8
NPS Radius Server nach Gerätehersteller
Hallo,
hat jemand eine Idee, wie ich Geräte nach z.B. Hersteller oder Betriebssystem in einem bestimmtes VLAN zuordnen kann. Bzw. wie ich z.B. Android Geräten
generell vom WLAN ausschließen kann.
Hintergrund, wir möchten allen Benutzern die ein Unternehmens eigenes Gerät haben oder die Ihr Gerät als BOYD zur Verfügung stellen, den Zugriff auf ein bestimmtes VLAN gewähren. Benutzer die hingegen ein privates Gerät besitzen das ausschließlich privat genutzt wird soll in ein anderes VLAN geleitet werden. Leider ist das über eine Benutzergruppe nicht möglich, da mache Benutzer beides haben. MAC-Adressenfilterung kommt wegen des Aufwandes auch nicht in Frage.
Mir würde es reichen, wenn ich Androidgeräte generell in ein anderes VLAN leiten kann wie z.B. Iphones oder Windows PCs.
Server: Windows Server 2019
Wlan und Switch: Ubiquiti
Clients: Apple, Android und Windows 10
Danke und Grüße
hat jemand eine Idee, wie ich Geräte nach z.B. Hersteller oder Betriebssystem in einem bestimmtes VLAN zuordnen kann. Bzw. wie ich z.B. Android Geräten
generell vom WLAN ausschließen kann.
Hintergrund, wir möchten allen Benutzern die ein Unternehmens eigenes Gerät haben oder die Ihr Gerät als BOYD zur Verfügung stellen, den Zugriff auf ein bestimmtes VLAN gewähren. Benutzer die hingegen ein privates Gerät besitzen das ausschließlich privat genutzt wird soll in ein anderes VLAN geleitet werden. Leider ist das über eine Benutzergruppe nicht möglich, da mache Benutzer beides haben. MAC-Adressenfilterung kommt wegen des Aufwandes auch nicht in Frage.
Mir würde es reichen, wenn ich Androidgeräte generell in ein anderes VLAN leiten kann wie z.B. Iphones oder Windows PCs.
Server: Windows Server 2019
Wlan und Switch: Ubiquiti
Clients: Apple, Android und Windows 10
Danke und Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1733638191
Url: https://administrator.de/contentid/1733638191
Ausgedruckt am: 24.11.2024 um 18:11 Uhr
8 Kommentare
Neuester Kommentar
Hi
was du suchst ist ein Radius Server mit "Profiling". Z.B Cisco ISE oder Aruba Clearpass. Mit NPS alleine wirst du das nicht schaffen.
LG
was du suchst ist ein Radius Server mit "Profiling". Z.B Cisco ISE oder Aruba Clearpass. Mit NPS alleine wirst du das nicht schaffen.
LG
Moin,
Was machst du denn, wenn du ein ausschließlich privat genutztes iPhone in die Finger bekommst?
Vielleicht könnt ihr das ja so gestalten, dass bei BYOD ihr ein Zertifikat bereit stellt. Wer das Zertifikat hat, darf ins „sicherere“ VLAN.
Problematisch wird es, wenn das BYOD mal gesichert und auf ein privates Phone wiederhergestellt wird. Wird das Zertifikat dann mit „geklont“?
Gruß
em-pie
Was machst du denn, wenn du ein ausschließlich privat genutztes iPhone in die Finger bekommst?
Vielleicht könnt ihr das ja so gestalten, dass bei BYOD ihr ein Zertifikat bereit stellt. Wer das Zertifikat hat, darf ins „sicherere“ VLAN.
Problematisch wird es, wenn das BYOD mal gesichert und auf ein privates Phone wiederhergestellt wird. Wird das Zertifikat dann mit „geklont“?
Gruß
em-pie
Danke für eure Rückmeldungen, die Radius Server mit Profiling schau ich mir mal an, denke jedoch das würde bei uns den Rahmen sprengen.
@em-pie naja die Iphones stellen für mich weniger das Problem da, wenn da mal ein Prvates im "sicheren" Netz hängt.
Mir wäre es eher wichtig die Android Geräte aus dem "Sicheren" Vlan rauszuhalten.
@em-pie naja die Iphones stellen für mich weniger das Problem da, wenn da mal ein Prvates im "sicheren" Netz hängt.
Mir wäre es eher wichtig die Android Geräte aus dem "Sicheren" Vlan rauszuhalten.
Hi,
Der Rest wurde gesagt, man kann mit einem NPS nur die unternehmensinternen Geräte erfassen, für den Rest braucht man ISE, Clearpass, etc.
VG
Hintergrund, wir möchten allen Benutzern die ein Unternehmens eigenes Gerät haben oder die Ihr Gerät als BOYD > zur Verfügung stellen, den Zugriff auf ein bestimmtes VLAN gewähren
nein, das willst du nicht, du willst nicht die BYOD-Geräte mit den unternehmensinternen Geräten in ein Netz setzen. Erstere bleiben definitiv draußen und bekommen ggf. interne Ressourcen über Webanwendungen wie z.B. Nextcloud zur Verfügung gestellt.Der Rest wurde gesagt, man kann mit einem NPS nur die unternehmensinternen Geräte erfassen, für den Rest braucht man ISE, Clearpass, etc.
naja die Iphones stellen für mich weniger das Problem da, wenn da mal ein Prvates im "sicheren" Netz hängt
Mit welcher Begründung? Die privaten iPhones sind genauso Schatten-IT, wie die Androids, da gibt es keinen Unterschied.VG
Danke auch dir für die Rückmeldung.
Angenommen wir haben Iphons die dem Unternehmen gehören, wie kann ich diese an mit dem NPS erfassen, die Unternehmens“fremden“ jedoch außen vor lassen?
Angenommen wir haben Iphons die dem Unternehmen gehören, wie kann ich diese an mit dem NPS erfassen, die Unternehmens“fremden“ jedoch außen vor lassen?
Zitat von @Dome1988:
Danke auch dir für die Rückmeldung.
Angenommen wir haben Iphons die dem Unternehmen gehören, wie kann ich diese an mit dem NPS erfassen, die Unternehmens“fremden“ jedoch außen vor lassen?
Danke auch dir für die Rückmeldung.
Angenommen wir haben Iphons die dem Unternehmen gehören, wie kann ich diese an mit dem NPS erfassen, die Unternehmens“fremden“ jedoch außen vor lassen?
Jo, per MDM ein Zertifikat verteilen…
Man kann es über die Mac Adresse machen. Dazu müsste man aber alle Firmen eigenen Geräte in einer Mac Adressliste erfassen.
In der Mac ist auch immer ein Vendor Code (Hersteller, 36 Bit OUI) versteckt so das m,an theoretisch den Hersteller darüber filtern kann. Was bei Apple natürlich problemlos klappen würde geht bei Android nicht weil dort natürlich viele Köche Hardware herstellen. Folglich hat jeder Android Hersteller auch einen eigenen Vendor Code. Eine Liste aller Geräte ist also letzlich besser und vor allem sicherer. Außerdem hat man so immer eine aktuelle Bestandsliste aller Firmengeräte.
Der Rest ist dann sehr einfach zu konfigurieren wenn man mit Radius und 802.11x bzw. Mac Bypass (oder einer Kombination) arbeitet.
Zumindestens mit einem FreeRadius ist das im Handumdrehen umzusetzen. Ein Beispiel dafür zeigt dieses Foren Tutorial.
Das sollte sich auch mit einem NPS einfach umzusetzen sein.
In der Mac ist auch immer ein Vendor Code (Hersteller, 36 Bit OUI) versteckt so das m,an theoretisch den Hersteller darüber filtern kann. Was bei Apple natürlich problemlos klappen würde geht bei Android nicht weil dort natürlich viele Köche Hardware herstellen. Folglich hat jeder Android Hersteller auch einen eigenen Vendor Code. Eine Liste aller Geräte ist also letzlich besser und vor allem sicherer. Außerdem hat man so immer eine aktuelle Bestandsliste aller Firmengeräte.
Der Rest ist dann sehr einfach zu konfigurieren wenn man mit Radius und 802.11x bzw. Mac Bypass (oder einer Kombination) arbeitet.
Zumindestens mit einem FreeRadius ist das im Handumdrehen umzusetzen. Ein Beispiel dafür zeigt dieses Foren Tutorial.
Das sollte sich auch mit einem NPS einfach umzusetzen sein.
Wenn's das denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu markieren !!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
