Jump to content

Portsecurity etc


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Vohanden ist eine Windows AD mit einer funktionierenden PKI.

Ich würde jetzt gerne dafür sorgen das Rechner mit Zertifikat in ein bestimmtes VLAN kommen und Rechner ohne in ein "Gast-Netz".

Soweit so einfach.

 

Wenn ich jetzt aber meine Rechner in verschiedene VLANs stecken möchte, z.B: pro Liegenschaft ein anderes, wie gehe ich da vor? Brauche ich dann unter-PKIs damit die unterschiedlich unterschriebene Zertifikate bekommen oder kann ich z.B. auch nach OU im AD unterscheiden?

Ich bräuchte da mal einen Schubser in die richtige Richtung.

 

Magnus

Link zu diesem Kommentar

Moin,

 

am einfachsten wäre es vermutlich an allen Standorten das gleiche VLAN für authentifizierte Clients zu verwenden.

 

Du könntest am NPS als Bedingung z.Bsp. den Namen des Radius Clients verwenden - der am NPS konfigurierte Anzeigename. Dabei werden auch Wildcards unterstützt.

Bspw. 'SW-LOK-AA-*' könnte bei geigneter Nomenklatur eine Richtlinie für alle Switches (SW) an der Lokation (LOK) Aachen (AA) mit einer fortlaufenden Nummer (00-99) abdecken.

Link zu diesem Kommentar

am einfachsten wäre es vermutlich an allen Standorten das gleiche VLAN für authentifizierte Clients zu verwenden.

Das ist aber nunmal gewünscht. MIt einem VLAN ist das einfach, da weiss ich was ich machen muss.

 

Windows NAP wird ab der nächsten Windows Server Version nicht mehr unterstützt. Denke nicht das man das nun noch einführen sollte.

Das wusste ich nicht. Was wird denn dann die neue Vorgehensweise sein? Fällt die komplette Rolle NPAS weg?

 

802.1x ist auch klar. Ich hab in den Büros cisco sg300er im Einsatz. Die Frage die sich aufgetan hat ist wie man da die Liegenschaften unterscheidet. Ob man mehrere CAs oder unterCAs benötigt oder ob man da irgendwie anhand der OU in der sich der Rechner befindet unterscheiden kann.

Link zu diesem Kommentar

Standortabhängige Richtlinien benötigen in den meisten Fällen keine eigene CA.

Der NPS hat einige Möglichkeiten, Bedingungen abzubilden. Die OU gehört jedoch nicht dazu.

 

Was gefällt Dir daran nicht, den Radius Client (Switch) als Indikator für den Standort zu nutzen?

Weil ich des öfteren verschiedene VLANs auf einem Switch haben muss. z.B. ein Rechenr der ein Infoterminal ist und ein kassensystem

Link zu diesem Kommentar

Jain. Der NPS kann out of the box nur EKU OIDs (Verwendungszwecke) prüfen. Neben Gültigkeit usw. natürlich.

http://technet.microsoft.com/de-de/library/cc772401%28v=ws.10%29.aspx

Einige Radius Clients können Filter/Regeln auf Basis anderer Zertifikatsattribute (OU, C, L usw.) anwenden.

 

Man sollte beim dem Thema zwischen den drei A, Authentication, Authorization, Accounting, sauber trennen und genau überlegen, was wie und womit umgesetzt werden soll.

 

Es gibt wohl eine NPS API, mit der sich benutzerdefinierte Bedingungen realisieren lassen sollen. Das habe ich allerdings noch nicht im Einsatz gesehen.

Link zu diesem Kommentar

na dann werde ich wohl mal sehen ob das nicht mit freeradius einfacher umzusetzen ist.

Die Zuordnung der VLANs anhand der OU hat dem Charm das jeder Depp das bedienen kann und es trotzdem höchst flexibel ist. Wird das verschieben in die korrekte OU vergessen hat der Rechner kein Netz und die It-Abteilung wird zeitnah per Telefon informiert :-)

Zum Testen können wir jede Rechner überall einstöpseln und er funktioniert so wie er soll.

 

mal sehen ob das mit freeradius geht...

Link zu diesem Kommentar

Ich will auch nicht nach user sondern nach Rechner-OU filtern. Irgendwie muss das doch gehen das man das AD befragt in welcher OU sicher in bestimmter Rechner befindet.

die einzige andere Alternative wären ja mehrere CAs, unterCAs o.ä.

 

Ich muss halt sicherstellen das ich einen Rechner einfach umziehen kann. Das darf nicth vom user abhängen sondern nur vom Rechner selber.

Link zu diesem Kommentar

Ich will auch nicht nach user sondern nach Rechner-OU filtern. Irgendwie muss das doch gehen das man das AD befragt in welcher OU sicher in bestimmter Rechner befindet.

die einzige andere Alternative wären ja mehrere CAs, unterCAs o.ä.

 

Ich muss halt sicherstellen das ich einen Rechner einfach umziehen kann. Das darf nicth vom user abhängen sondern nur vom Rechner selber.

Die aktuelle OU im AD ist kein Sicherheitsmerkmal und mMn nicht für die Autorisierung geeignet. Ein Sicherheitskonzept darauf aufbauen zu wollen, erscheint mir fragwürdig.

 

Noch ein letzter Ratschlag, bevor ich wegen Beratungsresistenz aufgebe:Beschäftige Dich bitte mit dem Themen PKI, Zertifikatsvorlagen und Radius/NPS bevor Du weitere Sub CAs installierst.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...