802.1x heute noch eine gute Wahl

[donnervogel515 13]

Hallo Forum,

 

ich würde gerne mein Netzwerk (erstmal Testumgebung) besser absichern und da währe die Beschränkung des Zugriffs ja schon einmal eine gute Idee. Zu Zeiten von Server 2008 R2 habe ich einiges mit 802.1x gemacht...meist WLAN und daher ist das natürlich das erste Mittel was mir eingefallen ist um auch das verkabelte Netzwerk zu härten. Jetzt meine Frage in die Runde, ist das heute noch eine gute Idee oder gibt es da inzwischen bessere Mittel? Ich würde es aus Kostengründen gerne mit Windows Server 2019 Bordmitteln umsetzen.

 

Freue mich auf euer Feedback

 

 

[NorbertFe 2.034]

802.1x ist immer noch ne gute Wahl. Ob die bordmittel von ms dazu zählen, muss man wohl selbst entscheiden. ;)

[cj_berlin 1.315]

Moin,

 

"besser" ist in der IT immer so eine Sache. Token Ring war "besser" (aus Ingenieurssicht) als Ethernet, NetWare war besser als NT3.51 (in dem, was sie beide konnten). Und wo sind diese "besseren" Technologien jetzt?

 

Es gibt richtig abgefahrene Lösungen, die elektromagnetische Profile der LAN-Adapter aufzeichnen, d.h. wenn Du zwar die gleiche Karte, aber mit einem anderen SFP nimmst, bist Du schon ein Fremder. Ist das besser? Kommt darauf an. Was gern genommen wird, und das war zu 2008R2-Zeiten gefühlt noch weiter verbreitet, ist so etwas wie MACMON oder ARP-GUARD. Beide können auf Wunsch auch 802.1X, würden aber ansonsten MAC-Kontrolle machen. Der Vorteil hier ist aus meiner Sicht nur die Einfachheit: Du brauchst nur das Wissen über die Physik des Clients, nicht aber irgendwas auf dem Client selbst. Dies kann aber auch ein Nachteil sein: Schafft jemand, auf einem als vertrauenswürdig eingestuften Endgerät ein anderes OS zu booten, schon ist auch jenes für den Netzwerkzugriff zugelassen. Und auch die Verwandtschaft zwischen der LAN- und der WLAN-Schnittstelle eines Rechners muss man im herkömmlichen NAC organisatorisch pflegen, währen bei 802.1X mit Zertifikaten alle Schnittstellen mit einer Identität bedient werden können.

 

Ich bin persönlich ein Freund von 802.1X. Es gibt aber sehr wohl Einsatzszenarien, wo ein anderes NAC besser geeignet ist.

[donnervogel515 13]

vor 23 Stunden schrieb cj_berlin:

Moin,

 

"besser" ist in der IT immer so eine Sache. Token Ring war "besser" (aus Ingenieurssicht) als Ethernet, NetWare war besser als NT3.51 (in dem, was sie beide konnten). Und wo sind diese "besseren" Technologien jetzt?

 

Es gibt richtig abgefahrene Lösungen, die elektromagnetische Profile der LAN-Adapter aufzeichnen, d.h. wenn Du zwar die gleiche Karte, aber mit einem anderen SFP nimmst, bist Du schon ein Fremder. Ist das besser? Kommt darauf an. Was gern genommen wird, und das war zu 2008R2-Zeiten gefühlt noch weiter verbreitet, ist so etwas wie MACMON oder ARP-GUARD. Beide können auf Wunsch auch 802.1X, würden aber ansonsten MAC-Kontrolle machen. Der Vorteil hier ist aus meiner Sicht nur die Einfachheit: Du brauchst nur das Wissen über die Physik des Clients, nicht aber irgendwas auf dem Client selbst. Dies kann aber auch ein Nachteil sein: Schafft jemand, auf einem als vertrauenswürdig eingestuften Endgerät ein anderes OS zu booten, schon ist auch jenes für den Netzwerkzugriff zugelassen. Und auch die Verwandtschaft zwischen der LAN- und der WLAN-Schnittstelle eines Rechners muss man im herkömmlichen NAC organisatorisch pflegen, währen bei 802.1X mit Zertifikaten alle Schnittstellen mit einer Identität bedient werden können.

 

Ich bin persönlich ein Freund von 802.1X. Es gibt aber sehr wohl Einsatzszenarien, wo ein anderes NAC besser geeignet ist.

Da hast du schon Recht....besser ist so ein Begriff in der IT

 

Also werde ich mich mit 802.1X auf verkabelter Ebene mal wieder anfreunden

vor 23 Stunden schrieb NorbertFe:

802.1x ist immer noch ne gute Wahl. Ob die bordmittel von ms dazu zählen, muss man wohl selbst entscheiden. ;)

Das mag sein, was wäre den für dich eine Alternative als Basis? Auch wenn sich zumindest optisch und gefühlt der Netzwerk Richtlinien Server nicht so sehr verändert hat in den letzten Server Versionen ist der doch eigentlich ganz gut geeignet, oder? Wie gesagt es soll einfache und wenn es geht günstige Basis sein und Windows CA, NPS usw. können es doch.

 

Wo siehst du Vor- und Nachteile?

 

Interessiert mich halt und wenn du deine Erfahrungen teilen mags wäre natürlich toll.

 

Danke

[NorbertFe 2.034]

vor 2 Stunden schrieb donnervogel515:

Auch wenn sich zumindest optisch und gefühlt der Netzwerk Richtlinien Server nicht so sehr verändert hat in den letzten Server Versionen ist der doch eigentlich ganz gut geeignet, oder?

Oder?

spätestens beim Troubleshooting macht der nps keinen Spaß mehr.

[MurdocX 950]

Ab da fängt man dann mit Wireshark an (: Dafür ist es nie zu spät...  

[donnervogel515 13]

vor 12 Stunden schrieb NorbertFe:

Oder?

spätestens beim Troubleshooting macht der nps keinen Spaß mehr.

Das stimmt, da habe ich auch lange im Dunklen suchen können.

 

Aber wie schon geschrieben bin ich ja sehr interessiert, was z.B. du da für eine Alternative vorschlagen würdest. Einfache Testumgebung zum Warmwerden und ggf. als Vorlage für kleine Umgebungen (bis 100 Ports)

[NorbertFe 2.034]

vor 3 Minuten schrieb donnervogel515:

Aber wie schon geschrieben bin ich ja sehr interessiert, was z.B. du da für eine Alternative vorschlagen würdest. Einfache Testumgebung zum Warmwerden und ggf. als Vorlage für kleine Umgebungen (bis 100 Ports)

 

[donnervogel515 13]

Danke, ich such dann mal das Mittel meiner Wahl....und wenn ich was finde teile ich es mit euch.

[zahni 554]

Du kannst mit Boardmitteln auch durchgängig IPSEC implementieren. Allerdings wirst Du es hassen. Port-Security ist übrigens auch nicht zu 100 Prozent sicher.

Siehe den Abschnitt dazu https://de.wikipedia.org/wiki/IEEE_802.1X . Damit NPS sinnvoll funktioniert, muss man es im LAN auch mit 802.1x der Switche verheiraten. 

[NorbertFe 2.034]

vor 6 Minuten schrieb zahni:

Port-Security ist übrigens auch nicht zu 100 Prozent sicher.

Wer hätte das denn vermutet? :)

vor 6 Minuten schrieb zahni:

Du kannst mit Boardmitteln auch durchgängig IPSEC implementieren. Allerdings wirst Du es hassen.

Ich kenne eine große Behörde die das eingesetzt hat(te). ;) Sie haben es alle gehaßt ;) 

[donnervogel515 13]

vor 8 Minuten schrieb zahni:

Du kannst mit Boardmitteln auch durchgängig IPSEC implementieren.

Habe ich schon mal unter Server 2008 R2 (ichglaube die Vorgehensweise ist aber heute mit Boardmitteln noch gleich) gemacht und es hat auch funktioniert....aber es war wirklich furchtbar. 

 

 

vor 11 Minuten schrieb zahni:

Port-Security ist übrigens auch nicht zu 100 Prozent sicher.

Siehe den Abschnitt dazu https://de.wikipedia.org/wiki/IEEE_802.1X . Damit NPS sinnvoll funktioniert, muss man es im LAN auch mit 802.1x der Switche verheiraten. 

Das hatte ich nicht erwähnt, aber das Ziel ist auch die Freigabe der Ports am Switch damit zu steuern /abzusichern

 

Danke

[zahni 554]

vor 6 Minuten schrieb donnervogel515:

Das hatte ich nicht erwähnt, aber das Ziel ist auch die Freigabe der Ports am Switch damit zu steuern /abzusichern

Dann verstehe ich Dein Eingangsposting nicht. Zu 802.1X gibt es dann keine Alternative. Es gibt da noch eine Schmalspur-Version, die nur MAC-Adressen filtert.

NPS stellt am Ende den Radius-Server für die Switche bereit.

[donnervogel515 13]

Die Frage war ja eben ob es das was Anderes gibt. Anscheinend aber ja nicht. MAC-Adressfilterung nehme ich jetzt mal nicht als Alternative mit auf.

 

Die Frage nach der Alternative zu Microsofts NPS hat sich im Verlauf ergeben

[testperson 1.677]

Hi,

 

mir wurde mal Forescout CounterACT® - Network Access Control Software ans Herz gelegt. Kann da aber gar nichts zu beitragen, da ich nicht wirklich danach gefragt hatte. ;)

 

Gruß

Jan