18
Notebooks in Firmenwlan authentifizieren
Guten Tag,
unsere Firma möchte gerne flächendeckend WLAN einführen und hat zu diesem Zweck einen Dienstleister beauftragt.
Wir benötigen ein WLAN-Netz für Externe als auch für unsere Notebooks (Windows 10 Pro Clients). Das Konzept für das Gastnetz geht für uns in Ordnung. (Separates Netz mit Userauthentifzierung)
Den Vorschlag für das Firmennetz können wir nicht so ganz nachvollziehen, deswegen möchte ich hier nachfragen.
Es wurden uns folgende Geräte vorgeschlagen:
LANCOM WLC-4006+ als WLAN-Controller
LANCOM LN-1700 als Access-Point
Für die Authentifizierung wurde die Installation eines Radius-Servers empfohlen. Damit könnten sich unsere User mit Ihren AD-Zugangsdaten einloggen.
Meine Rückfrage ob man sich dann mit jedem Endgerät anmelden kann, wurde bejaht. Das möchten wir natürlich nicht.
Der Lösungsvorschlag unseres Systemhauses daraufhin lautet mit einem MAC-Adressen-Filter zu arbeiten. Aber das kann doch nicht die Lösung sein, oder ?
Wir möchten ungern händisch über 50 MAC-Adressen erfassen, das muss doch irgendwie eleganter funktionieren.
Wie würdet Ihr diese Anforderung realisieren?
unsere Firma möchte gerne flächendeckend WLAN einführen und hat zu diesem Zweck einen Dienstleister beauftragt.
Wir benötigen ein WLAN-Netz für Externe als auch für unsere Notebooks (Windows 10 Pro Clients). Das Konzept für das Gastnetz geht für uns in Ordnung. (Separates Netz mit Userauthentifzierung)
Den Vorschlag für das Firmennetz können wir nicht so ganz nachvollziehen, deswegen möchte ich hier nachfragen.
Es wurden uns folgende Geräte vorgeschlagen:
LANCOM WLC-4006+ als WLAN-Controller
LANCOM LN-1700 als Access-Point
Für die Authentifizierung wurde die Installation eines Radius-Servers empfohlen. Damit könnten sich unsere User mit Ihren AD-Zugangsdaten einloggen.
Meine Rückfrage ob man sich dann mit jedem Endgerät anmelden kann, wurde bejaht. Das möchten wir natürlich nicht.
Der Lösungsvorschlag unseres Systemhauses daraufhin lautet mit einem MAC-Adressen-Filter zu arbeiten. Aber das kann doch nicht die Lösung sein, oder ?
Wir möchten ungern händisch über 50 MAC-Adressen erfassen, das muss doch irgendwie eleganter funktionieren.
Wie würdet Ihr diese Anforderung realisieren?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 443534
Url: https://administrator.de/contentid/443534
Printed on: April 18, 2024 at 13:04 o'clock
18 Comments
Latest comment
Der Lösungsvorschlag unseres Systemhauses daraufhin lautet mit einem MAC-Adressen-Filter zu arbeiten. Aber das kann doch nicht die Lösung sein, oder ?
Nee, absolut nicht, das is von Anno dazumal. Mach es per Radius und zertifikatsbasiertem Login auf Basis von Computerzertifikaten.So eine Aussage von einem Systemhaus? Da würde ich bedenklich ins Grübeln kommen und mich nach jemand anderem umsehen!
Moin,
Radius ist schon richtig.
Hier sollte allerdings zusätzlich zur AD Authentifizierung auch noch ein Zertifikat verwendet werden. Die Regeln müssen so gestrickt sein, das beides erforderlich ist. Dann kommt sonst keiner in das Netz.
MAC Filter sind sinnlos und halten nur Scriptkiddies auf.
Noch besser geht es Bsp. Über NAC Lösungen wie Aurba Clearpass.
//Achja, GPO für den autologin ist auch kein Thema.
Gruß
Spirit
Radius ist schon richtig.
Hier sollte allerdings zusätzlich zur AD Authentifizierung auch noch ein Zertifikat verwendet werden. Die Regeln müssen so gestrickt sein, das beides erforderlich ist. Dann kommt sonst keiner in das Netz.
MAC Filter sind sinnlos und halten nur Scriptkiddies auf.
Noch besser geht es Bsp. Über NAC Lösungen wie Aurba Clearpass.
//Achja, GPO für den autologin ist auch kein Thema.
Gruß
Spirit
Moin,
1. Verwerf die Idee des Systemhauses und ggf. sogar das Systemhaus als solches (völlig unabhängig von meiner Eigenschaft).
2. Die Kollegen haben es bereits angeführt, Radius Auth und gut ist.
3. @ Kollege Spirit, MAC-Filter halten nicht mal mehr diese auf, die halten vielleicht meine Oma noch auf. (Weil die die kleinen Kombinationen nicht mehr lesen kann/will).
Abgesehen davon würd ich auch den LanCom in Frage stellen.
Schönen Start in die Woche.
Viele Grüße,
Christian
certifiedit.net
1. Verwerf die Idee des Systemhauses und ggf. sogar das Systemhaus als solches (völlig unabhängig von meiner Eigenschaft).
2. Die Kollegen haben es bereits angeführt, Radius Auth und gut ist.
3. @ Kollege Spirit, MAC-Filter halten nicht mal mehr diese auf, die halten vielleicht meine Oma noch auf. (Weil die die kleinen Kombinationen nicht mehr lesen kann/will).
Abgesehen davon würd ich auch den LanCom in Frage stellen.
Schönen Start in die Woche.
Viele Grüße,
Christian
certifiedit.net
Ich würde Lancom auch nicht mehr nutzen wollen wenn ich die Wahl habe.
Ich bin mittlerweile tatsächlich von Aruba über zeugt.
Mit Aruba IAPs rolle ich eine Umgebung von 100 oder mehr APs an einem Tag aus. (Mit ein paar Turnschuhläufern welche die APs verteilen)
Das klingt plausibel. Können hier selbst signierte Zertifikate verwendet werden? Eine eigene CA ist nicht vorhanden.
Zitat von @EarthShaker:
Das klingt plausibel. Können hier selbst signierte Zertifikate verwendet werden? Eine eigene CA ist nicht vorhanden.
Das klingt plausibel. Können hier selbst signierte Zertifikate verwendet werden? Eine eigene CA ist nicht vorhanden.
Tu dir den gefallen und zieh eine AD integrierte CA auf.
Das dauert nicht lange und du kannst die Client Zertifikate direkt ausrollen. Dann hast du damit kein stress.
Ob diese jetzt zweistufig sein muss sei dahin gestellt. Schöner ist es.
Zitat von @EarthShaker:
Das klingt plausibel. Können hier selbst signierte Zertifikate verwendet werden? Eine eigene CA ist nicht vorhanden.
Ohne Trusted Root konterkariert das so ein System, dann kannst du es gleich bleiben lassen. Richte eine eigene CA ein damit das wasserfest ist. Muss keine Windows CA sein, kann auch per OpenSSL oder XCA geschehen, mit einer AD integrierten CA ist der manuelle Aufwand aber halt wesentlich geringer, dort reichen eine Handvoll GPOs dafür.Das klingt plausibel. Können hier selbst signierte Zertifikate verwendet werden? Eine eigene CA ist nicht vorhanden.
Alles klar, vielen Dank für die zahlreichen Antworten. Wir werden uns dann mit dem Thema CA beschäftigen.
Grundlagen dazu auch hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Nur das es bei dir eben mit Zertifikaten gemacht wird.
Ein Gast WLAN erledigt man immer mit einem sog. Captive Portal und Einmalpasswörtern die zeitlich limitiert sind.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Bessere Hersteller wie z.B. Ruckus haben sowas aber alles in ihrern APs selber integriert oder im Controller.
Rckus wäre hier auch die weit bessere Wahl, denn die supporeten eine integrierte Controller Funktion im AP selber. Wenn man nicht mehr als 50 APs verbaut ist diese Lösung einfacher managebar als mit einem teuren zusätzlichen Controller, weil man nur die APs benötigt und mehr nicht.
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Nur das es bei dir eben mit Zertifikaten gemacht wird.
Ein Gast WLAN erledigt man immer mit einem sog. Captive Portal und Einmalpasswörtern die zeitlich limitiert sind.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Bessere Hersteller wie z.B. Ruckus haben sowas aber alles in ihrern APs selber integriert oder im Controller.
Rckus wäre hier auch die weit bessere Wahl, denn die supporeten eine integrierte Controller Funktion im AP selber. Wenn man nicht mehr als 50 APs verbaut ist diese Lösung einfacher managebar als mit einem teuren zusätzlichen Controller, weil man nur die APs benötigt und mehr nicht.
Immer wieder spannend, mit welcher fachlichen "Qualität" hier Fragen beantwortet werden...
Eine Mischung aus platten Beissreflexen (vermeintliche Unsicherheit eines Mac-Filters, obwohl dies im vorliegenden Fall nur ein zusätzliches Filterkriterium zur Disziplinierung der ohnehin berechtigten User wäre - und ohne sich mit der Frage eines möglicherweise vereinfachten Handlings dessen auseinander zu setzen), sinnfreies Bewerben des jeweils eigenfavorisierten Geräteherstellers ohne einen Mehrwert für den konkreten Anwendungsfall aufzeigen zu können sowie Aufzeigen eines Lösungsansatzes mit - je nach Einsatzumfeld - möglicherweise noch viel größeren Handhabungsaufwandes (Client-Zertifikate). Nur eines wird grundsätzlich nicht gemacht: nämlich erst mal fragen, welche gemeinsamen Eigenschaften die ca. 50 Geräte der internen Nutzer als Grupppe charaktetrisieren. Z.B. ob diese Geräte Member eines AD sind oder in dieses aufgenommen werden könnten...
Gruß
sk
Eine Mischung aus platten Beissreflexen (vermeintliche Unsicherheit eines Mac-Filters, obwohl dies im vorliegenden Fall nur ein zusätzliches Filterkriterium zur Disziplinierung der ohnehin berechtigten User wäre - und ohne sich mit der Frage eines möglicherweise vereinfachten Handlings dessen auseinander zu setzen), sinnfreies Bewerben des jeweils eigenfavorisierten Geräteherstellers ohne einen Mehrwert für den konkreten Anwendungsfall aufzeigen zu können sowie Aufzeigen eines Lösungsansatzes mit - je nach Einsatzumfeld - möglicherweise noch viel größeren Handhabungsaufwandes (Client-Zertifikate). Nur eines wird grundsätzlich nicht gemacht: nämlich erst mal fragen, welche gemeinsamen Eigenschaften die ca. 50 Geräte der internen Nutzer als Grupppe charaktetrisieren. Z.B. ob diese Geräte Member eines AD sind oder in dieses aufgenommen werden könnten...
Gruß
sk
Zitat von @sk:
nicht gemacht: nämlich erst mal fragen, welche gemeinsamen Eigenschaften die ca. 50 Geräte der internen Nutzer als Grupppe charaktetrisieren. Z.B. ob diese Geräte Member eines AD sind oder in dieses aufgenommen werden könnten...
Gruß
sk
nicht gemacht: nämlich erst mal fragen, welche gemeinsamen Eigenschaften die ca. 50 Geräte der internen Nutzer als Grupppe charaktetrisieren. Z.B. ob diese Geräte Member eines AD sind oder in dieses aufgenommen werden könnten...
Gruß
sk
Moin @sk,
und wenn man dann fragt wird man doof angemacht, weil man erst fragt, ohne zu antworten.
Darfst dich mit @St-Andreas in die klgusch.... Fraktion eingliedern.
Gruß
Hallo sk,
jetzt hast du mich aber neugierig gemacht. Ja, alle Clients sind Mitglied in unserer Domäne. Hättest Du noch einen Alternativvorschlag?
Am zusätzlichen Macfilter stört mich persönlich das manuelle To-Do. Automatisiert könne diese Liste nicht befüllt bzw. abgeglichen werden.
jetzt hast du mich aber neugierig gemacht. Ja, alle Clients sind Mitglied in unserer Domäne. Hättest Du noch einen Alternativvorschlag?
Am zusätzlichen Macfilter stört mich persönlich das manuelle To-Do. Automatisiert könne diese Liste nicht befüllt bzw. abgeglichen werden.
Zitat von @falscher-sperrstatus:
Moin @sk,
und wenn man dann fragt wird man doof angemacht, weil man erst fragt, ohne zu antworten.
Darfst dich mit @St-Andreas in die klgusch.... Fraktion eingliedern.
Gruß
Zitat von @sk:
nicht gemacht: nämlich erst mal fragen, welche gemeinsamen Eigenschaften die ca. 50 Geräte der internen Nutzer als Grupppe charaktetrisieren. Z.B. ob diese Geräte Member eines AD sind oder in dieses aufgenommen werden könnten...
Gruß
sk
nicht gemacht: nämlich erst mal fragen, welche gemeinsamen Eigenschaften die ca. 50 Geräte der internen Nutzer als Grupppe charaktetrisieren. Z.B. ob diese Geräte Member eines AD sind oder in dieses aufgenommen werden könnten...
Gruß
sk
Moin @sk,
und wenn man dann fragt wird man doof angemacht, weil man erst fragt, ohne zu antworten.
Darfst dich mit @St-Andreas in die klgusch.... Fraktion eingliedern.
Gruß
Vor allem ist die Herangehensweise ein Vertriebsthema. Wir haben hier nur technische Expertise geliefert.
Pass auf, V... ist hier ein N-Wort!
Zitat von @falscher-sperrstatus:
Darfst dich mit @St-Andreas in die klgusch.... Fraktion eingliedern.
Haben die nicht gerade Betriebsausflug nach Usbekistan B-)? Da gibt's noch genug günstige Flüge ....Darfst dich mit @St-Andreas in die klgusch.... Fraktion eingliedern.
Zitat von @EarthShaker:
jetzt hast du mich aber neugierig gemacht. Ja, alle Clients sind Mitglied in unserer Domäne. Hättest Du noch einen Alternativvorschlag?
jetzt hast du mich aber neugierig gemacht. Ja, alle Clients sind Mitglied in unserer Domäne. Hättest Du noch einen Alternativvorschlag?
Dann ist die Sache doch simpel. Authentifiziere einfach die Notebooks mittels PEAP gegen das Computerkonto im AD. Alles was dafür erforderlich ist, bringt Windows bereits mit. Ihr benötigt die NPS-Rolle als Radius-Server, eine interne CA (kann die von Windows oder z.B. OpenSSL sein), ein von dieser CA ausgestelltes Zertifikat für den Radius-Server, eine AD-Gruppe, welche die berechtigten Computerkonten enthält sowie eine Gruppenrichtlinie, welche auf die relevanten Computerobjekte wirkt.
In der Gruppenrichtlinie wird den Clients die vorgenannte CA als vertrauenswürdig bekannt gemacht sowie die WLAN-Settings übergeben. Auf dem NPS-Server wird eine Policy erstellt, welche es den Membern der Computergruppe erlaubt, sich über die Accesspoints zu authentifizieren.
Alles was Du dann später operativ noch tun musst ist:
a) dafür zu sorgen, dass die Rechner die neue Gruppenrichtlinie ziehen (Client ggf. in die richtige OU schieben und diesen ggf. einmalig per Kabel mit der Domäne verbinden)
b) die Gruppenmitgliedschaft der Computerkonten zu pflegen
Im Normalfall reicht das mit PEAP erreichbare Sicherheitsniveau vollkommen aus. Wenn man höhere Ansprüche hat, kann man über das AD auch automatisiert Clientzertifikate ausrollen und diese zur Absicherung heranziehen. In einer verwalteten AD-Umgebung bedeutet das nach der Ersteinrichtung keinen zusätzlich Aufwand im Tagesbetrieb. Auf nicht verwalteten Clients ist die Verwendung von Clientzertifikaten hingegegen aus administrativer Sicht kein Spass. Geringer administrativer Aufwand war hier jedoch ausdrücklich erwünscht...
Zitat von @EarthShaker:
Am zusätzlichen Macfilter stört mich persönlich das manuelle To-Do. Automatisiert könne diese Liste nicht befüllt bzw. abgeglichen werden.
Am zusätzlichen Macfilter stört mich persönlich das manuelle To-Do. Automatisiert könne diese Liste nicht befüllt bzw. abgeglichen werden.
Mit dem richtigen Backend-System geht das auch eleganter. z.B. mit vorgeschalteter Anlernphase oder durch Einrichtung eines Selfserviceportals mit Freischaltevorbehalt durch den Vorgesetzten und der gleichen. Die Mac-Adressen der bereits existierenden Clients hat man zudem in der Regel bereits in seinem DHCP-Server...
Aber da die Geräte ohnehin im AD sind, muss man sich darüber ja keine Gedanken mehr machen. Die bessere Alternative habe ich oben bereits erläutert.
Gruß
sk
Echt? Ist mir gar nicht aufgefallen, dass ich dem TO irgendetwas aufgeschwatzt hätte.
Mein Lösungsvorschlag kostet ihn keinen Cent extra.
Eine großartige Expertise ist das, wenn man wichtige Randbedingungen weder kennt noch hinterfragt.
Oder anders ausgedrückt: die mangelnde Ermittlung der Randbedingungen dokumentiert gerade das Nichtvorhandensein einer solchen.
Gruß
sk
Unabhängig vom Inhalt: es ist richtig schön, mal eine geschliffene Sprache, grammatisch und orthografisch richtig, zu lesen!
1
