LimpBizkit 10 Geschrieben 21. September 2011 Melden Teilen Geschrieben 21. September 2011 Hallo liebes Forum, ich verwalte ein Schulnetz und versuche gerade, es ein wenig abzusichern. Derzeitiger Stand: Windows 2008 Server. Aufgesetzt mit AD und RADIUS. Einige Dutzend AP mit WPA-Extenden (EAP2). In der Domäne befinden sich derzeit ca. 10 Mitglieder (Domänencomputer) sowie ca. 100 Nicht-Domänenmitglieder (diverse private Lehrer- und Schüler-PCs, I-Phones, etc.). Alle PCs bekommen ihre IPs entweder dynamisch oder statisch von einem B-Netz 172.16.x.x, ich habe Reservierungen vorgenommen, um anhand der MAC-IDs ein wenig zu gruppieren. Ich habe RADIUS erfolgreich so konfiguriert, dass er NUR die Domänencomputer in das Netzwerk lässt. Problem: Täglich kommen einige hundert I-Phones etc. in das WLAN und legen unser Netz fast lahm. Der IP-Bereich für dynamische Vergaben ist ruckzuck so voll, dass keine IPs mehr zur Verfügung stehen. Die dynamische Vergabe soll nicht unterbunden werden, sondern nur bestimmten PCs / I-Phones / etc. zur Verfügungstehen. Die Reglementierung per Domänencomputer greift gut und sinnvoll, reicht aber nicht aus, da ich nicht alle zugelassenen Clients in die Domäne aufnehmen kann (es sind auch diverse Win7/XP Home Clients vorhanden). Bei Prüfungssituationen möchte ich auch die Möglichkeit haben, bestimmte Clients, die sonst Zugang haben, zu sperren. Benutzerauthentifizierung geht nicht, da so etwas wirklich binnen weniger Tage ausgetauscht wird. Wie gehe ich da am besten vor? Derzeit arbeite ich probehalber mit einer NPS pro MAC-ID, aber das werde ich einfach nicht handeln können. Mein erster Ansatz führte über DHCP-Bereiche, die ich in NPS ja verknüpfen kann. Eigentlich eine gute Idee, aber ich kann leider pro Netzwerk nur einen Bereich anlegen. Hilfe wäre toll, Tom Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 22. September 2011 Melden Teilen Geschrieben 22. September 2011 Du könntest ja auch mehrerer Netze machen, oder ein größeres Subnetz. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 22. September 2011 Melden Teilen Geschrieben 22. September 2011 Das Vergrößern des Adressbereiches ändert doch nichts an der physikalischen Belastung der Hardware, des physikalischen Netzes. Es geht darum, nicht autorisierte Hardware sofort abzulehnen, keinen Zugang zu gewähren. Zitieren Link zu diesem Kommentar
LimpBizkit 10 Geschrieben 23. September 2011 Autor Melden Teilen Geschrieben 23. September 2011 ja, genau. Nicht authorisierte Hardware soll außen vor bleibe. Das muss doch irgendwie gehen - und das Problem müsste es doch eigentlich auch recht häufig geben, oder? Kann man denn per NPS irgendwie einstellen, dass der Zugriff gewährt wird, wenn die vom DHCP vergebene IP in einem bestimmten Beriech liegt? also "wenn IP nach dem Muster 172.16.20.x dann Zugriff gestatten". Wichtig dabei, dass die IP vom DHCP vergeben wurde (und kein Schlingel die IP fest eingestellt hat) Ich habe die möglichkeiten der Clientzertifikate auch noch nicht verstanden. Und wenn ich ehrlich bin, die des Serverzertifikats, dass da bei den NPS Vorgaben eingebunden wird, auch nicht :mad: Wenn ich jetzt einen PC, der nicht in der Domäne ist, per WP einbinden möchte, kommt immer die Fehlermeldung auf dem Client, dass das Serverzertifikat nicht überprüft werden konnte. Tatsächlich ist in den WLAN-Eigenschaften mein Zertifikatserver auch nicht vorhanden, doch wie kriege ich den da überhaupt rein? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 23. September 2011 Melden Teilen Geschrieben 23. September 2011 ..Das muss doch irgendwie gehen - und das Problem müsste es doch eigentlich auch recht häufig geben, oder? Kann man denn per NPS irgendwie einstellen, dass der Zugriff gewährt wird, wenn die vom DHCP vergebene IP in einem bestimmten Beriech liegt?... Ich meine, Du bist auf dem falschen Weg mit dem Gedanken an DHCP und IP-Bereichen. Der DHCP ist keine Sicherheitseinrichtung. Stelle dir vor, jemand konkonfiguriert sein Gerät mit einer festen IP, was dann? Da nützt auch Reservierung nichts. Auch eine MAC-Adresse kan man fälschen. Ich bin kein Fachmann, meine aber, sicher gelöst wird sowas wohl mit Zertifikaten. Das muss man aber auf dem Gerät des Benutzers auch einrichten. Und der Gedanke, die Hoffnung, Annahme, den Betrug bei Klassenarbeiten durch Abschalten des WLAN eindämmen, verhindern zu können, da bin ich mehr als skeptisch. Die Schüler benutzen nicht das WLAN sondern Ueinfac hMTS. Zitieren Link zu diesem Kommentar
LimpBizkit 10 Geschrieben 26. September 2011 Autor Melden Teilen Geschrieben 26. September 2011 also wenn mir jemand nen Tipp geben kann, WIE es mit Zertifikaten geht ... das interessiert mich schon und halte ich auch für machbar. Problem: Es gibt wohl auch WLAN-Geräte, die das nicht können. Mein PDA z.B. kann das sicherlich nicht. Ich dachte, dass die NPS nicht nur die IP prüft, sondern auch, ob Sie vom DHCP vergeben wurde. Da gibt es in der NPS ja schon die Option "Profil", also das IP fälschen dürfte nicht gehen. MAC fälschen natürlich schon. ich will das Schummeln nicht prinzipiell unterbinden, aber ich habe anonyme Briefe bekommen, in denen steht "ich finde es ungerecht, dass einige mit Ihren Handys auf Toilette gehen und im Internet die Lösungen suchen". Da haben die irgendwie schon Recht.... Zitieren Link zu diesem Kommentar
NorbertFe 2.105 Geschrieben 26. September 2011 Melden Teilen Geschrieben 26. September 2011 ich will das Schummeln nicht prinzipiell unterbinden, aber ich habe anonyme Briefe bekommen, in denen steht "ich finde es ungerecht, dass einige mit Ihren Handys auf Toilette gehen und im Internet die Lösungen suchen". Da haben die irgendwie schon Recht.... Und was würde deine Lösung daran ändern? Die gehen im Zweifel auch per UMTS ins Internet und suchen Lösungen. Bye Norbert Zitieren Link zu diesem Kommentar
RBurghart 10 Geschrieben 21. Januar 2012 Melden Teilen Geschrieben 21. Januar 2012 Ich könnte dir beschreiben, was wir getan haben, um externen Clients die Möglichkeit zu geben, den Internetzugang zu nutzen. Wer sind wir? Auch eine Schule mit 2 Servern (W2K8 und W2K8R2), ~120 Domänenclients und noch einer unbekannten Zahl von externen Clients, da wir das Netz dafür gerade erst geöffnet haben. Zu befürchten ist aber eine Explosion der Nutzer, obwohl man sich fragen muss, was ein iPhone für einen unterrichtlichen Nutzen bringt. Aber das ist ein anderes Thema. Wir haben diese Nutzung im Moment limitiert auf Lehrer, damit nur diese die Möglichkeit bekommen, den Internetzugang mit ihren privaten Rechnern zu nutzen. Auch hier ist es seltsam zu beobachten, dass der Anspruch gestellt wird, mit allem, was sie haben, den Zugang nutzen zu können (Notebook, MacBook, iPAD, iPhone etc.). Wir haben alles mit Zertifikaten abgesichert und der Lehrer, der den Zugang nutzen will (vorausgesetzt, er hat alles auf seinem Rechner richtig installiert) muss bei der Verbindung mit dem Accesspoint seine (Domain-)Kennung und das dazugehörige Passwort eingeben. Jetzt versuchen wir gerade Domänen-Notebooks zu integrieren, wobei hier ein Login mit jdem der ca. 1800 Domänen-Accounts möglich sein soll. Momentan scheitern wir an der simplen Tatsache, dass die Notebooks (obwohl Mitglied der Domäne - über Kabel integriert) sich nicht authentifizieren wollen. Insofern bekommt der sich anmeldende User dann auch die Meldung: "Domäne nicht gefunden". Die erfolgreiche Anmeldung ist in unserem Fall unabdingbar, weil sämtliche Profile serverbasiert sind. Vielleicht können wir uns da irgendwie austauschen. Gruß Ralf Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 21. Januar 2012 Melden Teilen Geschrieben 21. Januar 2012 .....Jetzt versuchen wir gerade Domänen-Notebooks zu integrieren, wobei hier ein Login mit jdem der ca. 1800 Domänen-Accounts möglich sein soll. Momentan scheitern wir an der simplen Tatsache, dass die Notebooks (obwohl Mitglied der Domäne - über Kabel integriert) sich nicht authentifizieren wollen. Insofern bekommt der sich anmeldende User dann auch die Meldung: "Domäne nicht gefunden". Die erfolgreiche Anmeldung ist in unserem Fall unabdingbar, weil sämtliche Profile serverbasiert sind.Vielleicht können wir uns da irgendwie austauschen. Hallo Ralf, was soll Notebooks intergrieren bedeuten? Wenn Geräte, egal ob Tower, Desktop oder Notebook der Domäne erfolgreich hinzugefügt, dann ist das Gerät Member der Domäne und damit integriert. Ob Roaming oder nicht, das ist nachrangig. Können die Member denn den DC "sehen", per Ping oder Brower? Sind beim Joinen die Computerkonten entstanden im AD? Wie, voher erhalten die Clients denn die IP, vom DHCP der Domäne? Funktioniert die Namensauflösung? Austausch geschieht nur über das Board hier. Zitieren Link zu diesem Kommentar
nobex 10 Geschrieben 24. Januar 2012 Melden Teilen Geschrieben 24. Januar 2012 Wenn die Clients in der Domäne sind, hilft evtl. folgendes weiter: Einführung - Sichern von Wireless LANs mit Zertifikatsdiensten Bereitstellung von sicheren 802.11-Unternehmensnetzwerken mit Microsoft Windows Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.