17
RADIUS (NPS) - Fachgespräch Erfahrungen?
Hallo Forum,
ich befinde mich momentan im 3. Lehrjahr und mein Projekt ist das Aufsetzen eines RADIUS Servers in einer Testumgebung. Da ich den RADIUS Server heute zum Laufen gebracht habe, würde ich gerne ein paar Erfahrungswerte einholen, z.B. was für Fragen denn in einem Fachgespräch dies bzgl. aufkommen könnten.
Was würdet ihr als Prüfer fragen? bzw. was wurde euch als Prüfling gefragt?
Außerdem:
In wie fern haltet es ihr für notwendig, auf alternativen einzugehen? (z.B. FreeRadius oder TACAS) Wie sind dort die Erfahrungswerte? Wird danach gefragt?
Da für das Projekt unter anderem auch ein AD + DHCP aufgesetzt wurde, wird dies automatisch Teil des Fachgesprächs? Obwohl diese "nur" Vorbereitungen sind?
Anbei ein paar Infos:
Es wurde NPS verwendet (nur LAN kein WLAN. WLAN ist bereits durch MAC Whitelist abgesichert). Authentifizierung läuft über AD (Für das Projekt wurde ein Test AD verwendet). Das Projekt beinhaltet die Installation auf einer Testumgebung die folgendermaßen aussieht:
- Windows Server 2016 (DELL Optiplex 780.. ja, lustig, ich weiß. Erfüllt aber seinen Zweck)
- CISCO Switch SG-200-08
- DELL Latitude E5520 (fungiert als LAN-Client, Windows 10 Pro 1709)
Vielen Dank im Voraus!
Gruß
ich befinde mich momentan im 3. Lehrjahr und mein Projekt ist das Aufsetzen eines RADIUS Servers in einer Testumgebung. Da ich den RADIUS Server heute zum Laufen gebracht habe, würde ich gerne ein paar Erfahrungswerte einholen, z.B. was für Fragen denn in einem Fachgespräch dies bzgl. aufkommen könnten.
Was würdet ihr als Prüfer fragen? bzw. was wurde euch als Prüfling gefragt?
Außerdem:
In wie fern haltet es ihr für notwendig, auf alternativen einzugehen? (z.B. FreeRadius oder TACAS) Wie sind dort die Erfahrungswerte? Wird danach gefragt?
Da für das Projekt unter anderem auch ein AD + DHCP aufgesetzt wurde, wird dies automatisch Teil des Fachgesprächs? Obwohl diese "nur" Vorbereitungen sind?
Anbei ein paar Infos:
Es wurde NPS verwendet (nur LAN kein WLAN. WLAN ist bereits durch MAC Whitelist abgesichert). Authentifizierung läuft über AD (Für das Projekt wurde ein Test AD verwendet). Das Projekt beinhaltet die Installation auf einer Testumgebung die folgendermaßen aussieht:
- Windows Server 2016 (DELL Optiplex 780.. ja, lustig, ich weiß. Erfüllt aber seinen Zweck)
- CISCO Switch SG-200-08
- DELL Latitude E5520 (fungiert als LAN-Client, Windows 10 Pro 1709)
Vielen Dank im Voraus!
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 427341
Url: https://administrator.de/contentid/427341
Printed on: April 19, 2024 at 08:04 o'clock
17 Comments
Latest comment
(z.B. FreeRadius oder TACAS) Wie sind dort die Erfahrungswerte? Wird danach gefragt?
Viel hängt von der Sicherheit der Zertifikate ab !! Die Frage wie die CA aufgesetzt und abgesichert wurde wäre eine entscheidende.Und ja....
Wenn man schon eine strikte Port Security Policy hat in einem Unternehmen ist das Thema Absicherung der Infrastruktur selber natürlich eins der wichtigsten Themen die da im Schlepptau sind.
TACACS oder auch Radius kann hier also auch ein entscheidender Punkt sein. Fachkundige Prüfer sollten sowas in jedem Falle abfragen. Ebenso das proaktive Auswerten von Syslog und Flow Daten.
Das Thema kann sehr weit und umfassend gestaltet werden. Je nach Schwerpunkt... Pauschal kann also niemand auf sowas antworten. Schon gar nicht in einem Forum wo du auf 2 Fragen mindestens 10 Antworten bekommst (viele mit gefährlichem Halbwissen und sachlich falsch) die dich mehr verwirren als je zuvor.
Traurig hier ist das es mal wieder nur eine reine langeilige Winblows Monokultur ist....und auch etwas Praxis fremd wenn man bedenkt das heute mobile Geräte (BYOD), Home Office usw. eine sehr große Rolle spielen in dem Umfeld....
Aber kannst du sicher weit besser beurteilen als ein Forum...
Moin,
ich weiss nicht, aber einen Radiusserver aufsetzen finde ich als "zu klein" für ein Abschlussprojekt. Wenn ich mich Recht an meines 'damals' (TM) erinner hatte ich auch einen aufgesetzt und konfiguriert, das war allerdings ein so kleiner Nebenpart, dass er weder in Doku noch in Fachgespräch besonders betont war.
Die Frage ob AD + DHCP teil des Gesprächs ist, klingt so, als hättest du bedenken davor?
Viele Grüße,
Christian
ich weiss nicht, aber einen Radiusserver aufsetzen finde ich als "zu klein" für ein Abschlussprojekt. Wenn ich mich Recht an meines 'damals' (TM) erinner hatte ich auch einen aufgesetzt und konfiguriert, das war allerdings ein so kleiner Nebenpart, dass er weder in Doku noch in Fachgespräch besonders betont war.
Die Frage ob AD + DHCP teil des Gesprächs ist, klingt so, als hättest du bedenken davor?
Viele Grüße,
Christian
Hallo,
der war gut
Kleine Aufgabe zwischendurch:
Was ist nötig, um die MAC Whitlist-filterung wirkungslos zu machen?
Grüße
lcer
Zitat von @Dave57:
Es wurde NPS verwendet (nur LAN kein WLAN. WLAN ist bereits durch MAC Whitelist abgesichert).
Es wurde NPS verwendet (nur LAN kein WLAN. WLAN ist bereits durch MAC Whitelist abgesichert).
der war gut
Kleine Aufgabe zwischendurch:
Was ist nötig, um die MAC Whitlist-filterung wirkungslos zu machen?
Grüße
lcer
ist bereits durch MAC Whitelist abgesichert
Ha ha ha...in der Tat. Das ist ja bekanntlich sehr sicher !!! Hoffentlich fragt da dann keiner der Prüfer nach. Das LAN wie Fort Knox zu sichern aber im WLAN dann trotz vorhandenem Radius Server, der die Option der Sicherheit auch gleich hier bieten würde, nur ein gelbes Schild mit "Betreten verboten" aufzustellen zeugt eher von Naivität und Weltfremdheit denn davon das sich da einer wirklich Gedanken um umfassende Sicherheit gemacht hat. Aber egal...
Kleine Aufgabe zwischendurch:
Knackt jeder Grundschüler in max. 5 Sekunden...
@aqui
Gruß,
Dani
Knackt jeder Grundschüler in max. 5 Sekunden...
Ich habe meinen Sohn (wird bald 7 Jahre) vorher beim Mittagessen gefragt: Felix, was ist eine MAC Whitelist? Antwort: Kann man das Essen wie den Big Mac... Hmmm, habe ich als Vater nun versagt? Gruß,
Dani
Zitat von @Dani:
@aqui
Ja, Du hast die Frage falsch gestellt. Du hättest eine altersgerechte ordentliche Textaufgabe formulieren müssen:@aqui
Knackt jeder Grundschüler in max. 5 Sekunden...
Ich habe meinen Sohn (wird bald 7 Jahre) vorher beim Mittagessen gefragt: Felix, was ist eine MAC Whitelist? Antwort: Kann man das Essen wie den Big Mac... Hmmm, habe ich als Vater nun versagt? Jeder Schüler schreibt seinen Vornamen auf einen Zettel. Die Sekretärin der Schule hat eine Liste mit folgenden Namen: "Paul, Justin, …". Wenn man der Sekretärin einen Zettel mit einem Namen zeigt, der auf ihrer Liste stehe, bekommt man einen Tag schulfrei - oder einen 20€ Steam-Gutschein.
Was machst Du?
Grüße
lcer
Ja, Du hast die Frage falsch gestellt.
Stimmt didaktisch falsch. Sie hätte auch lauten können: "Wenn du mit deinen Kumpels Vadderns WLAN knackst, gibts freien Eintritt inkl. Burger satt im Freizeit Park !" 
ich weiss nicht, aber einen Radiusserver aufsetzen finde ich als "zu klein" für ein Abschlussprojekt.
Das wurde mir öfters gesagt. Aber der Antrag wurde ohne Probleme genehmigt.
Die Frage ob AD + DHCP teil des Gesprächs ist, klingt so, als hättest du bedenken davor?
Etwas verunsichert, ja. Je nach dem wie sehr darauf Eingegangen wird von den Prüfern, kann das ganz schön vom eigentlich Thema "abdriften"
Das ist ein Problem mit dem kleinen Thema, entweder Sie gehen in die Breite (=anderes Thema) oder wesentlich tiefer in die Materie als die lieb sein kann.
(Insbesondere in Hinsicht auf MAC)
(Insbesondere in Hinsicht auf MAC)
Hoffentlich fragt da dann keiner der Prüfer nach. Das LAN wie Fort Knox zu sichern aber im WLAN dann trotz vorhandenem Radius Server, der die Option der Sicherheit auch gleich hier bieten würde, nur ein gelbes Schild mit "Betreten verboten" aufzustellen zeugt eher von Naivität und Weltfremdheit denn davon das sich da einer wirklich Gedanken um umfassende Sicherheit gemacht hat. Aber egal...
Ha ha ha. Ja. Da gebe ich euch recht. Lustig ist, das typisch ich, den Part mit der MAC Whitelist genauso im Projektantrag (wurde bereits genehmigt) hinterlegt habe. Mal schauen ob wirklich in der Prüfung darauf eingegangen wird.
Da ihr mich jetzt erfolgreich unsicher gemacht habt :-P, überlege ich mir, da ich jetzt schon einen laufenden NPS-RADIUS Server habe, dies als extra hinzu zunehmen. Ist ja eigentlich nicht mehr wie Access Point an den Switch stecken und den Switch als 2. Client im NPS zu deklarieren oder? Dafür natürlich eine extra NPS Richtlinie noch erstellen. Der Port am Switch, an dem der Access Point angeschlossen ist, muss dementsprechend auf "Force Authorized" in der Switch Konfig hinterlegt werden, richtig? Da der Access Point sich ja nicht mit einem AD Konto authentifizieren kann.
Aber ja, da gibt es natürlich tolle Tutorials zum nachlesen
Danke für die Idee und den Input.
//Jeder Schüler schreibt seinen Vornamen auf einen Zettel. Die Sekretärin der Schule hat eine Liste mit folgenden Namen: "Paul, Justin, …". Wenn man der Sekretärin einen Zettel mit einem Namen zeigt, der auf ihrer Liste stehe, bekommt man einen Tag schulfrei - oder einen 20€ Steam-Gutschein.
Was machst Du?
Was machst Du?
Geil
das typisch ich, den Part mit der MAC Whitelist genauso im Projektantrag (wurde bereits genehmigt) hinterlegt habe.
Wie peinlich !Wenns ein pfiffiger Prüfer ist nagelt er dich auf diese gravierende Lücke im Design fest !
Ist ja eigentlich nicht mehr wie Access Point an den Switch stecken und den Switch als 2. Client im NPS zu deklarieren oder?
Bahnhof ?, Ägypten ?Was willst du uns mit diesen kryptischen Worten sagen ??
Der Port am Switch, an dem der Access Point angeschlossen ist, muss dementsprechend auf "Force Authorized"
Nein ! Natürlich nicht, das ist Quatsch !Gute APs haben selber einen .1x Client an Bord das sie sich authentisieren können.
Bei billigem China Schrott die das nicht können machst du die .1x Authentisierung mit Mac Passthrough.
Noch besser ist es der AP authentisiert die WLAN Clients mit .1x und schickt sie mit dynmaischen VLANs in die VLANs in die sie sollen.
So würde man sowas heutzutage sicher lösen und nicht mit so einer Frickelei wie bei dir. Eigentlich sollte man das nach 3 Jahren Praxis aber langsam wissen, sorry.
Da der Access Point sich ja nicht mit einem AD Konto authentifizieren kann.
Dein Hardware Horizont ist da wie gesagt wohl etwas begrenzt. Bessere AP, Switches und auch Router haben alle einen .1x Client an Bord.da gibt es natürlich tolle Tutorials zum nachlesen
Einsicht ist der erste Weg.... ! 
Moin,
meine Meinung dazu:
Grüße
Tim
meine Meinung dazu:
- ich finde es nicht zu klein. Mir wurde damals gesagt, dass die 35 Stunden sich nahezu gleichmäßig auf die Phasen Planung, Durchführung und Dokumentation verteilen. Sind also 1,5 Tage pro Phase, was soll denn da groß noch kommen?
- Mein Abschlussprojekt hatte ein ähnliches Thema. Die Prüfer hatten keine konkreten Nachfragen zum Projekt. Sie haben gefragt wie groß der Header bei IPv4 ist, wie LWL funktioniert und wie eine MAC-Adresse aufgebaut ist.
Grüße
Tim
Hallo,
ein paar Worte zur Prüfung selbst (bei mir ist das knapp zwei Jahre her):
Es kommt sehr auf die prüfenden Personen sowie Bundesland / IHK an, weshalb ich hier keine allgemeingültige Aussagen treffen kann ;)
Wenn die schon bei der Präsentation merken, dass der Prüfling schwächelt, fassen sie in den Lücken nach. Das Fachgespräch sollte sich somit in erster Linie um die Dinge drehen, die nicht in der Präsentation aufgetaucht sind oder was die beiden Hauptprüfer am Projekt interessiert bzw. wo in der Doku Lücken waren.
So kann man den Gesprächsverlauf ein wenig steuern oder erahnen. Umgekehrt kann man auch bewusst etwas weg lassen, um dann danach gefragt zu werden.
Mein damaliges Projekt hatte lediglich die Authentifizierung gegen AD inkludiert. Ich wurde nach Funktionsweise, Aufbau, Sinn und Zweck des AD gefragt. Da die Präsentation schon vieles erschlagen hatte, kamen nach den projektspezifischen später noch allgemeine Fragen nach VLAN, strukturierter Verkabelung, etc. (normaler Ausbildungsinhalt eben).
Doof gesagt, kann dir halt alles passieren.
Sicherlich hast du im Betrieb auch einen Ansprechpartner, der schon mal mit der IHK zu tun hatte und dir ggf. noch ein, zwei Tipps geben kann.
Halte deine Präsentation vor Kollegen, Ausbildern, Familie (fachfremd) und schau mal, was dann so gefragt wird. Einen möglichen ersten Eindruck, was auf dich zukommen könnte, hast du dann schon mal. Nebenbei übst du so auch die Präsentation an sich.
Da wir Titel und Umfang deines Projektes nicht kennen, stochern wir natürlich auch ein wenig im Dunkeln. Andererseits weiß jeder Prüfer, Prüfling und Ehemaliger, dass diese Story mit den 35 Stunden Räuberpistolen sind. Das jetzt aber aufzuwärmen... naja, nicht zielführend.
ein paar Worte zur Prüfung selbst (bei mir ist das knapp zwei Jahre her):
Es kommt sehr auf die prüfenden Personen sowie Bundesland / IHK an, weshalb ich hier keine allgemeingültige Aussagen treffen kann ;)
Wenn die schon bei der Präsentation merken, dass der Prüfling schwächelt, fassen sie in den Lücken nach. Das Fachgespräch sollte sich somit in erster Linie um die Dinge drehen, die nicht in der Präsentation aufgetaucht sind oder was die beiden Hauptprüfer am Projekt interessiert bzw. wo in der Doku Lücken waren.
So kann man den Gesprächsverlauf ein wenig steuern oder erahnen. Umgekehrt kann man auch bewusst etwas weg lassen, um dann danach gefragt zu werden.
Mein damaliges Projekt hatte lediglich die Authentifizierung gegen AD inkludiert. Ich wurde nach Funktionsweise, Aufbau, Sinn und Zweck des AD gefragt. Da die Präsentation schon vieles erschlagen hatte, kamen nach den projektspezifischen später noch allgemeine Fragen nach VLAN, strukturierter Verkabelung, etc. (normaler Ausbildungsinhalt eben).
Doof gesagt, kann dir halt alles passieren.
Sicherlich hast du im Betrieb auch einen Ansprechpartner, der schon mal mit der IHK zu tun hatte und dir ggf. noch ein, zwei Tipps geben kann.
Halte deine Präsentation vor Kollegen, Ausbildern, Familie (fachfremd) und schau mal, was dann so gefragt wird. Einen möglichen ersten Eindruck, was auf dich zukommen könnte, hast du dann schon mal. Nebenbei übst du so auch die Präsentation an sich.
Da wir Titel und Umfang deines Projektes nicht kennen, stochern wir natürlich auch ein wenig im Dunkeln. Andererseits weiß jeder Prüfer, Prüfling und Ehemaliger, dass diese Story mit den 35 Stunden Räuberpistolen sind. Das jetzt aber aufzuwärmen... naja, nicht zielführend.
wie LWL funktioniert
Da wäre die Antwort oder die Erwartungshaltung hochinteressant gewesen !So eine typische unreflektierte Killerfrage...was ist denn LWL ? Fiberchannel, Myrinet, Infiniband oder doch Ethernet oder vielleicht noch ATM....?
Sehr sinnvolle Frage die viel über den Prüfer aussagt...
Hey,
ich habe vor paar Jahren auch meinen Fisi gemacht.
Ich bin mir unsicher, ob die Prüfer*innen damals einfach keine Ahnung von meinem Thema hatten, sich nicht in mein Thema einlesen wollten oder einfach nur mal das "Ar...loch" raushängen wollten.
Jedenfalls kam neben einer kleiner oberflächliche Fragen zu meinem Projekt eine Frage zu meiner Kostenrechnung (die Prüferin war der Meinung, der Verechnungssatz wäre mit 30 Euro pro Stunde viel zu teuer. Keine Ahnung wie die darauf kommt, jedenfalls stimmt der bei meiner Firma damals überein. Sie meinte ein Satz von unter 10 Euro wäre eher passend).
Danach kamen mehrere Fragen zu Themen, die nicht mein Projekt betroffen haben. Sei es eine Aufzählung der verschiedenen Clusterarten mit Erklärung über Fragen über das Projekt meines Mitazubis. Also in Richtung was hat er genau in seinem Projekt gemacht, welche Software hat er eingesetzt, was war Ziel seines Projektes usw. Zum Glück war der Kollege sehr redselig und hat mir immer erzählt, was er so gemacht hat.
Ich hatte die Prüfer danach drauf angesprochen. Die waren dann mega pissig und meinten nur, sie haben die Auswahl über die Fragen und sie können fragen was sie wollten.
Cheers
Jonas
ich habe vor paar Jahren auch meinen Fisi gemacht.
Ich bin mir unsicher, ob die Prüfer*innen damals einfach keine Ahnung von meinem Thema hatten, sich nicht in mein Thema einlesen wollten oder einfach nur mal das "Ar...loch" raushängen wollten.
Jedenfalls kam neben einer kleiner oberflächliche Fragen zu meinem Projekt eine Frage zu meiner Kostenrechnung (die Prüferin war der Meinung, der Verechnungssatz wäre mit 30 Euro pro Stunde viel zu teuer. Keine Ahnung wie die darauf kommt, jedenfalls stimmt der bei meiner Firma damals überein. Sie meinte ein Satz von unter 10 Euro wäre eher passend).
Danach kamen mehrere Fragen zu Themen, die nicht mein Projekt betroffen haben. Sei es eine Aufzählung der verschiedenen Clusterarten mit Erklärung über Fragen über das Projekt meines Mitazubis. Also in Richtung was hat er genau in seinem Projekt gemacht, welche Software hat er eingesetzt, was war Ziel seines Projektes usw. Zum Glück war der Kollege sehr redselig und hat mir immer erzählt, was er so gemacht hat.
Ich hatte die Prüfer danach drauf angesprochen. Die waren dann mega pissig und meinten nur, sie haben die Auswahl über die Fragen und sie können fragen was sie wollten.
Cheers
Jonas
Zitat von @aqui:
So eine typische unreflektierte Killerfrage...was ist denn LWL ? Fiberchannel, Myrinet, Infiniband oder doch Ethernet oder vielleicht noch ATM....?
Sehr sinnvolle Frage die viel über den Prüfer aussagt...
wie LWL funktioniert
Da wäre die Antwort oder die Erwartungshaltung hochinteressant gewesen !So eine typische unreflektierte Killerfrage...was ist denn LWL ? Fiberchannel, Myrinet, Infiniband oder doch Ethernet oder vielleicht noch ATM....?
Sehr sinnvolle Frage die viel über den Prüfer aussagt...
Kann gut oder schlecht sein. Kennst du das nicht auch aus dem Arbeitsleben von deinen Kunden?
Plötzlich mit einer ganz fixen Idee kommen, die man vom Onkel/Bruder des Bruders/Freund des Kneipennachbarn grob missverstanden aufschnappte und die man nun 1 korrekt einordnen und 2. erklären soll Da kann der Prüfer einfach aus dem Leben prüfen. - aber wie du sagst, es kommt auf die Intention an.
