Jump to content

WLAN Authentifizierung Strategie

::micha::

Von ::micha::
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

::micha:: Enthusiast

::micha::   10

Geschrieben
Geschrieben

Hallo,

 

ich stehe derzeit vor der Aufgabe unser WLAN sicherer zu machen und wollte mal gerne eure Meinung dazu einholen.

Derzeit setzen wir auf eine Benutzerauthentifierzierung mittel NPS und AD.

Dabei geschied eine dynamische VLAN Zuordnung am AP.

Leider ist es nun so, dass der Benutzer XYZ sein privates Notebook mitbringt und sich damit auch ins WLAN einloggen kann. Dies würde ich gerne unterbinden.

Ich bin auf eure Ansätze gespannt.

 

Grüße aus dem Norden

Micha

Link zu diesem Kommentar
Hannes91 Enthusiast

Hannes91   10

Geschrieben
Geschrieben
Hallo,

 

ich stehe derzeit vor der Aufgabe unser WLAN sicherer zu machen und wollte mal gerne eure Meinung dazu einholen.

Derzeit setzen wir auf eine Benutzerauthentifierzierung mittel NPS und AD.

Dabei geschied eine dynamische VLAN Zuordnung am AP.

Leider ist es nun so, dass der Benutzer XYZ sein privates Notebook mitbringt und sich damit auch ins WLAN einloggen kann. Dies würde ich gerne unterbinden.

Ich bin auf eure Ansätze gespannt.

 

Grüße aus dem Norden

Micha

 

 

Auf Computerauthentifizierung umsteigen oder um es den Benutzer etwas schwerer zu machen auf Benutzerauthentifizierung mit Zertifikaten umsteigen und es verbieten den Private Key zu exportieren.

 

Wars***einlich wird momentan Username und Passwort genutzt?!

 

Gruß

Link zu diesem Kommentar
::micha:: Enthusiast

::micha::   10

Geschrieben
  • Autor
Geschrieben
Auf Computerauthentifizierung umsteigen oder um es den Benutzer etwas schwerer zu machen auf Benutzerauthentifizierung mit Zertifikaten umsteigen und es verbieten den Private Key zu exportieren.

 

Wars***einlich wird momentan Username und Passwort genutzt?!

 

Gruß

 

 

Das ist richtig, derzeit wird Username/Passwort genutzt. Dies muss allerdings auch als Bedingung so bleiben. Benutzerzertifikate scheiden aus, da anhand des Realms eine Domänenzuweisung erfolgt.

Der Umstieg auf Computerauthetifizierung ist da leider auch nicht praktikabel. Es erfolgt ja zusätzlich anhand des Benutzers eine VLan zuweisung.

 

Welche Möglichkeiten gibt es noch?

 

Micha

Link zu diesem Kommentar
Hannes91 Enthusiast

Hannes91   10

Geschrieben
Geschrieben
Das ist richtig, derzeit wird Username/Passwort genutzt. Dies muss allerdings auch als Bedingung so bleiben. Benutzerzertifikate scheiden aus, da anhand des Realms eine Domänenzuweisung erfolgt.

Der Umstieg auf Computerauthetifizierung ist da leider auch nicht praktikabel. Es erfolgt ja zusätzlich anhand des Benutzers eine VLan zuweisung.

 

Welche Möglichkeiten gibt es noch?

 

Micha

 

Wenn du Computerauthentifizierung machst, kannst du genau wie mit Benutzern natürlich auch Vlan zuweisung machen.

 

Eine weitere möglichkeit wäre, dass du die MAC Addressen am NPS einträgst die zugriff haben dürfen.

Bei der Benutzerauthentifizierung wird die MAC des Client PCs mitgeschickt (Anrufer ID)

 

Du kannst dann in deiner Netzwerkrichtlinie eine neue Bedingung hinzufügen (Anrufer ID) und in diesem Feld die Mac Addressen getrennt mit einem pipeline eintragen.

 

z.b. 00-00-00-00-00-00|11-11-11-11-11-11

 

Das wäre die für dich wars***einlich einfachste Lösung. Das sollte normalerweise so funktionieren, aber die Liste muss natürlich gepflegt werden und ich weiß nicht auf wieviele Zeichen dieses Feld begrenzt ist.

 

Eine andere möglichkeit fällt mir zur Zeit nicht ein.

 

Gruß

Link zu diesem Kommentar
::micha:: Enthusiast

::micha::   10

Geschrieben
  • Autor
Geschrieben (bearbeitet)

 

Eine weitere möglichkeit wäre, dass du die MAC Addressen am NPS einträgst die zugriff haben dürfen.

Bei der Benutzerauthentifizierung wird die MAC des Client PCs mitgeschickt (Anrufer ID)

 

Du kannst dann in deiner Netzwerkrichtlinie eine neue Bedingung hinzufügen (Anrufer ID) und in diesem Feld die Mac Addressen getrennt mit einem pipeline eintragen.

 

z.b. 00-00-00-00-00-00|11-11-11-11-11-11

 

Gruß

 

Hallo,

 

Danke,

 

ich hab das eben mal getestet und es funktioniert. Leider passen in eine Bedingung nur 13 Mac Adressen. Dann muss es wohl über die Anzahl der Bedingungen gelöst werden ;) Ich hoffe nicht, dass diese auch begrenzt sind.

 

Gruß

Micha

 

Anzahl der Bedingungen ist natürlich quatsch, sondern Anzahl der Richtlinien

bearbeitet von ::micha::
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...