Greaf 10 Geschrieben 25. Juli 2006 Melden Teilen Geschrieben 25. Juli 2006 Hallo zusammen, ich beschäftige mich seit einiger Zeit mit 802.1X und der Authentifizierung über Zertifikate. Allerdings ermöglicht mir 802.1X nur eine sichere Authentifizierung, der Netzwerktraffic nach der erfolgreichen Authentifizerung, also wenn der Port geöffnet ist, bleibt weiterhin unverschlüsselt. Gibt es denn eine Möglichkeit den Netzwerktraffic im LAN komplett zu verschlüsseln und den Schlüsel entsprechend dynamisch in Intervallen zu ändern? Ich wäre für Lösungsmöglichkeiten bzw. Quellen sehr dankbar. Dank Euch. Grüße Greaf Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 25. Juli 2006 Melden Teilen Geschrieben 25. Juli 2006 Naja, IPSec ... Zitieren Link zu diesem Kommentar
Greaf 10 Geschrieben 26. Juli 2006 Autor Melden Teilen Geschrieben 26. Juli 2006 Naja, IPSec ermöglicht zwar die Verwendung eines Tunnels, aber garantiert es denn auch eine sichere Authentifizierung von Client und Netzwerk. Macht es denn Sinn ein LAN mit 1000+ Rechnern mit IPSec zu schützen, sprich für jeden Rechner einen Tunnel mit dem Netzwerk aufzubauen? Ich würde mich auch über ein paar gute Links zu dem Thema freuen. Zitieren Link zu diesem Kommentar
onewayticket 10 Geschrieben 26. Juli 2006 Melden Teilen Geschrieben 26. Juli 2006 Hallo, ich denke Du hast da ein Verständnisproblem. IPSEC setzt nicht Automatisch einen Tunnel voraus. Du kannst z.B. die vorhandenen Sicherheitsvorlagen benutzen. Vielleicht hilft Dir dieser Link weiter http://www.microsoft.com/germany/technet/datenbank/articles/900348.mspx MfG Onewayticket Zitieren Link zu diesem Kommentar
Padde 10 Geschrieben 26. Juli 2006 Melden Teilen Geschrieben 26. Juli 2006 Hallo, du willst 1000 Rechner über WLAN vernetzen? Grundsätzlich sollte die Verkabelung der Rechner die deutlich bessere Möglichkeit sein, wenn diese sich nicht bewegen(Desktop Rechner). Dann hast du weniger Störungen und kannst dir grundsätzlich die Verschlüsselung sparen, was das ganze wieder schneller macht. Mal aus reinem Interesse, was ist das für ein Netz, das du da bauen willst? Gruß Padde Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 26. Juli 2006 Melden Teilen Geschrieben 26. Juli 2006 Hallo,du willst 1000 Rechner über WLAN vernetzen? Vielleicht trügen mich meine alten Augen, aber du bist in diesem Thread bisher der einzige, der das Wort WLAN aufgeworfen hat. Wo steht, dass er 1.000 Rechner per WLAN vernetzen will :confused: Villeicht noch mal für dich zum Lesen: Zitat Greaf: ...Möglichkeit den Netzwerktraffic im LAN komplett zu verschlüsseln ... .... Sinn ein LAN mit 1000+ Rechnern .... @Greaf: Naja, IPSec ermöglicht zwar die Verwendung eines Tunnels, aber garantiert es denn auch eine sichere Authentifizierung von Client und Netzwerk. Wie mein Vorschreiber schon sagte, IPSEc setzt nicht ein Tunnel voraus, IPSec baut auch keinen Tunnel in dem Sinne auf, sondern bietet mir Verschlüsselung. Die Authentifizierung der Rechner habe ich mit IPSec auch, entweder Kerberos oder zertifikate. Sollte eigentlich als sichere Authentifizierung gelten. IPSec ist deine Lösung, du solltest dich aber unbedingt näher damit beschäftigen. Bei Microsoft gibt es ewig Links dazu ;) grizzly999 Zitieren Link zu diesem Kommentar
Greaf 10 Geschrieben 26. Juli 2006 Autor Melden Teilen Geschrieben 26. Juli 2006 Hallo zusammen und danke für die Infos. @Padde Natürlich will ich nicht 1000+ Rechner per WLAN vernetzen, sondern wie Grizzly schon festgestellt per Kabel verdrahten. Folgendes muss für das Netz gelten: - Es sollte sich niemand mit einem Nicht-Domänen-Computer im Netzwerk bewegen können: Meine angedachte Lösung: 802.1X mit TLS zur Authentifizierung. Nur Computerzertifikate zur Authentifizierung. Da PXE-Boot verwendet werden muss zwei VLANs: 1. Default = DHCP, CA, Softwareinstallationsserver 2. erfolgreiche Authentifizierung per Computerzertifikat = komplett frei Hier kenne ich mich gut aus. Das sollte kein Problem mehr darstellen. Hier das Problem - Der Datentransfer sollte nicht "mitgelauscht" werden können. Da bei 802.1X nur die Authentifizierung verschlüsselt ist, kann man mit sehr einfachen Mitteln dennoch den vollen Datentransfer mitlauschen. Daher würde ich gerne den Datentransfer verschlüsseln. Kann man eine kombinierte Lösung 802.1X mit IPSec Tunneled Mode implementieren? Mit IPSec kenne ich mich eher bescheiden aus. Daher stelle ich auch die dämlichen Fragen. Oder würde eine reine IPSec-Implementierung reichen? Dort hätte ich aber nicht den Vorteil, dass eine Authentifizierung am Edge-Device (dem ersten Switch) erfolgen muss. Ich tue mir etwas schwer und hoffe auf Tips und Antworten. Dank Euch ;) Gruß Greaf Zitieren Link zu diesem Kommentar
xcode-tobi 10 Geschrieben 26. Juli 2006 Melden Teilen Geschrieben 26. Juli 2006 also wenn du den Server auf "Sicherheit erforderlich" stellst (IPSec), muss sich der anmeldende Client mit IPsec authenfizieren! die einzige Verbindung die dann nicht gesichert ist und sein kann, ist wohl die Anfrage vom Client und eine evtl. Antwort vom Server, der IPsec haben will... somit sollten dann alle mitglieder in der domäne gesichert sein! um unerwünschte Hardware auszuschliessen, sollte noch eine Port-Security eingesetzt werden, welche an jeden Switch-Port nur jeweils eine MAC durchlässt... Zitieren Link zu diesem Kommentar
Greaf 10 Geschrieben 26. Juli 2006 Autor Melden Teilen Geschrieben 26. Juli 2006 @xcode-tobi Ok, stellt man die Ports der Cisco-Switches auf Single-Host-Mode wird nur eine Mac duchgelassen. Problem erschlagen. Aber: Fälsche ich allerdings diese MAC mit der Verwendung eines Hubs dazwischen und zieh den bereits authentifizierten Rechner raus, habe ich dann eine freie Verbindung, wie bei der Verwendung von 802.1X oder wird die Verbindung mit IPSec dann wertlos bzw. trennt sich sogar? Zitieren Link zu diesem Kommentar
xcode-tobi 10 Geschrieben 26. Juli 2006 Melden Teilen Geschrieben 26. Juli 2006 @xcode-tobiOk, stellt man die Ports der Cisco-Switches auf Single-Host-Mode wird nur eine Mac duchgelassen. Problem erschlagen. Aber: Fälsche ich allerdings diese MAC mit der Verwendung eines Hubs dazwischen und zieh den bereits authentifizierten Rechner raus, habe ich dann eine freie Verbindung, wie bei der Verwendung von 802.1X oder wird die Verbindung mit IPSec dann wertlos bzw. trennt sich sogar? gut, klar können die MAC's geklont werden, aber es ist zumindest eine Hürde über die der "laie" erst mal muss... Ich meine der "neue" Client muss sich ja dann auch wieder im AD, also am Server, anmelden und sich per IPsec authentifizieren. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.