CoolAce 17 Geschrieben 4. März 2013 Melden Teilen Geschrieben 4. März 2013 Hallo zusammen, ich hab da mal eine kleine Frage, ich würde gern meine bestehenden AccessPoints mit diesem Produkt absichern und dazu am liebsten ein selbsterstelltes Zertifikat verwenden, sprich der User hat das passende Zertifikat und darf dann WLAN nutzen. Ich nutze rein W2k8R2 Was mich im Moment interessiert ist eure Meinung dazu 1) Ist es noch aus Sicherheitsgründen "State of the Art" 2) Kann man diese Zertifikate auch für MAC´s verwenden, meiner Meinung nach JA 3) Meines Wissens nach brauch ich ja dafür eine Unternehmens PKI, einen Server mit der Rolle Netzwerkrichtlinienserver, aber was mir noch fehlt ist das "Zwischenstück" sprich der Netzwerkrichtlinienserver muss ja mit der PKI irgendwie reden, bloß wie? 4) Bekommt man das überhaupt sauber hin das 1 Zertifikat auf N User berechtigt wird, wenn ja habt ihr ein paar Stichwörter oder Links dazu Danke Coolace Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 4. März 2013 Melden Teilen Geschrieben 4. März 2013 Moin, zunächst einmal solltest Du dich mit den Grundlagen von 802.1x vertraut machen.http://de.wikipedia.org/wiki/IEEE_802.1X ....sprich der User hat das passende Zertifikat und darf dann WLAN nutzen. Und was ist mit dem Gerät, das der User verwendet? :cool: Was mich im Moment interessiert ist eure Meinung dazu1) Ist es noch aus Sicherheitsgründen "State of the Art" Mir ist derzeit keine geeignetere Methode bekannt 2) Kann man diese Zertifikate auch für MAC´s verwenden, meiner Meinung nach JA Meinst du Apple Computer oder MAC Adressen? 3) Meines Wissens nach brauch ich ja dafür eine Unternehmens PKI, einen Server mit der Rolle Netzwerkrichtlinienserver,aber was mir noch fehlt ist das "Zwischenstück" sprich der Netzwerkrichtlinienserver muss ja mit der PKI irgendwie reden,bloß wie? Dafür baust du am besten eine AD integrierte PKI mit offline Root CA auf. Der NPS benötigt später nur noch Zugriff auf die Sperrinformationen und/oder das AD. 4) Bekommt man das überhaupt sauber hin das 1 Zertifikat auf N User berechtigt wird, wenn ja habt ihr ein paar Stichwörteroder Links dazu Danke Coolace Ein Zertifikat für mehrere User bzw. Geräte ist technisch möglich. Ich halte so ein Vorgehen allerdings nicht für zielführend.Ein Zertifikat bestätigt i.d.R. die Identität und Authentizität einer Entität. Ein paar Quellen: Buch: Brian Komar - PKI and Certificate Security Unbedingt lesen und verstehen, bevor du mit einer PKI anfängst (auch wenn die Umgebung noch so klein ist) http://technet.microsoft.com/en-us/network/bb629414.aspx http://www.microsoft.com/en-us/download/details.aspx?id=17157 http://technet.microsoft.com/en-us/library/dd283093(v=ws.10).aspx Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 4. März 2013 Autor Melden Teilen Geschrieben 4. März 2013 Hallo, vielen Dank für deine gute und rasche Antwort. Ich meinte damit natürlich Appel MAC oder andere Android, sorry war undeutliche formuliert. Ich dachte es reicht ein Zertifikat für den User, für das Gerät brauch ich also auch eins ? Also ist dein Vorschlag eher pro User 1 Zertifikat ? LG Coolace Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 4. März 2013 Melden Teilen Geschrieben 4. März 2013 Ich meinte damit natürlich Appel MAC oder andere Android, sorry war undeutliche formuliert. Ich dachte es reicht ein Zertifikat für den User, für das Gerät brauch ich also auch eins ? Das ist eine Designfrage. Du kannst Benutzerauthentifizierung, Computerauthentifizierung oder auch beides verwenden. Domänenclients und Domänenbenutzer können auch per PEAP (MS Chap V2) authentifiziert werden und benötigen dafür gar kein eigenes Zertifikat. Die Möglichkeiten sind sehr vielfältig. Ohne genauere Kenntnis deiner Infrastruktur ist es allerdings schwer konkrete Empfehlungen abzugeben. Zumal in einer heterogenen Landschaft besonders auf die Kompatibilität mit allen teilnehmenden Geräten geachtet werden muss. Hier kann schon ein falsch gewählter Hash Algorithmus dazu führen, dass einige Geräte nicht an dem Verfahren teilnehmen können. Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 4. März 2013 Autor Melden Teilen Geschrieben 4. März 2013 OK, danke noch mal für die vielen gute Tipps. Meine Infrastruktur besteht im wesentlichen aus 2DCs und den üblichen Memberservern, alls W2K8R2 und Win7Client. OK ein paar XP Clients sind auch dabei und 3 bis 4 MAC Books pro und IPAD´s Ich würde es halt gern mal per Zertifikat implementieren, so dass die User einfach berechtigt werden auf das Zertifikat und dann sich problemlos überall an den WLAN Clients anmelden können. Mein jetztiges Design würde ich so machen das sobald der User ein Zertifikat hat sich mit jedem beliebigen client an dem WLAN anmelden kann, egal ob MAC oder Windows oder Android Firmen Handy. Was müsste ich hier im Hinblick der Idee beachten, Hash-Algorythmus und sontigem Vielen Dank Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 4. März 2013 Melden Teilen Geschrieben 4. März 2013 Du solltest dir zurerst überlegen, wofür du die PKI sonst noch nutzen möchtest. 802.1x ist nur ein möglicher Anwendungsfall. Nichts ist schlimmer, als wenn man irgendwann feststellt, dass man noch eine zweite oder dritte PKI aufsetzen müsste bzw. die alte plattmachen und nochmal von vorne anfangen darf nur weil man am Anfang einen Anwendungsfall nicht beachtet hat. Ein paar mögliche Anwendungsfälle wären: - SSL für Intranet-Webserver - SSO für Terminalserver - VPN - Codesignatur - Datei- / Mailverschlüsselung - usw. Zuerst sollten ein paar theoretische Grundlagen erarbeitet werden und dann: Testen, Testen ... Testen So etwas im Ramen eines Forums zu projektieren halte ich für unseriös. Eventuell lohnt auch ein Blick in die IPD zum Thema ADCS http://www.microsoft.com/en-us/download/details.aspx?id=732 Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 5. März 2013 Autor Melden Teilen Geschrieben 5. März 2013 Ich habe über deinen Post nachgedacht und mir überlegt das ich es so simpel wie möglich halten will. Im Raahmen eines Forums möchte ich es nicht projektieren aber es hilft mir das ganze eher zu verstehen bzw. Ansätze zu liefern die ich nicht bedacht oder verstanden haben Zitieren Link zu diesem Kommentar
tpk 10 Geschrieben 7. März 2013 Melden Teilen Geschrieben 7. März 2013 (bearbeitet) Ich würde es halt gern mal per Zertifikat implementieren, so dass die User einfach berechtigt werden auf das Zertifikat und dann sich problemlos überall an den WLAN Clients anmelden können. Mein jetztiges Design würde ich so machen das sobald der User ein Zertifikat hat sich mit jedem beliebigen client an dem WLAN anmelden kann, egal ob MAC oder Windows oder Android Firmen Handy. Was müsste ich hier im Hinblick der Idee beachten, Hash-Algorythmus und sontigem Beachten solltest du wenn du das ganze wirklich nur auf User Ebene machst das das Gerät (Notebook zB) dann erst eine WLAN Verbindung aufbauen kann wenn sich der User angemeldet hat. Was aber nicht funktioniert falls dieser noch nie auf diesem Gerät angemeldet und es daher keine cashed Credentials gibt und er somit den DC nicht erreicht. lg bearbeitet 7. März 2013 von tpk Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.