Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst RADIUS (NPS) - Fachgespräch Erfahrungen?

Mitglied: Dave57

Dave57 (Level 1) - Jetzt verbinden

11.03.2019 um 10:07 Uhr, 565 Aufrufe, 17 Kommentare

Hallo Forum,

ich befinde mich momentan im 3. Lehrjahr und mein Projekt ist das Aufsetzen eines RADIUS Servers in einer Testumgebung. Da ich den RADIUS Server heute zum Laufen gebracht habe, würde ich gerne ein paar Erfahrungswerte einholen, z.B. was für Fragen denn in einem Fachgespräch dies bzgl. aufkommen könnten.

Was würdet ihr als Prüfer fragen? bzw. was wurde euch als Prüfling gefragt?

Außerdem:

In wie fern haltet es ihr für notwendig, auf alternativen einzugehen? (z.B. FreeRadius oder TACAS) Wie sind dort die Erfahrungswerte? Wird danach gefragt?

Da für das Projekt unter anderem auch ein AD + DHCP aufgesetzt wurde, wird dies automatisch Teil des Fachgesprächs? Obwohl diese "nur" Vorbereitungen sind?

Anbei ein paar Infos:

Es wurde NPS verwendet (nur LAN kein WLAN. WLAN ist bereits durch MAC Whitelist abgesichert). Authentifizierung läuft über AD (Für das Projekt wurde ein Test AD verwendet). Das Projekt beinhaltet die Installation auf einer Testumgebung die folgendermaßen aussieht:

- Windows Server 2016 (DELL Optiplex 780.. ja, lustig, ich weiß. Erfüllt aber seinen Zweck)
- CISCO Switch SG-200-08
- DELL Latitude E5520 (fungiert als LAN-Client, Windows 10 Pro 1709)



Vielen Dank im Voraus!

Gruß
Mitglied: aqui
11.03.2019, aktualisiert um 10:47 Uhr
(z.B. FreeRadius oder TACAS) Wie sind dort die Erfahrungswerte? Wird danach gefragt?
Viel hängt von der Sicherheit der Zertifikate ab !! Die Frage wie die CA aufgesetzt und abgesichert wurde wäre eine entscheidende.
Und ja....
Wenn man schon eine strikte Port Security Policy hat in einem Unternehmen ist das Thema Absicherung der Infrastruktur selber natürlich eins der wichtigsten Themen die da im Schlepptau sind.
TACACS oder auch Radius kann hier also auch ein entscheidender Punkt sein. Fachkundige Prüfer sollten sowas in jedem Falle abfragen. Ebenso das proaktive Auswerten von Syslog und Flow Daten.
Das Thema kann sehr weit und umfassend gestaltet werden. Je nach Schwerpunkt... Pauschal kann also niemand auf sowas antworten. Schon gar nicht in einem Forum wo du auf 2 Fragen mindestens 10 Antworten bekommst (viele mit gefährlichem Halbwissen und sachlich falsch) die dich mehr verwirren als je zuvor.
Traurig hier ist das es mal wieder nur eine reine langeilige Winblows Monokultur ist....und auch etwas Praxis fremd wenn man bedenkt das heute mobile Geräte (BYOD), Home Office usw. eine sehr große Rolle spielen in dem Umfeld....
Aber kannst du sicher weit besser beurteilen als ein Forum...
Bitte warten ..
Mitglied: certifiedit.net
11.03.2019 um 10:43 Uhr
Moin,

ich weiss nicht, aber einen Radiusserver aufsetzen finde ich als "zu klein" für ein Abschlussprojekt. Wenn ich mich Recht an meines 'damals' (TM) erinner hatte ich auch einen aufgesetzt und konfiguriert, das war allerdings ein so kleiner Nebenpart, dass er weder in Doku noch in Fachgespräch besonders betont war.

Die Frage ob AD + DHCP teil des Gesprächs ist, klingt so, als hättest du bedenken davor?

Viele Grüße,

Christian
Bitte warten ..
Mitglied: lcer00
11.03.2019 um 12:27 Uhr
Hallo,
Zitat von Dave57:

Es wurde NPS verwendet (nur LAN kein WLAN. WLAN ist bereits durch MAC Whitelist abgesichert).

der war gut


Kleine Aufgabe zwischendurch:
Was ist nötig, um die MAC Whitlist-filterung wirkungslos zu machen?

Grüße

lcer
Bitte warten ..
Mitglied: aqui
11.03.2019, aktualisiert um 12:32 Uhr
ist bereits durch MAC Whitelist abgesichert
Ha ha ha...in der Tat. Das ist ja bekanntlich sehr sicher !!!
Hoffentlich fragt da dann keiner der Prüfer nach. Das LAN wie Fort Knox zu sichern aber im WLAN dann trotz vorhandenem Radius Server, der die Option der Sicherheit auch gleich hier bieten würde, nur ein gelbes Schild mit "Betreten verboten" aufzustellen zeugt eher von Naivität und Weltfremdheit denn davon das sich da einer wirklich Gedanken um umfassende Sicherheit gemacht hat. Aber egal...
Kleine Aufgabe zwischendurch:
Knackt jeder Grundschüler in max. 5 Sekunden...
Bitte warten ..
Mitglied: Dani
11.03.2019 um 13:15 Uhr
@aqui
Knackt jeder Grundschüler in max. 5 Sekunden...
Ich habe meinen Sohn (wird bald 7 Jahre) vorher beim Mittagessen gefragt: Felix, was ist eine MAC Whitelist? Antwort: Kann man das Essen wie den Big Mac... Hmmm, habe ich als Vater nun versagt?


Gruß,
Dani
Bitte warten ..
Mitglied: lcer00
11.03.2019 um 13:32 Uhr
Zitat von Dani:

@aqui
Knackt jeder Grundschüler in max. 5 Sekunden...
Ich habe meinen Sohn (wird bald 7 Jahre) vorher beim Mittagessen gefragt: Felix, was ist eine MAC Whitelist? Antwort: Kann man das Essen wie den Big Mac... Hmmm, habe ich als Vater nun versagt?
Ja, Du hast die Frage falsch gestellt. Du hättest eine altersgerechte ordentliche Textaufgabe formulieren müssen:

Jeder Schüler schreibt seinen Vornamen auf einen Zettel. Die Sekretärin der Schule hat eine Liste mit folgenden Namen: "Paul, Justin, …". Wenn man der Sekretärin einen Zettel mit einem Namen zeigt, der auf ihrer Liste stehe, bekommt man einen Tag schulfrei - oder einen 20€ Steam-Gutschein.
Was machst Du?


Grüße

lcer
Bitte warten ..
Mitglied: aqui
11.03.2019 um 15:14 Uhr
Ja, Du hast die Frage falsch gestellt.
Stimmt didaktisch falsch. Sie hätte auch lauten können: "Wenn du mit deinen Kumpels Vadderns WLAN knackst, gibts freien Eintritt inkl. Burger satt im Freizeit Park !"
Bitte warten ..
Mitglied: Dave57
11.03.2019 um 15:49 Uhr
ich weiss nicht, aber einen Radiusserver aufsetzen finde ich als "zu klein" für ein Abschlussprojekt.

Das wurde mir öfters gesagt. Aber der Antrag wurde ohne Probleme genehmigt.

Die Frage ob AD + DHCP teil des Gesprächs ist, klingt so, als hättest du bedenken davor?

Etwas verunsichert, ja. Je nach dem wie sehr darauf Eingegangen wird von den Prüfern, kann das ganz schön vom eigentlich Thema "abdriften"
Bitte warten ..
Mitglied: certifiedit.net
11.03.2019 um 15:55 Uhr
Das ist ein Problem mit dem kleinen Thema, entweder Sie gehen in die Breite (=anderes Thema) oder wesentlich tiefer in die Materie als die lieb sein kann.
(Insbesondere in Hinsicht auf MAC)
Bitte warten ..
Mitglied: Dave57
11.03.2019 um 16:01 Uhr
Hoffentlich fragt da dann keiner der Prüfer nach. Das LAN wie Fort Knox zu sichern aber im WLAN dann trotz vorhandenem Radius Server, der die Option der Sicherheit auch gleich hier bieten würde, nur ein gelbes Schild mit "Betreten verboten" aufzustellen zeugt eher von Naivität und Weltfremdheit denn davon das sich da einer wirklich Gedanken um umfassende Sicherheit gemacht hat. Aber egal...


Ha ha ha. Ja. Da gebe ich euch recht. Lustig ist, das typisch ich, den Part mit der MAC Whitelist genauso im Projektantrag (wurde bereits genehmigt) hinterlegt habe. Mal schauen ob wirklich in der Prüfung darauf eingegangen wird.

Da ihr mich jetzt erfolgreich unsicher gemacht habt :-P, überlege ich mir, da ich jetzt schon einen laufenden NPS-RADIUS Server habe, dies als extra hinzu zunehmen. Ist ja eigentlich nicht mehr wie Access Point an den Switch stecken und den Switch als 2. Client im NPS zu deklarieren oder? Dafür natürlich eine extra NPS Richtlinie noch erstellen. Der Port am Switch, an dem der Access Point angeschlossen ist, muss dementsprechend auf "Force Authorized" in der Switch Konfig hinterlegt werden, richtig? Da der Access Point sich ja nicht mit einem AD Konto authentifizieren kann.

Aber ja, da gibt es natürlich tolle Tutorials zum nachlesen

Danke für die Idee und den Input.
Bitte warten ..
Mitglied: Dave57
11.03.2019, aktualisiert um 16:05 Uhr
//Jeder Schüler schreibt seinen Vornamen auf einen Zettel. Die Sekretärin der Schule hat eine Liste mit folgenden Namen: "Paul, Justin, …". Wenn man der Sekretärin einen Zettel mit einem Namen zeigt, der auf ihrer Liste stehe, bekommt man einen Tag schulfrei - oder einen 20€ Steam-Gutschein.
Was machst Du?

Geil
Bitte warten ..
Mitglied: aqui
11.03.2019, aktualisiert um 17:26 Uhr
das typisch ich, den Part mit der MAC Whitelist genauso im Projektantrag (wurde bereits genehmigt) hinterlegt habe.
Wie peinlich !
Wenns ein pfiffiger Prüfer ist nagelt er dich auf diese gravierende Lücke im Design fest !
Ist ja eigentlich nicht mehr wie Access Point an den Switch stecken und den Switch als 2. Client im NPS zu deklarieren oder?
Bahnhof ?, Ägypten ?
Was willst du uns mit diesen kryptischen Worten sagen ??
Der Port am Switch, an dem der Access Point angeschlossen ist, muss dementsprechend auf "Force Authorized"
Nein ! Natürlich nicht, das ist Quatsch !
Gute APs haben selber einen .1x Client an Bord das sie sich authentisieren können.
Bei billigem China Schrott die das nicht können machst du die .1x Authentisierung mit Mac Passthrough.
Noch besser ist es der AP authentisiert die WLAN Clients mit .1x und schickt sie mit dynmaischen VLANs in die VLANs in die sie sollen.
So würde man sowas heutzutage sicher lösen und nicht mit so einer Frickelei wie bei dir. Eigentlich sollte man das nach 3 Jahren Praxis aber langsam wissen, sorry.
Da der Access Point sich ja nicht mit einem AD Konto authentifizieren kann.
Dein Hardware Horizont ist da wie gesagt wohl etwas begrenzt. Bessere AP, Switches und auch Router haben alle einen .1x Client an Bord.
da gibt es natürlich tolle Tutorials zum nachlesen
Einsicht ist der erste Weg.... !
Bitte warten ..
Mitglied: el-capitano86
11.03.2019 um 18:20 Uhr
Moin,

meine Meinung dazu:

  • ich finde es nicht zu klein. Mir wurde damals gesagt, dass die 35 Stunden sich nahezu gleichmäßig auf die Phasen Planung, Durchführung und Dokumentation verteilen. Sind also 1,5 Tage pro Phase, was soll denn da groß noch kommen?

  • Mein Abschlussprojekt hatte ein ähnliches Thema. Die Prüfer hatten keine konkreten Nachfragen zum Projekt. Sie haben gefragt wie groß der Header bei IPv4 ist, wie LWL funktioniert und wie eine MAC-Adresse aufgebaut ist.

Grüße
Tim
Bitte warten ..
Mitglied: Benandi
11.03.2019 um 19:05 Uhr
Hallo,

ein paar Worte zur Prüfung selbst (bei mir ist das knapp zwei Jahre her):

Es kommt sehr auf die prüfenden Personen sowie Bundesland / IHK an, weshalb ich hier keine allgemeingültige Aussagen treffen kann ;)
Wenn die schon bei der Präsentation merken, dass der Prüfling schwächelt, fassen sie in den Lücken nach. Das Fachgespräch sollte sich somit in erster Linie um die Dinge drehen, die nicht in der Präsentation aufgetaucht sind oder was die beiden Hauptprüfer am Projekt interessiert bzw. wo in der Doku Lücken waren.
So kann man den Gesprächsverlauf ein wenig steuern oder erahnen. Umgekehrt kann man auch bewusst etwas weg lassen, um dann danach gefragt zu werden.

Mein damaliges Projekt hatte lediglich die Authentifizierung gegen AD inkludiert. Ich wurde nach Funktionsweise, Aufbau, Sinn und Zweck des AD gefragt. Da die Präsentation schon vieles erschlagen hatte, kamen nach den projektspezifischen später noch allgemeine Fragen nach VLAN, strukturierter Verkabelung, etc. (normaler Ausbildungsinhalt eben).
Doof gesagt, kann dir halt alles passieren.

Sicherlich hast du im Betrieb auch einen Ansprechpartner, der schon mal mit der IHK zu tun hatte und dir ggf. noch ein, zwei Tipps geben kann.
Halte deine Präsentation vor Kollegen, Ausbildern, Familie (fachfremd) und schau mal, was dann so gefragt wird. Einen möglichen ersten Eindruck, was auf dich zukommen könnte, hast du dann schon mal. Nebenbei übst du so auch die Präsentation an sich.

Da wir Titel und Umfang deines Projektes nicht kennen, stochern wir natürlich auch ein wenig im Dunkeln. Andererseits weiß jeder Prüfer, Prüfling und Ehemaliger, dass diese Story mit den 35 Stunden Räuberpistolen sind. Das jetzt aber aufzuwärmen... naja, nicht zielführend.
Bitte warten ..
Mitglied: aqui
11.03.2019 um 22:53 Uhr
wie LWL funktioniert
Da wäre die Antwort oder die Erwartungshaltung hochinteressant gewesen !
So eine typische unreflektierte Killerfrage...was ist denn LWL ? Fiberchannel, Myrinet, Infiniband oder doch Ethernet oder vielleicht noch ATM....?
Sehr sinnvolle Frage die viel über den Prüfer aussagt...
Bitte warten ..
Mitglied: J-N-S.K-N-R
14.03.2019, aktualisiert um 20:01 Uhr
Hey,

ich habe vor paar Jahren auch meinen Fisi gemacht.

Ich bin mir unsicher, ob die Prüfer*innen damals einfach keine Ahnung von meinem Thema hatten, sich nicht in mein Thema einlesen wollten oder einfach nur mal das "Ar...loch" raushängen wollten.

Jedenfalls kam neben einer kleiner oberflächliche Fragen zu meinem Projekt eine Frage zu meiner Kostenrechnung (die Prüferin war der Meinung, der Verechnungssatz wäre mit 30 Euro pro Stunde viel zu teuer. Keine Ahnung wie die darauf kommt, jedenfalls stimmt der bei meiner Firma damals überein. Sie meinte ein Satz von unter 10 Euro wäre eher passend).

Danach kamen mehrere Fragen zu Themen, die nicht mein Projekt betroffen haben. Sei es eine Aufzählung der verschiedenen Clusterarten mit Erklärung über Fragen über das Projekt meines Mitazubis. Also in Richtung was hat er genau in seinem Projekt gemacht, welche Software hat er eingesetzt, was war Ziel seines Projektes usw. Zum Glück war der Kollege sehr redselig und hat mir immer erzählt, was er so gemacht hat.

Ich hatte die Prüfer danach drauf angesprochen. Die waren dann mega pissig und meinten nur, sie haben die Auswahl über die Fragen und sie können fragen was sie wollten.


Cheers
Jonas
Bitte warten ..
Mitglied: certifiedit.net
14.03.2019 um 20:33 Uhr
Zitat von aqui:

wie LWL funktioniert
Da wäre die Antwort oder die Erwartungshaltung hochinteressant gewesen !
So eine typische unreflektierte Killerfrage...was ist denn LWL ? Fiberchannel, Myrinet, Infiniband oder doch Ethernet oder vielleicht noch ATM....?
Sehr sinnvolle Frage die viel über den Prüfer aussagt...

Kann gut oder schlecht sein. Kennst du das nicht auch aus dem Arbeitsleben von deinen Kunden? Plötzlich mit einer ganz fixen Idee kommen, die man vom Onkel/Bruder des Bruders/Freund des Kneipennachbarn grob missverstanden aufschnappte und die man nun 1 korrekt einordnen und 2. erklären soll Da kann der Prüfer einfach aus dem Leben prüfen. - aber wie du sagst, es kommt auf die Intention an.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
RADIUS (NPS) - Access denied
gelöst Frage von Dave57LAN, WAN, Wireless15 Kommentare

Hallo Forum! Ich bin momentan dabei, an meinem Abschlussprojekt zu arbeiten. Mein Projekt ist das Aufsetzen eines RADIUS Servers ...

LAN, WAN, Wireless

802.1x Authentifizierung - NPS - RADIUS MAC

gelöst Frage von LKaderavekLAN, WAN, Wireless4 Kommentare

Hallo, ich erstelle gerade eine WiFi Lösung mit XIRRUS Access Points, die ich in der Cloud verwalte. Als Authentifizierungsmethode ...

Windows Server

Microsoft NPS zum RADIUS konfigurieren

Frage von denkisWindows Server3 Kommentare

Hallo, ich bin dazu verdonnert worden ein sicheres WLAN in unserer Infrastruktur zu etablieren. Und wie es eben ist ...

LAN, WAN, Wireless

Radius (NPS) Authentifizierung VLAN auf MAC Basis

Frage von DanLeiLAN, WAN, Wireless2 Kommentare

Hallo, ich möchte gerne Clients die sich mit dem WLan verbinden mit Hilfe des Radius verschiedene VLans zuweisen. Prinzipiell ...

Neue Wissensbeiträge
Datenschutz

SiSyPHuS Win10: Analyse der Telemetriekomponenten in Windows 10

Tipp von freesolo vor 6 StundenDatenschutz1 Kommentar

Alle die sich detailliert für die Datensammlung interessieren die unter Windows 10 stattfindet, sollten sich folgende Analyse des BSI ...

Sicherheit
Adminrechte dank Intel-Grafikkarte
Information von DerWoWusste vor 9 StundenSicherheit1 Kommentar

ist das Advisory, welches beschreibt, welche Intel HD Graphics Modelle Sicherheitslücken haben, mit denen sich schwache Nutzer zu Admins ...

Internet

EU Urheberrechtsreform: Eingriff in die Internetkultur

Information von Frank vor 1 TagInternet1 Kommentar

Liebe Besucherin, lieber Besucher, warum erscheint das obere Banner in allen Beiträgen? Aus Protest gegen Teile der geplanten EU-Urheberrechtsreform ...

Windows Server
Windows Backup - FilterManager Event 3
Tipp von NixVerstehen vor 2 TagenWindows Server

Hallo zusammen, ich bin kein gelernter ITler und auch beruflich nicht in dem Feld tätig. Wir setzen in unserem ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Glasfaserkabel verlegen und Anschlüsse setzen
Frage von LLL0rdLAN, WAN, Wireless21 Kommentare

Hallo Leute, ich muss demnächst ein Netzwerkkabel auf einer Länge von ca. 70 Metern verlegen. Das Netzwerkkabel soll dabei ...

Windows Server
Mac Rechner im Windows Netzwerk - was jetzt?
Frage von Kopfg3ldWindows Server16 Kommentare

Hallo zusammen, ich habe folgende Herausforderungen. Aber erst mal was kurz zum Netzwerk - Windows Server (ältester ist ein ...

Microsoft Office
Sharepoint 2016 mag keine Umlaute in .docx-Titeln
gelöst Frage von DerWoWussteMicrosoft Office13 Kommentare

Moin Kollegen. Nutzt hier jemand Sharepoint? Könnt Ihr, unabhängig von der Sharepointversion, bitte einen Test machen? Ladet ein .docx ...

Basic
VBS soll alle Ordner auswählen, die im Startmenu angezeigt werden
Frage von Senseless-CreatureBasic12 Kommentare

Guten Morgen - gibt es eine Möglichkeit, per VBS das Startmenu in Win10 zu modifizieren? Ich beherrsche VBS mittlerweile ...