanforderungen ab. Kollege @TwistedAir hat oben die Fakten ja schon zusammengefasst geschildert.
Du kannst auch eine kombinierte Mac und Dot1x (WPA-Enterprise) Auth machen die beides checkt und dann auch die VLANs den Clients dynamisch zuweist.
Ohne Zertifikate nutzt .1x dann immer den Rechnernamen/Domain oder individuelle Usernamen je nachdem wie man den .1x Client customized. Mit GPOs muss man die Rechte dann so beschneiden das User das nicht ändern können.
Wenn dir das reicht bräuchtest du damit dann keine Client Zertifikate und damit keine CA. Letztere sind die Königsklasse bei der WLAN Authentisierung weil sicher, nicht übertragbar und du kannst wasserdicht bestimmen welches Gerät ins WLAN darf und welches nicht, weil dann Geräte ohne Zertifikate schlicht keine Chance haben.

Positiver Nebeneffekt eines solchen Konzeptes ist dann bei der Nutzung nur noch einer SSID immer (egal wie man es sicherheitstechnisch löst) das man im Gegensatz zu einem Resourcen fressenden MSSID Konzept wertvolle Airtime spart und damit die grundsätzliche Performance steigert im WLAN.
Mitglied: Dobby
Dobby 22.06.2022 um 00:01:37 Uhr
Goto Top
Hallo,

also ich verstehe das irgendwie nicht ganz, was kann denn Dein NPS oder auch was kann er nicht?
- LDAP für Kabelgebundene Geräte
- RadiusServer mit Zertifikaten für alle WLAN angebundenen Geräte
- WPA2 oder besser gleich WPA 3 für alle WLAN Klienten

Dobby
Mitglied: JoeDevlin
JoeDevlin 22.06.2022 um 06:15:53 Uhr
Goto Top
Hallo,

wir haben das folgendermaßen gelöst:

WLAN1 für alle AD-Computer mittels NPS mit Zertifikaten

WLAN2 für Smartphones mittels NPS über Benutzernamen und Passwort über ein MDM verteilt

Während WLAN1 den notwendigen Zugriff auf interne Ressourcen hat, kann WLAN2 nur auf explizite interne Dienste zugreifen (z.B. Intranet), gelöst ist das über zwei VLANs und jeweils unterschiedlichen SSIDs.

Mit diesem Verfahren haben wir seit Jahren gute Erfahrungen gemacht.

NPS mit Zertifikaten ist schnell eingerichtet, wir verwenden die Microsoft CA und die AD-Computer beziehen die Zertifikate via GPO.
Mitglied: aqui
aqui 22.06.2022 um 10:08:28 Uhr
Goto Top
wir haben das folgendermaßen gelöst:
Hat aber wieder den großen Nachteil das man mit 2 MSSIDs arbeiten muss was wieder Airtime und damit Performance kostet und auch nicht sein müsste.
Es ist ja lediglich ein Customizing des .1x Clients ob der Zertifikate nutzt oder User/Pass. Sprich es ist ein reines Client Customizing und NICHT das des NPS, denn der bedient bei .1x Zertifikate und User Credentials gleichsam.
Sinnvoller ist dann also immer eine zentrale SSID und 802.1x mit dynamischen VLANs.
Letztlich aber immer eine individuelle Entscheidung und Sicherheits Policy wie man das umsetzt.