Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst RADIUS (NPS) - Fachgespräch Erfahrungen?

Mitglied: Dave57

Dave57 (Level 1) - Jetzt verbinden

11.03.2019 um 10:07 Uhr, 1707 Aufrufe, 17 Kommentare

Hallo Forum,

ich befinde mich momentan im 3. Lehrjahr und mein Projekt ist das Aufsetzen eines RADIUS Servers in einer Testumgebung. Da ich den RADIUS Server heute zum Laufen gebracht habe, würde ich gerne ein paar Erfahrungswerte einholen, z.B. was für Fragen denn in einem Fachgespräch dies bzgl. aufkommen könnten.

Was würdet ihr als Prüfer fragen? bzw. was wurde euch als Prüfling gefragt?

Außerdem:

In wie fern haltet es ihr für notwendig, auf alternativen einzugehen? (z.B. FreeRadius oder TACAS) Wie sind dort die Erfahrungswerte? Wird danach gefragt?

Da für das Projekt unter anderem auch ein AD + DHCP aufgesetzt wurde, wird dies automatisch Teil des Fachgesprächs? Obwohl diese "nur" Vorbereitungen sind?

Anbei ein paar Infos:

Es wurde NPS verwendet (nur LAN kein WLAN. WLAN ist bereits durch MAC Whitelist abgesichert). Authentifizierung läuft über AD (Für das Projekt wurde ein Test AD verwendet). Das Projekt beinhaltet die Installation auf einer Testumgebung die folgendermaßen aussieht:

- Windows Server 2016 (DELL Optiplex 780.. ja, lustig, ich weiß. Erfüllt aber seinen Zweck)
- CISCO Switch SG-200-08
- DELL Latitude E5520 (fungiert als LAN-Client, Windows 10 Pro 1709)



Vielen Dank im Voraus!

Gruß
Mitglied: aqui
11.03.2019, aktualisiert um 10:47 Uhr
(z.B. FreeRadius oder TACAS) Wie sind dort die Erfahrungswerte? Wird danach gefragt?
Viel hängt von der Sicherheit der Zertifikate ab !! Die Frage wie die CA aufgesetzt und abgesichert wurde wäre eine entscheidende.
Und ja....
Wenn man schon eine strikte Port Security Policy hat in einem Unternehmen ist das Thema Absicherung der Infrastruktur selber natürlich eins der wichtigsten Themen die da im Schlepptau sind.
TACACS oder auch Radius kann hier also auch ein entscheidender Punkt sein. Fachkundige Prüfer sollten sowas in jedem Falle abfragen. Ebenso das proaktive Auswerten von Syslog und Flow Daten.
Das Thema kann sehr weit und umfassend gestaltet werden. Je nach Schwerpunkt... Pauschal kann also niemand auf sowas antworten. Schon gar nicht in einem Forum wo du auf 2 Fragen mindestens 10 Antworten bekommst (viele mit gefährlichem Halbwissen und sachlich falsch) die dich mehr verwirren als je zuvor.
Traurig hier ist das es mal wieder nur eine reine langeilige Winblows Monokultur ist....und auch etwas Praxis fremd wenn man bedenkt das heute mobile Geräte (BYOD), Home Office usw. eine sehr große Rolle spielen in dem Umfeld....
Aber kannst du sicher weit besser beurteilen als ein Forum...
Bitte warten ..
Mitglied: certifiedit.net
11.03.2019 um 10:43 Uhr
Moin,

ich weiss nicht, aber einen Radiusserver aufsetzen finde ich als "zu klein" für ein Abschlussprojekt. Wenn ich mich Recht an meines 'damals' (TM) erinner hatte ich auch einen aufgesetzt und konfiguriert, das war allerdings ein so kleiner Nebenpart, dass er weder in Doku noch in Fachgespräch besonders betont war.

Die Frage ob AD + DHCP teil des Gesprächs ist, klingt so, als hättest du bedenken davor?

Viele Grüße,

Christian
Bitte warten ..
Mitglied: lcer00
11.03.2019 um 12:27 Uhr
Hallo,
Zitat von Dave57:

Es wurde NPS verwendet (nur LAN kein WLAN. WLAN ist bereits durch MAC Whitelist abgesichert).

der war gut


Kleine Aufgabe zwischendurch:
Was ist nötig, um die MAC Whitlist-filterung wirkungslos zu machen?

Grüße

lcer
Bitte warten ..
Mitglied: aqui
11.03.2019, aktualisiert um 12:32 Uhr
ist bereits durch MAC Whitelist abgesichert
Ha ha ha...in der Tat. Das ist ja bekanntlich sehr sicher !!!
Hoffentlich fragt da dann keiner der Prüfer nach. Das LAN wie Fort Knox zu sichern aber im WLAN dann trotz vorhandenem Radius Server, der die Option der Sicherheit auch gleich hier bieten würde, nur ein gelbes Schild mit "Betreten verboten" aufzustellen zeugt eher von Naivität und Weltfremdheit denn davon das sich da einer wirklich Gedanken um umfassende Sicherheit gemacht hat. Aber egal...
Kleine Aufgabe zwischendurch:
Knackt jeder Grundschüler in max. 5 Sekunden...
Bitte warten ..
Mitglied: Dani
11.03.2019 um 13:15 Uhr
@aqui
Knackt jeder Grundschüler in max. 5 Sekunden...
Ich habe meinen Sohn (wird bald 7 Jahre) vorher beim Mittagessen gefragt: Felix, was ist eine MAC Whitelist? Antwort: Kann man das Essen wie den Big Mac... Hmmm, habe ich als Vater nun versagt?


Gruß,
Dani
Bitte warten ..
Mitglied: lcer00
11.03.2019 um 13:32 Uhr
Zitat von Dani:

@aqui
Knackt jeder Grundschüler in max. 5 Sekunden...
Ich habe meinen Sohn (wird bald 7 Jahre) vorher beim Mittagessen gefragt: Felix, was ist eine MAC Whitelist? Antwort: Kann man das Essen wie den Big Mac... Hmmm, habe ich als Vater nun versagt?
Ja, Du hast die Frage falsch gestellt. Du hättest eine altersgerechte ordentliche Textaufgabe formulieren müssen:

Jeder Schüler schreibt seinen Vornamen auf einen Zettel. Die Sekretärin der Schule hat eine Liste mit folgenden Namen: "Paul, Justin, …". Wenn man der Sekretärin einen Zettel mit einem Namen zeigt, der auf ihrer Liste stehe, bekommt man einen Tag schulfrei - oder einen 20€ Steam-Gutschein.
Was machst Du?


Grüße

lcer
Bitte warten ..
Mitglied: aqui
11.03.2019 um 15:14 Uhr
Ja, Du hast die Frage falsch gestellt.
Stimmt didaktisch falsch. Sie hätte auch lauten können: "Wenn du mit deinen Kumpels Vadderns WLAN knackst, gibts freien Eintritt inkl. Burger satt im Freizeit Park !"
Bitte warten ..
Mitglied: Dave57
11.03.2019 um 15:49 Uhr
ich weiss nicht, aber einen Radiusserver aufsetzen finde ich als "zu klein" für ein Abschlussprojekt.

Das wurde mir öfters gesagt. Aber der Antrag wurde ohne Probleme genehmigt.

Die Frage ob AD + DHCP teil des Gesprächs ist, klingt so, als hättest du bedenken davor?

Etwas verunsichert, ja. Je nach dem wie sehr darauf Eingegangen wird von den Prüfern, kann das ganz schön vom eigentlich Thema "abdriften"
Bitte warten ..
Mitglied: certifiedit.net
11.03.2019 um 15:55 Uhr
Das ist ein Problem mit dem kleinen Thema, entweder Sie gehen in die Breite (=anderes Thema) oder wesentlich tiefer in die Materie als die lieb sein kann.
(Insbesondere in Hinsicht auf MAC)
Bitte warten ..
Mitglied: Dave57
11.03.2019 um 16:01 Uhr
Hoffentlich fragt da dann keiner der Prüfer nach. Das LAN wie Fort Knox zu sichern aber im WLAN dann trotz vorhandenem Radius Server, der die Option der Sicherheit auch gleich hier bieten würde, nur ein gelbes Schild mit "Betreten verboten" aufzustellen zeugt eher von Naivität und Weltfremdheit denn davon das sich da einer wirklich Gedanken um umfassende Sicherheit gemacht hat. Aber egal...


Ha ha ha. Ja. Da gebe ich euch recht. Lustig ist, das typisch ich, den Part mit der MAC Whitelist genauso im Projektantrag (wurde bereits genehmigt) hinterlegt habe. Mal schauen ob wirklich in der Prüfung darauf eingegangen wird.

Da ihr mich jetzt erfolgreich unsicher gemacht habt :-P, überlege ich mir, da ich jetzt schon einen laufenden NPS-RADIUS Server habe, dies als extra hinzu zunehmen. Ist ja eigentlich nicht mehr wie Access Point an den Switch stecken und den Switch als 2. Client im NPS zu deklarieren oder? Dafür natürlich eine extra NPS Richtlinie noch erstellen. Der Port am Switch, an dem der Access Point angeschlossen ist, muss dementsprechend auf "Force Authorized" in der Switch Konfig hinterlegt werden, richtig? Da der Access Point sich ja nicht mit einem AD Konto authentifizieren kann.

Aber ja, da gibt es natürlich tolle Tutorials zum nachlesen

Danke für die Idee und den Input.
Bitte warten ..
Mitglied: Dave57
11.03.2019, aktualisiert um 16:05 Uhr
//Jeder Schüler schreibt seinen Vornamen auf einen Zettel. Die Sekretärin der Schule hat eine Liste mit folgenden Namen: "Paul, Justin, …". Wenn man der Sekretärin einen Zettel mit einem Namen zeigt, der auf ihrer Liste stehe, bekommt man einen Tag schulfrei - oder einen 20€ Steam-Gutschein.
Was machst Du?

Geil
Bitte warten ..
Mitglied: aqui
11.03.2019, aktualisiert um 17:26 Uhr
das typisch ich, den Part mit der MAC Whitelist genauso im Projektantrag (wurde bereits genehmigt) hinterlegt habe.
Wie peinlich !
Wenns ein pfiffiger Prüfer ist nagelt er dich auf diese gravierende Lücke im Design fest !
Ist ja eigentlich nicht mehr wie Access Point an den Switch stecken und den Switch als 2. Client im NPS zu deklarieren oder?
Bahnhof ?, Ägypten ?
Was willst du uns mit diesen kryptischen Worten sagen ??
Der Port am Switch, an dem der Access Point angeschlossen ist, muss dementsprechend auf "Force Authorized"
Nein ! Natürlich nicht, das ist Quatsch !
Gute APs haben selber einen .1x Client an Bord das sie sich authentisieren können.
Bei billigem China Schrott die das nicht können machst du die .1x Authentisierung mit Mac Passthrough.
Noch besser ist es der AP authentisiert die WLAN Clients mit .1x und schickt sie mit dynmaischen VLANs in die VLANs in die sie sollen.
So würde man sowas heutzutage sicher lösen und nicht mit so einer Frickelei wie bei dir. Eigentlich sollte man das nach 3 Jahren Praxis aber langsam wissen, sorry.
Da der Access Point sich ja nicht mit einem AD Konto authentifizieren kann.
Dein Hardware Horizont ist da wie gesagt wohl etwas begrenzt. Bessere AP, Switches und auch Router haben alle einen .1x Client an Bord.
da gibt es natürlich tolle Tutorials zum nachlesen
Einsicht ist der erste Weg.... !
Bitte warten ..
Mitglied: el-capitano86
11.03.2019 um 18:20 Uhr
Moin,

meine Meinung dazu:

  • ich finde es nicht zu klein. Mir wurde damals gesagt, dass die 35 Stunden sich nahezu gleichmäßig auf die Phasen Planung, Durchführung und Dokumentation verteilen. Sind also 1,5 Tage pro Phase, was soll denn da groß noch kommen?

  • Mein Abschlussprojekt hatte ein ähnliches Thema. Die Prüfer hatten keine konkreten Nachfragen zum Projekt. Sie haben gefragt wie groß der Header bei IPv4 ist, wie LWL funktioniert und wie eine MAC-Adresse aufgebaut ist.

Grüße
Tim
Bitte warten ..
Mitglied: Benandi
11.03.2019 um 19:05 Uhr
Hallo,

ein paar Worte zur Prüfung selbst (bei mir ist das knapp zwei Jahre her):

Es kommt sehr auf die prüfenden Personen sowie Bundesland / IHK an, weshalb ich hier keine allgemeingültige Aussagen treffen kann ;)
Wenn die schon bei der Präsentation merken, dass der Prüfling schwächelt, fassen sie in den Lücken nach. Das Fachgespräch sollte sich somit in erster Linie um die Dinge drehen, die nicht in der Präsentation aufgetaucht sind oder was die beiden Hauptprüfer am Projekt interessiert bzw. wo in der Doku Lücken waren.
So kann man den Gesprächsverlauf ein wenig steuern oder erahnen. Umgekehrt kann man auch bewusst etwas weg lassen, um dann danach gefragt zu werden.

Mein damaliges Projekt hatte lediglich die Authentifizierung gegen AD inkludiert. Ich wurde nach Funktionsweise, Aufbau, Sinn und Zweck des AD gefragt. Da die Präsentation schon vieles erschlagen hatte, kamen nach den projektspezifischen später noch allgemeine Fragen nach VLAN, strukturierter Verkabelung, etc. (normaler Ausbildungsinhalt eben).
Doof gesagt, kann dir halt alles passieren.

Sicherlich hast du im Betrieb auch einen Ansprechpartner, der schon mal mit der IHK zu tun hatte und dir ggf. noch ein, zwei Tipps geben kann.
Halte deine Präsentation vor Kollegen, Ausbildern, Familie (fachfremd) und schau mal, was dann so gefragt wird. Einen möglichen ersten Eindruck, was auf dich zukommen könnte, hast du dann schon mal. Nebenbei übst du so auch die Präsentation an sich.

Da wir Titel und Umfang deines Projektes nicht kennen, stochern wir natürlich auch ein wenig im Dunkeln. Andererseits weiß jeder Prüfer, Prüfling und Ehemaliger, dass diese Story mit den 35 Stunden Räuberpistolen sind. Das jetzt aber aufzuwärmen... naja, nicht zielführend.
Bitte warten ..
Mitglied: aqui
11.03.2019 um 22:53 Uhr
wie LWL funktioniert
Da wäre die Antwort oder die Erwartungshaltung hochinteressant gewesen !
So eine typische unreflektierte Killerfrage...was ist denn LWL ? Fiberchannel, Myrinet, Infiniband oder doch Ethernet oder vielleicht noch ATM....?
Sehr sinnvolle Frage die viel über den Prüfer aussagt...
Bitte warten ..
Mitglied: J-N-S.K-N-R
14.03.2019, aktualisiert um 20:01 Uhr
Hey,

ich habe vor paar Jahren auch meinen Fisi gemacht.

Ich bin mir unsicher, ob die Prüfer*innen damals einfach keine Ahnung von meinem Thema hatten, sich nicht in mein Thema einlesen wollten oder einfach nur mal das "Ar...loch" raushängen wollten.

Jedenfalls kam neben einer kleiner oberflächliche Fragen zu meinem Projekt eine Frage zu meiner Kostenrechnung (die Prüferin war der Meinung, der Verechnungssatz wäre mit 30 Euro pro Stunde viel zu teuer. Keine Ahnung wie die darauf kommt, jedenfalls stimmt der bei meiner Firma damals überein. Sie meinte ein Satz von unter 10 Euro wäre eher passend).

Danach kamen mehrere Fragen zu Themen, die nicht mein Projekt betroffen haben. Sei es eine Aufzählung der verschiedenen Clusterarten mit Erklärung über Fragen über das Projekt meines Mitazubis. Also in Richtung was hat er genau in seinem Projekt gemacht, welche Software hat er eingesetzt, was war Ziel seines Projektes usw. Zum Glück war der Kollege sehr redselig und hat mir immer erzählt, was er so gemacht hat.

Ich hatte die Prüfer danach drauf angesprochen. Die waren dann mega pissig und meinten nur, sie haben die Auswahl über die Fragen und sie können fragen was sie wollten.


Cheers
Jonas
Bitte warten ..
Mitglied: certifiedit.net
14.03.2019 um 20:33 Uhr
Zitat von aqui:

wie LWL funktioniert
Da wäre die Antwort oder die Erwartungshaltung hochinteressant gewesen !
So eine typische unreflektierte Killerfrage...was ist denn LWL ? Fiberchannel, Myrinet, Infiniband oder doch Ethernet oder vielleicht noch ATM....?
Sehr sinnvolle Frage die viel über den Prüfer aussagt...

Kann gut oder schlecht sein. Kennst du das nicht auch aus dem Arbeitsleben von deinen Kunden? Plötzlich mit einer ganz fixen Idee kommen, die man vom Onkel/Bruder des Bruders/Freund des Kneipennachbarn grob missverstanden aufschnappte und die man nun 1 korrekt einordnen und 2. erklären soll Da kann der Prüfer einfach aus dem Leben prüfen. - aber wie du sagst, es kommt auf die Intention an.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
RADIUS (NPS) - Access denied
gelöst Frage von Dave57LAN, WAN, Wireless15 Kommentare

Hallo Forum! Ich bin momentan dabei, an meinem Abschlussprojekt zu arbeiten. Mein Projekt ist das Aufsetzen eines RADIUS Servers ...

LAN, WAN, Wireless

802.1x Authentifizierung - NPS - RADIUS MAC

gelöst Frage von LKaderavekLAN, WAN, Wireless4 Kommentare

Hallo, ich erstelle gerade eine WiFi Lösung mit XIRRUS Access Points, die ich in der Cloud verwalte. Als Authentifizierungsmethode ...

LAN, WAN, Wireless

Radius (NPS) Authentifizierung VLAN auf MAC Basis

Frage von DanLeiLAN, WAN, Wireless2 Kommentare

Hallo, ich möchte gerne Clients die sich mit dem WLan verbinden mit Hilfe des Radius verschiedene VLans zuweisen. Prinzipiell ...

Windows Server

Microsoft NPS Radius Server äußere identität abfragen

Frage von Herbrich19Windows Server6 Kommentare

Hallo, Ich würde gerne eine Richtline erstellen die eine ganz bestimmte äußere identität ohne Login Zugirff auf ein bestimmtes ...

Neue Wissensbeiträge
Microsoft

Support of DANE and DNSSEC in Office 365 Exchange Online

Information von Dani vor 12 StundenMicrosoft

Guten Abend zusammen, Microsoft is committed to providing world-class email security solutions and the support for the latest Internet ...

Off Topic

5G und Corona - schwachsinnige Verschwörungstheroretiker

Information von brammer vor 23 StundenOff Topic6 Kommentare

Hallo, das man Verschwörungstheoretikern nicht mit Logik und stichhaltigen Argumenten beikomme kann ist ja leider ein weit verbreitetes Phänomen. ...

Informationsdienste

Leistungsschutzrecht: Ein neuer Diskussionsentwurf liegt vor

Information von Frank vor 3 TagenInformationsdienste12 Kommentare

Anfang April (leider kein Scherz) hat das Bundesjustizministerium den nächsten ausformulierten Referentenentwurf für ein "erstes Gesetz zur Anpassung des ...

Instant Messaging

Videokonferenz oder Chatsystem für das Homeoffice

Information von Frank vor 3 TagenInstant Messaging6 Kommentare

Ich hatte es bereits in einem Kommentar gepostet, da ich aber viele Nachfragen dazu bekam, hier noch mal meine ...

Heiß diskutierte Inhalte
Schulung & Training
IT-Bedarf ermitteln
Frage von malikaSchulung & Training17 Kommentare

Hallo zusammen, ich würde gerne Eure Kritik oder Ratschläge zum Ermitteln des IT-Bedarfs für ein Steuerbüro (2 Steuerberater, 1 ...

Netzwerke
Frage zu VoIP-VLAN und
Frage von darkness08Netzwerke11 Kommentare

Hallo, in einem anderen Beitrag hatte ich gefragt, wie ich UDP bzw. RTP in ein anderes VLAN Route. Dazu ...

Windows Server
RDS CAL Device CAL vs User CAL
gelöst Frage von ImmenburgWindows Server10 Kommentare

Hallo zusammen, wir wollen einen neuen Windows Terminalserver aufsetzen (lassen) und stellen uns nun die Frage, welche RDS Cals ...

Windows Server
SBS2003 Migrieren auf MS W2K16 DC - ohne SBS nicht lauffähig!
Frage von kaineanungWindows Server9 Kommentare

Hallo Leute, ich habe da mal wieder ein Problem: Ich habe die Aufgabe bekommen von unserem kleinen Tochterunternehmen die ...