djfflow
Goto Top

WLAN 2 Faktor Authentifizierung

Hallo,

wir sind gerade dabei ein dienstliches WLAN aufzubauen.
Es soll so sein, dass einerseits ein Computerzertifikat vorhanden sein soll und man dann noch zusätzlich sich mit einem AD-User anmelden muss.
Die Authentifizierung mit Computerzertifikat klappt auch soweit aber ich habe keine Ahnung wie man zusätzlich noch einen AD-User abfragen kann.
Ich finde auch keine Infos zu diesem Problem.

MfG

Content-ID: 6393176853

Url: https://administrator.de/forum/wlan-2-faktor-authentifizierung-6393176853.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

Vision2015
Vision2015 16.03.2023 um 16:11:59 Uhr
Goto Top
Moin...
wir sind gerade dabei ein dienstliches WLAN aufzubauen.
klingt so nach Amt!
Ich finde auch keine Infos zu diesem Problem.
he he... wir bekommen ja auch keine Infos zu verwendeten Hardware / Controler etc.. oder ist das VS?

Frank
6247018886
6247018886 16.03.2023 aktualisiert um 16:21:26 Uhr
Goto Top
Moin.
Also WPA Enterprise ist entweder/oder also Userzertifikat oder Computerzertifikat, nicht beides gleichzeitig. Du könnest die WIFI-Auth selbst per Computer-Zertifikat absichern und dann zusätzlich noch einen Proxy für Zugriff auf weitere Dienste vorschalten bei dem man sich mit seinen User-Credentials gegen das AD Authentifizieren muss.
Oder halt ne Smartcard mit User-Zertifikat und PIN das ist auch 2FA.
Wieso das ganze? Wenn die private Keys der Certs als "nicht exportierbar" import worden sind (was der Default ist wenn man Certs per MS-CA verteilt) kann die auch niemand entwenden um sie auf anderen Geräten zu nutzen falls das dein Gedanke dahinter ist.

Cheers briggs
djfflow
djfflow 16.03.2023 um 16:25:58 Uhr
Goto Top
Moin,

Zitat von @Vision2015:

Moin...
wir sind gerade dabei ein dienstliches WLAN aufzubauen.
klingt so nach Amt!

ja genau ein Amt.
Hintergrund ist das ja ein Notebook entwendet werden könnte und der Dieb sich ja dann mit dem Notebook auf den Parkplatz stellt und dann ja schon direkt im Netz ist (WLAN Verbindung wird schon vor AD-Anmeldung erfolgreich hergestellt). Dann kann der Dieb ja alle möglichen Passwörter ausprobieren...

WLAN Hardware (APs und Controller) ist Huawei (ja ich weiß da lesen die Chinesen sowie mit) aber wie schon oben geschrieben ein Amt da gewinnt der günstigste face-wink

MfG
SeaStorm
SeaStorm 16.03.2023 um 17:51:26 Uhr
Goto Top
wenn entwendet wird das ja hoffentlich gemeldet. Dann sperrt man das Computer Zertifikat in der CA (und löscht im NPS den Cache) und das war's mit dem Zugang.

Ansonsten kann man natürlich immernoch jederzeit ein Captive Portal in das Wifi stellen, so wie bei einem Gast Wifi.
Dann muss der PC ein Cert haben und der User darf sich noch mal zusätzlich authentifizieren. Je nach Lösung kann man da auch OAuth\SAML machen
Dani
Dani 16.03.2023 um 20:43:40 Uhr
Goto Top
Moin,
wenn entwendet wird das ja hoffentlich gemeldet. Dann sperrt man das Computer Zertifikat in der CA (und löscht im NPS den Cache) und das war's mit dem Zugang.
setzt voraus, dass entweder ein OSCP oder dir CRL erzeugt wird, veröffentlicht wird und auch erreichbar ist. Möchtest du wetten, ob dem so (nicht) ist?!

Hintergrund ist das ja ein Notebook entwendet werden könnte und der Dieb sich ja dann mit dem Notebook auf den Parkplatz stellt und dann ja schon direkt im Netz ist (WLAN Verbindung wird schon vor AD-Anmeldung erfolgreich hergestellt). Dann kann der Dieb ja alle möglichen Passwörter ausprobieren...
Der Angreifer benötigt ja noch gültige Anmeldedaten am Active Directory oder ist auf dem Notebook Autologon aktiviert? Wenn dem so ist, kann man dem Kunde nicht mehr helfen. Wenn dem nicht so ist, werden doch sicherlich Konten nach x Anmeldeversuche gesperrt oder sogar deaktiviert.


Gruß,
Dani