dave57
Goto Top

RADIUS (NPS) - Fachgespräch Erfahrungen?

Hallo Forum,

ich befinde mich momentan im 3. Lehrjahr und mein Projekt ist das Aufsetzen eines RADIUS Servers in einer Testumgebung. Da ich den RADIUS Server heute zum Laufen gebracht habe, würde ich gerne ein paar Erfahrungswerte einholen, z.B. was für Fragen denn in einem Fachgespräch dies bzgl. aufkommen könnten.

Was würdet ihr als Prüfer fragen? bzw. was wurde euch als Prüfling gefragt?

Außerdem:

In wie fern haltet es ihr für notwendig, auf alternativen einzugehen? (z.B. FreeRadius oder TACAS) Wie sind dort die Erfahrungswerte? Wird danach gefragt?

Da für das Projekt unter anderem auch ein AD + DHCP aufgesetzt wurde, wird dies automatisch Teil des Fachgesprächs? Obwohl diese "nur" Vorbereitungen sind?

Anbei ein paar Infos:

Es wurde NPS verwendet (nur LAN kein WLAN. WLAN ist bereits durch MAC Whitelist abgesichert). Authentifizierung läuft über AD (Für das Projekt wurde ein Test AD verwendet). Das Projekt beinhaltet die Installation auf einer Testumgebung die folgendermaßen aussieht:

- Windows Server 2016 (DELL Optiplex 780.. ja, lustig, ich weiß. Erfüllt aber seinen Zweck)
- CISCO Switch SG-200-08
- DELL Latitude E5520 (fungiert als LAN-Client, Windows 10 Pro 1709)


Vielen Dank im Voraus!

Gruß

Content-ID: 427341

Url: https://administrator.de/contentid/427341

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

aqui
aqui 11.03.2019 aktualisiert um 10:47:02 Uhr
Goto Top
(z.B. FreeRadius oder TACAS) Wie sind dort die Erfahrungswerte? Wird danach gefragt?
Viel hängt von der Sicherheit der Zertifikate ab !! Die Frage wie die CA aufgesetzt und abgesichert wurde wäre eine entscheidende.
Und ja....
Wenn man schon eine strikte Port Security Policy hat in einem Unternehmen ist das Thema Absicherung der Infrastruktur selber natürlich eins der wichtigsten Themen die da im Schlepptau sind.
TACACS oder auch Radius kann hier also auch ein entscheidender Punkt sein. Fachkundige Prüfer sollten sowas in jedem Falle abfragen. Ebenso das proaktive Auswerten von Syslog und Flow Daten.
Das Thema kann sehr weit und umfassend gestaltet werden. Je nach Schwerpunkt... Pauschal kann also niemand auf sowas antworten. Schon gar nicht in einem Forum wo du auf 2 Fragen mindestens 10 Antworten bekommst (viele mit gefährlichem Halbwissen und sachlich falsch) die dich mehr verwirren als je zuvor.
Traurig hier ist das es mal wieder nur eine reine langeilige Winblows Monokultur ist....und auch etwas Praxis fremd wenn man bedenkt das heute mobile Geräte (BYOD), Home Office usw. eine sehr große Rolle spielen in dem Umfeld....
Aber kannst du sicher weit besser beurteilen als ein Forum...
certifiedit.net
certifiedit.net 11.03.2019 um 10:43:57 Uhr
Goto Top
Moin,

ich weiss nicht, aber einen Radiusserver aufsetzen finde ich als "zu klein" für ein Abschlussprojekt. Wenn ich mich Recht an meines 'damals' (TM) erinner hatte ich auch einen aufgesetzt und konfiguriert, das war allerdings ein so kleiner Nebenpart, dass er weder in Doku noch in Fachgespräch besonders betont war.

Die Frage ob AD + DHCP teil des Gesprächs ist, klingt so, als hättest du bedenken davor?

Viele Grüße,

Christian
lcer00
lcer00 11.03.2019 um 12:27:07 Uhr
Goto Top
Hallo,
Zitat von @Dave57:

Es wurde NPS verwendet (nur LAN kein WLAN. WLAN ist bereits durch MAC Whitelist abgesichert).

der war gut face-smile


Kleine Aufgabe zwischendurch:
Was ist nötig, um die MAC Whitlist-filterung wirkungslos zu machen?

Grüße

lcer
aqui
aqui 11.03.2019 aktualisiert um 12:32:20 Uhr
Goto Top
ist bereits durch MAC Whitelist abgesichert
Ha ha ha...in der Tat. Das ist ja bekanntlich sehr sicher !!! face-smile
Hoffentlich fragt da dann keiner der Prüfer nach. Das LAN wie Fort Knox zu sichern aber im WLAN dann trotz vorhandenem Radius Server, der die Option der Sicherheit auch gleich hier bieten würde, nur ein gelbes Schild mit "Betreten verboten" aufzustellen zeugt eher von Naivität und Weltfremdheit denn davon das sich da einer wirklich Gedanken um umfassende Sicherheit gemacht hat. Aber egal...
Kleine Aufgabe zwischendurch:
Knackt jeder Grundschüler in max. 5 Sekunden...
Dani
Dani 11.03.2019 um 13:15:57 Uhr
Goto Top
@aqui
Knackt jeder Grundschüler in max. 5 Sekunden...
Ich habe meinen Sohn (wird bald 7 Jahre) vorher beim Mittagessen gefragt: Felix, was ist eine MAC Whitelist? Antwort: Kann man das Essen wie den Big Mac... Hmmm, habe ich als Vater nun versagt? face-sad


Gruß,
Dani
lcer00
lcer00 11.03.2019 um 13:32:24 Uhr
Goto Top
Zitat von @Dani:

@aqui
Knackt jeder Grundschüler in max. 5 Sekunden...
Ich habe meinen Sohn (wird bald 7 Jahre) vorher beim Mittagessen gefragt: Felix, was ist eine MAC Whitelist? Antwort: Kann man das Essen wie den Big Mac... Hmmm, habe ich als Vater nun versagt? face-sad
Ja, Du hast die Frage falsch gestellt. Du hättest eine altersgerechte ordentliche Textaufgabe formulieren müssen:

Jeder Schüler schreibt seinen Vornamen auf einen Zettel. Die Sekretärin der Schule hat eine Liste mit folgenden Namen: "Paul, Justin, …". Wenn man der Sekretärin einen Zettel mit einem Namen zeigt, der auf ihrer Liste stehe, bekommt man einen Tag schulfrei - oder einen 20€ Steam-Gutschein.
Was machst Du?


Grüße

lcer
aqui
aqui 11.03.2019 um 15:14:50 Uhr
Goto Top
Ja, Du hast die Frage falsch gestellt.
Stimmt didaktisch falsch. Sie hätte auch lauten können: "Wenn du mit deinen Kumpels Vadderns WLAN knackst, gibts freien Eintritt inkl. Burger satt im Freizeit Park !" face-monkey
Dave57
Dave57 11.03.2019 um 15:49:51 Uhr
Goto Top
ich weiss nicht, aber einen Radiusserver aufsetzen finde ich als "zu klein" für ein Abschlussprojekt.

Das wurde mir öfters gesagt. Aber der Antrag wurde ohne Probleme genehmigt.

Die Frage ob AD + DHCP teil des Gesprächs ist, klingt so, als hättest du bedenken davor?

Etwas verunsichert, ja. Je nach dem wie sehr darauf Eingegangen wird von den Prüfern, kann das ganz schön vom eigentlich Thema "abdriften"
certifiedit.net
certifiedit.net 11.03.2019 um 15:55:28 Uhr
Goto Top
Das ist ein Problem mit dem kleinen Thema, entweder Sie gehen in die Breite (=anderes Thema) oder wesentlich tiefer in die Materie als die lieb sein kann.
(Insbesondere in Hinsicht auf MAC)
Dave57
Dave57 11.03.2019 um 16:01:56 Uhr
Goto Top
Hoffentlich fragt da dann keiner der Prüfer nach. Das LAN wie Fort Knox zu sichern aber im WLAN dann trotz vorhandenem Radius Server, der die Option der Sicherheit auch gleich hier bieten würde, nur ein gelbes Schild mit "Betreten verboten" aufzustellen zeugt eher von Naivität und Weltfremdheit denn davon das sich da einer wirklich Gedanken um umfassende Sicherheit gemacht hat. Aber egal...


Ha ha ha. Ja. Da gebe ich euch recht. Lustig ist, das typisch ich, den Part mit der MAC Whitelist genauso im Projektantrag (wurde bereits genehmigt) hinterlegt habe. Mal schauen ob wirklich in der Prüfung darauf eingegangen wird.

Da ihr mich jetzt erfolgreich unsicher gemacht habt :-P, überlege ich mir, da ich jetzt schon einen laufenden NPS-RADIUS Server habe, dies als extra hinzu zunehmen. Ist ja eigentlich nicht mehr wie Access Point an den Switch stecken und den Switch als 2. Client im NPS zu deklarieren oder? Dafür natürlich eine extra NPS Richtlinie noch erstellen. Der Port am Switch, an dem der Access Point angeschlossen ist, muss dementsprechend auf "Force Authorized" in der Switch Konfig hinterlegt werden, richtig? Da der Access Point sich ja nicht mit einem AD Konto authentifizieren kann.

Aber ja, da gibt es natürlich tolle Tutorials zum nachlesen face-smile

Danke für die Idee und den Input.
Dave57
Dave57 11.03.2019 aktualisiert um 16:05:31 Uhr
Goto Top
//Jeder Schüler schreibt seinen Vornamen auf einen Zettel. Die Sekretärin der Schule hat eine Liste mit folgenden Namen: "Paul, Justin, …". Wenn man der Sekretärin einen Zettel mit einem Namen zeigt, der auf ihrer Liste stehe, bekommt man einen Tag schulfrei - oder einen 20€ Steam-Gutschein.
Was machst Du?

Geil face-big-smile
aqui
aqui 11.03.2019 aktualisiert um 17:26:31 Uhr
Goto Top
das typisch ich, den Part mit der MAC Whitelist genauso im Projektantrag (wurde bereits genehmigt) hinterlegt habe.
Wie peinlich !
Wenns ein pfiffiger Prüfer ist nagelt er dich auf diese gravierende Lücke im Design fest !
Ist ja eigentlich nicht mehr wie Access Point an den Switch stecken und den Switch als 2. Client im NPS zu deklarieren oder?
Bahnhof ?, Ägypten ?
Was willst du uns mit diesen kryptischen Worten sagen ??
Der Port am Switch, an dem der Access Point angeschlossen ist, muss dementsprechend auf "Force Authorized"
Nein ! Natürlich nicht, das ist Quatsch !
Gute APs haben selber einen .1x Client an Bord das sie sich authentisieren können.
Bei billigem China Schrott die das nicht können machst du die .1x Authentisierung mit Mac Passthrough.
Noch besser ist es der AP authentisiert die WLAN Clients mit .1x und schickt sie mit dynmaischen VLANs in die VLANs in die sie sollen.
So würde man sowas heutzutage sicher lösen und nicht mit so einer Frickelei wie bei dir. Eigentlich sollte man das nach 3 Jahren Praxis aber langsam wissen, sorry.
Da der Access Point sich ja nicht mit einem AD Konto authentifizieren kann.
Dein Hardware Horizont ist da wie gesagt wohl etwas begrenzt. Bessere AP, Switches und auch Router haben alle einen .1x Client an Bord.
da gibt es natürlich tolle Tutorials zum nachlesen
Einsicht ist der erste Weg.... ! face-wink
el-capitano86
el-capitano86 11.03.2019 um 18:20:21 Uhr
Goto Top
Moin,

meine Meinung dazu:

  • ich finde es nicht zu klein. Mir wurde damals gesagt, dass die 35 Stunden sich nahezu gleichmäßig auf die Phasen Planung, Durchführung und Dokumentation verteilen. Sind also 1,5 Tage pro Phase, was soll denn da groß noch kommen?

  • Mein Abschlussprojekt hatte ein ähnliches Thema. Die Prüfer hatten keine konkreten Nachfragen zum Projekt. Sie haben gefragt wie groß der Header bei IPv4 ist, wie LWL funktioniert und wie eine MAC-Adresse aufgebaut ist.

Grüße
Tim
Benandi
Benandi 11.03.2019 um 19:05:15 Uhr
Goto Top
Hallo,

ein paar Worte zur Prüfung selbst (bei mir ist das knapp zwei Jahre her):

Es kommt sehr auf die prüfenden Personen sowie Bundesland / IHK an, weshalb ich hier keine allgemeingültige Aussagen treffen kann ;)
Wenn die schon bei der Präsentation merken, dass der Prüfling schwächelt, fassen sie in den Lücken nach. Das Fachgespräch sollte sich somit in erster Linie um die Dinge drehen, die nicht in der Präsentation aufgetaucht sind oder was die beiden Hauptprüfer am Projekt interessiert bzw. wo in der Doku Lücken waren.
So kann man den Gesprächsverlauf ein wenig steuern oder erahnen. Umgekehrt kann man auch bewusst etwas weg lassen, um dann danach gefragt zu werden.

Mein damaliges Projekt hatte lediglich die Authentifizierung gegen AD inkludiert. Ich wurde nach Funktionsweise, Aufbau, Sinn und Zweck des AD gefragt. Da die Präsentation schon vieles erschlagen hatte, kamen nach den projektspezifischen später noch allgemeine Fragen nach VLAN, strukturierter Verkabelung, etc. (normaler Ausbildungsinhalt eben).
Doof gesagt, kann dir halt alles passieren.

Sicherlich hast du im Betrieb auch einen Ansprechpartner, der schon mal mit der IHK zu tun hatte und dir ggf. noch ein, zwei Tipps geben kann.
Halte deine Präsentation vor Kollegen, Ausbildern, Familie (fachfremd) und schau mal, was dann so gefragt wird. Einen möglichen ersten Eindruck, was auf dich zukommen könnte, hast du dann schon mal. Nebenbei übst du so auch die Präsentation an sich.

Da wir Titel und Umfang deines Projektes nicht kennen, stochern wir natürlich auch ein wenig im Dunkeln. Andererseits weiß jeder Prüfer, Prüfling und Ehemaliger, dass diese Story mit den 35 Stunden Räuberpistolen sind. Das jetzt aber aufzuwärmen... naja, nicht zielführend.
aqui
aqui 11.03.2019 um 22:53:31 Uhr
Goto Top
wie LWL funktioniert
Da wäre die Antwort oder die Erwartungshaltung hochinteressant gewesen !
So eine typische unreflektierte Killerfrage...was ist denn LWL ? Fiberchannel, Myrinet, Infiniband oder doch Ethernet oder vielleicht noch ATM....?
Sehr sinnvolle Frage die viel über den Prüfer aussagt...
J-N-S.K-N-R
J-N-S.K-N-R 14.03.2019 aktualisiert um 20:01:53 Uhr
Goto Top
Hey,

ich habe vor paar Jahren auch meinen Fisi gemacht.

Ich bin mir unsicher, ob die Prüfer*innen damals einfach keine Ahnung von meinem Thema hatten, sich nicht in mein Thema einlesen wollten oder einfach nur mal das "Ar...loch" raushängen wollten.

Jedenfalls kam neben einer kleiner oberflächliche Fragen zu meinem Projekt eine Frage zu meiner Kostenrechnung (die Prüferin war der Meinung, der Verechnungssatz wäre mit 30 Euro pro Stunde viel zu teuer. Keine Ahnung wie die darauf kommt, jedenfalls stimmt der bei meiner Firma damals überein. Sie meinte ein Satz von unter 10 Euro wäre eher passend).

Danach kamen mehrere Fragen zu Themen, die nicht mein Projekt betroffen haben. Sei es eine Aufzählung der verschiedenen Clusterarten mit Erklärung über Fragen über das Projekt meines Mitazubis. Also in Richtung was hat er genau in seinem Projekt gemacht, welche Software hat er eingesetzt, was war Ziel seines Projektes usw. Zum Glück war der Kollege sehr redselig und hat mir immer erzählt, was er so gemacht hat.

Ich hatte die Prüfer danach drauf angesprochen. Die waren dann mega pissig und meinten nur, sie haben die Auswahl über die Fragen und sie können fragen was sie wollten.


Cheers
Jonas
certifiedit.net
certifiedit.net 14.03.2019 um 20:33:48 Uhr
Goto Top
Zitat von @aqui:

wie LWL funktioniert
Da wäre die Antwort oder die Erwartungshaltung hochinteressant gewesen !
So eine typische unreflektierte Killerfrage...was ist denn LWL ? Fiberchannel, Myrinet, Infiniband oder doch Ethernet oder vielleicht noch ATM....?
Sehr sinnvolle Frage die viel über den Prüfer aussagt...

Kann gut oder schlecht sein. Kennst du das nicht auch aus dem Arbeitsleben von deinen Kunden? face-wink Plötzlich mit einer ganz fixen Idee kommen, die man vom Onkel/Bruder des Bruders/Freund des Kneipennachbarn grob missverstanden aufschnappte und die man nun 1 korrekt einordnen und 2. erklären soll Da kann der Prüfer einfach aus dem Leben prüfen. - aber wie du sagst, es kommt auf die Intention an.