3
Qualitätssicherung - Authentifizierung per Zertifikat -WLAN
Guten Morgen Miteinander,
es geht mal wieder um meine 802.1X Projektarbeit, genauer die zertifikatsbasierte Zugriffskontrolle per Funkverbindung. Die Prüfung naht und die Projektarbeit will abgeschlossen werden. An sich bin ich so weit durch, nur mit den Maßnahmen zur Qualitätssicherung hadere ich noch etwas.
Nochmal kurz zur Aufgabenstellung:
- Kabelungebundene Erweiterung eines kabelgebundenen Netzwerks (IEEE 802.11 / 802.3) mittels Installation von fünf Access Points (IEEE 802.11ac)
- Zertifikatsbasierte Zugriffskontrolle per IEEE 802.1X mittels NAP Server (Windows Server RADIUS / NPS) mit Active-Directory Anbindung
- Implementierung des Authentication Servers
- Die Zertifikate sollen automatisch erneuert werden bevor sie ablaufen (GPO / Auto Enrollment)
- Jeder Access Point soll 25 Clients so bedienen können dass alle parallel an einer Videokonferenz (Jitsi) teilnehmen und Ihre Groupware nutzen können (IBM Notes)
- Die Anforderungen für die Videokonferenzen gelten nur hausintern (Gigabit Ethernet)
- Jedem Access Point steht eine maximale Bandbreite von 1 Gbit/s zur Verfügung
Ich konnte soweit alles umsetzen und soll jetzt die Funktionalität nachweisen.
Meine Ideen hierzu wären folgende..
Zur Funktionalität der Zugriffskontrolle
- Überprüfen ob die Zertifikate erfolgreich aktualisiert werden und per Ereignisprotokoll nachweisen
- Überprüfen ob die Zugangskontrolle greift (Anmeldeversuch mit gesperrtem / nicht vorhandenem Zertifikat) und per Ereignisprotokoll nachweisen
- Nachweis der angewandten Verschlüsselung (im Vergleich zu den gemachten Einstellungen) Wie vorgehen?
Zur Funktionalität des WLAN
- Messen der Signalqualität im jeweiligen Raum (5 Gruppenräume / 5 Access Points) mit den zur Verfügung stehenden Möglichkeiten (WirelessNetView)
- Messen der tatsächlich verfügbaren / nutzbaren Bandbreite mit möglichst vielen aktiven Clients die beispielsweise gleichzeitig ein ISO Image ziehen (Datenrate am Netzwerkadapter des Servers bzw. Monitoring per WLAN Controller. Das Problem ist, ich habe hier jetzt nicht sooo viele Clientrechner zur Verfügung und die die ich hier habe, können laut Hersteller Intel (ich nehme an unter Laborbedingungen) maximal 300 Mbit/s leisten. Die NIC am Notebook zeigt 270 Mbit/s als aktuelle Datenrate an, iPerf sagt es sind 200 Mbit/s. Ich gehe davon aus dass Windows Payload + Overhead misst und iPerf nur den Payload. Weiß es aber nicht.
Die Recherche hat ergeben dass man für einen Jitsi Stream mit 2,5 Mbit/s für den Upload rechnen kann. Selbst wenn ich den Wert verdopple (2,5 x 2 x 25 = 125 Mbit/s) sollte das leicht und locker ausreichen. Was mir etwas Kopfschmerzen bereitet ist, dass ich die Situation mit 25 Clientrechnern nicht simulieren kann. Es soll ja auch alles im Rahmen einer fünfzehnseitigen Projektarbeit durchgeführt werden und darf nicht zu komplex werden. Aber eben auch nicht zu wenig.
Ihr seht, ich schwimme hier noch. Es wäre klasse, wenn Ihr Euch dazu äußern könntet. Was macht Sinn, was weniger, was könnte man zusätzlich noch machen, etc.
VG und vielen Dank
Dennis
es geht mal wieder um meine 802.1X Projektarbeit, genauer die zertifikatsbasierte Zugriffskontrolle per Funkverbindung. Die Prüfung naht und die Projektarbeit will abgeschlossen werden. An sich bin ich so weit durch, nur mit den Maßnahmen zur Qualitätssicherung hadere ich noch etwas.
Nochmal kurz zur Aufgabenstellung:
- Kabelungebundene Erweiterung eines kabelgebundenen Netzwerks (IEEE 802.11 / 802.3) mittels Installation von fünf Access Points (IEEE 802.11ac)
- Zertifikatsbasierte Zugriffskontrolle per IEEE 802.1X mittels NAP Server (Windows Server RADIUS / NPS) mit Active-Directory Anbindung
- Implementierung des Authentication Servers
- Die Zertifikate sollen automatisch erneuert werden bevor sie ablaufen (GPO / Auto Enrollment)
- Jeder Access Point soll 25 Clients so bedienen können dass alle parallel an einer Videokonferenz (Jitsi) teilnehmen und Ihre Groupware nutzen können (IBM Notes)
- Die Anforderungen für die Videokonferenzen gelten nur hausintern (Gigabit Ethernet)
- Jedem Access Point steht eine maximale Bandbreite von 1 Gbit/s zur Verfügung
Ich konnte soweit alles umsetzen und soll jetzt die Funktionalität nachweisen.
Meine Ideen hierzu wären folgende..
Zur Funktionalität der Zugriffskontrolle
- Überprüfen ob die Zertifikate erfolgreich aktualisiert werden und per Ereignisprotokoll nachweisen
- Überprüfen ob die Zugangskontrolle greift (Anmeldeversuch mit gesperrtem / nicht vorhandenem Zertifikat) und per Ereignisprotokoll nachweisen
- Nachweis der angewandten Verschlüsselung (im Vergleich zu den gemachten Einstellungen) Wie vorgehen?
Zur Funktionalität des WLAN
- Messen der Signalqualität im jeweiligen Raum (5 Gruppenräume / 5 Access Points) mit den zur Verfügung stehenden Möglichkeiten (WirelessNetView)
- Messen der tatsächlich verfügbaren / nutzbaren Bandbreite mit möglichst vielen aktiven Clients die beispielsweise gleichzeitig ein ISO Image ziehen (Datenrate am Netzwerkadapter des Servers bzw. Monitoring per WLAN Controller. Das Problem ist, ich habe hier jetzt nicht sooo viele Clientrechner zur Verfügung und die die ich hier habe, können laut Hersteller Intel (ich nehme an unter Laborbedingungen) maximal 300 Mbit/s leisten. Die NIC am Notebook zeigt 270 Mbit/s als aktuelle Datenrate an, iPerf sagt es sind 200 Mbit/s. Ich gehe davon aus dass Windows Payload + Overhead misst und iPerf nur den Payload. Weiß es aber nicht.
Die Recherche hat ergeben dass man für einen Jitsi Stream mit 2,5 Mbit/s für den Upload rechnen kann. Selbst wenn ich den Wert verdopple (2,5 x 2 x 25 = 125 Mbit/s) sollte das leicht und locker ausreichen. Was mir etwas Kopfschmerzen bereitet ist, dass ich die Situation mit 25 Clientrechnern nicht simulieren kann. Es soll ja auch alles im Rahmen einer fünfzehnseitigen Projektarbeit durchgeführt werden und darf nicht zu komplex werden. Aber eben auch nicht zu wenig.
Ihr seht, ich schwimme hier noch. Es wäre klasse, wenn Ihr Euch dazu äußern könntet. Was macht Sinn, was weniger, was könnte man zusätzlich noch machen, etc.
VG und vielen Dank
Dennis
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1413340393
Url: https://administrator.de/contentid/1413340393
Printed on: April 26, 2024 at 02:04 o'clock
3 Comments
Latest comment
dass ich die Situation mit 25 Clientrechnern nicht simulieren kann.
iPerf3 kann mit dem "-P" Parameter mehrere parallele Sessions (Streams) eröffnen. Damit kann man das zumindestens etwas realitätsnaher testen.Durchsatzmessungen mit SMB/CIFS sind eher kontraproduktiv, da das Protokoll selber sehr ineffizient ist und da nur verfälschte Netto Werte rauskommen. iPerf3 ist da also die weitaus bessere Wahl wenn man realistische Netto Werte ermitteln will für unterschiedliche Framegrößen.
Durchsatzzahlen sind im WLAN zudem immer von der aktuellen Feldstärke Situation der Clients abhhängig und werden permanent dynamisch angepasst (dbm, RSSID Wert). Hier gilt der goldene WLAN Design Grundsatz dbm Werte nicht unter -75 dbm fallen zu lassen.
Kumulierte Traffic Werte pro AP am Switch Kupferport kann man z.B. auch mit SNMP erfassen. Beispiel STG-Tool u.a. Die angewandte Client Verschlüsselung erhälst du pro Client immer im AP Log oder bei einer zentral gemanagten Lösung im Controller Log.
1
Vielen Dank für die Hinweise. Ich werde mich damit später nochmal ausführlich beschäftigen. Leider hat jetzt erst mal wieder was anderes Priorität. Als ich heute testen wollte was passiert, wenn ich über die Zertifizierungsstelle Zertifikate blockiere / sperre und einfach mal gar nichts geschah (kein Effekt auf die WLAN Anmeldung von Client Rechnern vor der Eingabe der Benutzerdaten), musste ich feststellen, dass mir das Thema Sperrliste noch komplett fehlt. Keine Ahnung wie man so blöd sein kann. Ist natürlich witzlos wenn man Zertifikate sperrt / blockiert aber die Anmeldung auch weiterhin funktioniert. Bin gerade dabei herauszufinden wo ich da falsch abgebogen bin und wie ich es hinbekomme dass die Anmeldung nicht mehr erfolgt wenn das Zertifikat nicht mehr gültig ist.
Hier konnte es dann entsprechend aufgelöst werden.
Zertifikatsbasierte Zugriffskontrolle (802.1X) und Netzwerkrichtlinien (NPS)
Zertifikatsbasierte Zugriffskontrolle (802.1X) und Netzwerkrichtlinien (NPS)
