Alternative zu 802.1x? Netzwerksicherheit / Clients einschränken

[heuchler 17]

Guten Abend zusammen,

 

mal eine kurze Frage. Ich suche nach einer Alternative zur Authentifizierung über 802.1x.

Hintergrund ist dass die Fremdgeräte im Netzwerk wachsen und erstaunlicherweise auch noch unter den TOP5 in der Webhistory auftauchen. 
Das möchten wir gerne unterbinden, aufgrund der gemischten und gewachsenen Struktur könnte ich mir gut vorstellen dass es zu Problemen kommt.

Deswegen ist meine Überlegung eine Art "Hotspot" einzurichten, oder dass Clients einen Agent installiert bekommen der wiederum den Netzwerkzugriff freigibt.

Clients ohne Agent werden erstmal geblockt, bis sie vielleicht manuell (z.B. für Gäste oder Außendienstler) freigegeben werden.

 

Hat da jemand eine Idee?

 

Besten Dank und einen angenehmen Abend.

[Dukel 460]

Geht es nur um den Internetzugang oder generell Netzwerkzugriff? Für ersteres ist ein Proxy (Zwangs oder Authentifizierend) dienlich (und einfacher als die komplette Infrastruktur zu ändern).

[NorbertFe 2.155]

Einen Proxy in sein eigenes Gerät einzutragen ist aber genauso einfach. Und nap/nac funktioniert zwar mit dhcp, aber das hat dann wenig mit Sicherheit zu tun. ;) also führt meiner Meinung nach kein weg um 802.1x herum.

[heuchler 17]

Es geht um den generellen Netzwerkzugriff der für Fremdgeräte eingeschränkt werden soll.
Websurfing wird schon über Proxy und AD-Auth realisiert.

 

Nächstes Problem: manche Notebooks sind nicht in der Domäne, zum Beispiel manche Außendienstler.
Da siehts wieder b***d aus mit dem 802.1x.

[NorbertFe 2.155]

Warum? Man kann sich auch explizit anmelden.

[zahni 566]

Eigentlich sollte man fremden Geräten den Netzwerkzugriff generell verbieten.

 

Wenn das  nicht geht, könnte man vielleicht auch spezielle Netzwerkdosen einrichten, auf deren Port ein speziellen VLAN getaggt ist. Dieses  VLAN wird  dann halt nur zum Proxy  geroutet  oder es  wird (besser) ein eigener kaskadierter Proxy installiert.

 

Zur Sicherheit wird bei den internen PC's dann Radius verwendet.

 

NAP lässt sich  übrigens auch mit Radius  kombinieren (und macht  vielleicht auch nur dann Sinn).

Clients, die  nicht der Policy entsprechen (z.B. gültiges  Computer Zertifikat) , landen  dann im obigen "Gäste-Netz".

 

-Zahni

[Sunny61 816]

 

Nächstes Problem: manche Notebooks sind nicht in der Domäne, zum Beispiel manche Außendienstler.

Da siehts wieder b***d aus mit dem 802.1x.

 

Weshalb sind immer die Notebooks der Außendienstmitarbeiter nicht in der Domain? Es gibt für die Benutzer keinerlei Nachteile wenn die Geräte in der Domain sind.

[Hannes91 10]

Dass manche Geräte nicht in der Domäne sind ist eigentlich kein Problem. Man bringt entweder das Zertifikat manuell auf die Notebooks oder mit MSCHAP per Username und Passwort authentifizieren.

Mir fällt spontan auch keine bessere Lösung ein. Wenn die Switche 802.1x unterstützen kann man die Einführung durchaus relativ kostengünstig hinbekommen.

[RalphT 15]

Nächstes Problem: manche Notebooks sind nicht in der Domäne, zum Beispiel manche Außendienstler.

Das macht nichts. Ich habe hier Domänenclients und Clients die nicht der Domäne sind. Außerdem habe ich hier Drucker an geschützten Netzwerkdosen. Ich habe diese Geräte über MAC-Authentifizierung angeschlossen. Ich denke, dass viele Switche 802.1x und MAC-Authentifizierung können.

 

Weshalb sind immer die Notebooks der Außendienstmitarbeiter nicht in der Domain? Es gibt für die Benutzer keinerlei Nachteile wenn die Geräte in der Domain sind.

Das Thema hatte ich auch schon. Mir hat mal einer gesagt, dass er nie Notebooks für Außendienstler in eine Domäne legen würde.

 

Ich sehe das genauso wie Du. Ich habe alle in der Domäne. Man kann den Wert ja für Anmeldungen ohne Domäne ja hochsetzen. Ich meine der Wert 25 ist Standard.

[NorbertFe 2.155]

Den Wert gibt's nur nicht. Das was du meinst ist die anzahlzwischengespeicherter Anmeldeinformatiomen. Und das hat mit der Anzahl der Anmeldungen ohne Domäne eines Users mit zwischengespeicherter Anmeldeinformatiomen genau nix zu tun.

[Sunny61 816]

Das Thema hatte ich auch schon. Mir hat mal einer gesagt, dass er nie Notebooks für Außendienstler in eine Domäne legen würde.

Mit welcher Begründung würde er das machen?

 

Ich sehe das genauso wie Du. Ich habe alle in der Domäne. Man kann den Wert ja für Anmeldungen ohne Domäne ja hochsetzen. Ich meine der Wert 25 ist Standard.

 

Das ist nicht das was Du meinst, sobald Du einmal an der Domain angemeldet bist, kannst Du das noch unendlich lange und oft machen.

[RalphT 15]

Mit welcher Begründung würde er das machen?

Leider habe ich ihn damals nicht gefragt. Er sagte damals, dass kein Notebook, welches auch nur zw. außer Hause ist, etwas in der Domäne zu suchen hat.

 

 

Den Wert gibt's nur nicht. Das was du meinst ist die anzahlzwischengespeicherter Anmeldeinformatiomen. Und das hat mit der Anzahl der Anmeldungen ohne Domäne eines Users mit zwischengespeicherter Anmeldeinformatiomen genau nix zu tun.

Tja das wusste ich nicht. Wieder was dazu gelernt. :)

[NorbertFe 2.155]

Leider habe ich ihn damals nicht gefragt. Er sagte damals, dass kein Notebook, welches auch nur zw. außer Hause ist, etwas in der Domäne zu suchen hat.

 

 

Der Grund für diese Aussage hätte mich jetzt mal interessiert.

[lefg 276]

Wir haben die Notebooks i.d.R. auch nicht in einer Domäne. Die Begründung ist, es gibt keine Notwendigkeit dafür, also auch die Arbeit nicht und auch nicht die Kosten.

 

Wir sind damit ganz schön OT.

bearbeitet 25. Mai 2013 von lefg

[NorbertFe 2.155]

Hängt halt immer stark vom Einsatz ab. Bei uns sind alle in der Domäne, auch wenn sie theoretisch nur einmal im Jahr in der Firma wären. Sollte demnächst dann endlich DA kommen, gibt's eigentlich gar keinen Grund mehr, das nicht zu tun. ;)

 

Bye

Norbert