11
Zugriffsbeschränkung mit Protokollierung und Vorgabe von Bedingungen
Ich möchte unser Wireless LAN so aufrüsten, dass sich niemand mehr mit nem einfachen PSK anmelden kann (WPA-Enterprise). Dazu bin ich auf der Suche nach einem RADIUS-Server, der folgende Eigenschaften beherrscht:
- Anmeldung am WLAN über Benutzername und Kennwort
- Protokollierung der Anmeldung am WLAN UND über welchen Access-Point diese erfolgte
- Koppeln von Benutzername mit einem einmaligen Attribut des Laptops, z.B. MAC-Adresse; wenn der Benutzer Franz Mustermann sich anmeldet, soll er erst dann Zugriff bekommen, wenn die MAC-Adresse xyz lautet (Eindämmung von MAC-Spoofing)
- Protokollierung sämtlicher Zugriffe samt Zielports innerhalb des Netzes
Ich habe mir schon unter Windows Server 2008 den Netzwerkrichtlinienserver angeschaut. Der Server bietet sehr gute Einstellungsmöglichkeiten, allerdings kann ich da keine Bedingungen festlegen, wann ein Benutzer sich anmelden kann. Kennt ihr da Alternativprodukte, möglichst Freeware?
- Anmeldung am WLAN über Benutzername und Kennwort
- Protokollierung der Anmeldung am WLAN UND über welchen Access-Point diese erfolgte
- Koppeln von Benutzername mit einem einmaligen Attribut des Laptops, z.B. MAC-Adresse; wenn der Benutzer Franz Mustermann sich anmeldet, soll er erst dann Zugriff bekommen, wenn die MAC-Adresse xyz lautet (Eindämmung von MAC-Spoofing)
- Protokollierung sämtlicher Zugriffe samt Zielports innerhalb des Netzes
Ich habe mir schon unter Windows Server 2008 den Netzwerkrichtlinienserver angeschaut. Der Server bietet sehr gute Einstellungsmöglichkeiten, allerdings kann ich da keine Bedingungen festlegen, wann ein Benutzer sich anmelden kann. Kennt ihr da Alternativprodukte, möglichst Freeware?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 116289
Url: https://administrator.de/contentid/116289
Printed on: April 25, 2024 at 11:04 o'clock
11 Comments
Latest comment
Vielleicht hilft dir das weiter:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Allerdings wird eine Protokollierung der benutzen APs damit nicht ganz einfach.
Mit Windows Bordmitteln kannst du sowas ganz vergessen, denn das erlaubt auch dessen Protokollierungsmöglichkeiten nicht.
Professionelle WLAN Lösungen von Trapeze, Cisco, Meru, Brocade und anderen sind aber Controllerbasierend.
Dort hast du schon per se aufgrund des Produkts alle die von dir geforderten Möglichkeiten als Default zur Verfügung, denn diese sind immer Teil deren Protokollierung die diese Produkte von sich auch schon selber ohne externe Zusätze machen.
Logischerweise bewegst du dich dann dort aber auch in einem anderen Preissegement als wenn du Consumer Billig Accesspoints vom Blödmarkt verwendest die so etwas natürlich nicht bieten können, das ist klar !!
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Allerdings wird eine Protokollierung der benutzen APs damit nicht ganz einfach.
Mit Windows Bordmitteln kannst du sowas ganz vergessen, denn das erlaubt auch dessen Protokollierungsmöglichkeiten nicht.
Professionelle WLAN Lösungen von Trapeze, Cisco, Meru, Brocade und anderen sind aber Controllerbasierend.
Dort hast du schon per se aufgrund des Produkts alle die von dir geforderten Möglichkeiten als Default zur Verfügung, denn diese sind immer Teil deren Protokollierung die diese Produkte von sich auch schon selber ohne externe Zusätze machen.
Logischerweise bewegst du dich dann dort aber auch in einem anderen Preissegement als wenn du Consumer Billig Accesspoints vom Blödmarkt verwendest die so etwas natürlich nicht bieten können, das ist klar !!
Gibt es keinen Radius-Server, der diese Funktionen bereitstellen kann? Ich wollte jetzt nicht noch einen extra Server dafür einrichten.
Vermutlich weisst du nicht wirklich wovon du sprichst.... Ein Radius Server ist ein Authentifizierungs Server, sprich ist also für das Authentifizieren der Benutzer zuständig, nicht aber zum Loggen von Client oder Systemzuständen !!
System und Client Logging kann er aber nicht, denn das macht z.B. ein Syslog Server.
Wenn du ein Unix/Linux System hast kannst du beides auf einem Rechner betreiben (Freeradius.org). Mit Windows IAS und Kiwi Syslog z.B. auch wenn auch weniger komfortabel.
Professionelle WLAN Systeme haben wie oben bereits bemerkt ihre eigenen Logging Mechanismen.
Radius und Syslog benötigst du aber minimal um nur ansatzweise das realisieren zu können was du oben forderst von einem solchen System !!
System und Client Logging kann er aber nicht, denn das macht z.B. ein Syslog Server.
Wenn du ein Unix/Linux System hast kannst du beides auf einem Rechner betreiben (Freeradius.org). Mit Windows IAS und Kiwi Syslog z.B. auch wenn auch weniger komfortabel.
Professionelle WLAN Systeme haben wie oben bereits bemerkt ihre eigenen Logging Mechanismen.
Radius und Syslog benötigst du aber minimal um nur ansatzweise das realisieren zu können was du oben forderst von einem solchen System !!
Sry, das kam meinerseits unklar rüber. Natürlich geht es primär um die Authentifizierung der Benutzer, die Protokollierung ist zweitrangig.
Im Prinzip wäre der NAP-Server unter Windows 2008 nahezu perfekt, das Problem ist nur, dass er mit ner MAC-Adresse nichts anfangen kann, ich kann dort den Punkt "MAC-Adresse" zumindest nicht als Bedingung ranziehen. Gibt es andere Radius-Server, die das können?
Im Prinzip wäre der NAP-Server unter Windows 2008 nahezu perfekt, das Problem ist nur, dass er mit ner MAC-Adresse nichts anfangen kann, ich kann dort den Punkt "MAC-Adresse" zumindest nicht als Bedingung ranziehen. Gibt es andere Radius-Server, die das können?
Ja bei Winblows Server ist es der IAS der immer mitgeliefert ist den du nur installieren musst.
Unter Linux/Unix ist es der meistverbreitete Klassiker www.Freeradius.org
Unter Linux/Unix ist es der meistverbreitete Klassiker www.Freeradius.org
Unter Windows Server 2008 gibts nur noch den NAP, der kann aber keine MACs als Bedingungen annehmen.
Der IAS konnte das aber problemlos !!! Ist eigentlich verwunderlich das MS dann solch einen Wechsel vollzieht.
Wenn der NAP dem IAS gleich ist bist du dir sicher das das nicht klappt mit den Macs ??
Mit Freeradius geht es wenigstens problemlos:
VLAN Konfiguration von FreeRadius
Die IAS Konfig war dazu übrigens analog...
Wenn der NAP dem IAS gleich ist bist du dir sicher das das nicht klappt mit den Macs ??
Mit Freeradius geht es wenigstens problemlos:
VLAN Konfiguration von FreeRadius
Die IAS Konfig war dazu übrigens analog...
Ich habe alles durchgeschaut, ich kann die MAC nicht als Bedingung angeben.
Ich könnt Microsoft echt n paar um die Ohren hauen, Gott da hätte ich wirklich Spass dran.
Es gibt eine Bedingung für die MAC-Adresse, aber die heißt nicht MAC-Adresse, sondern Absender/Empfänger-ID und ist eigentlich ein Punkt für Telefonnummern. Den Hinweis hab ich ganz versteckt im Ereignisprotokoll in einer Fehlermeldung mittendrin gefunden, als unter dem Punkt Empfänger-ID eine MAC-Adressen-ähnliche Zeichenfolge zu finden war. Ich habe dann einfach mal spaßeshalber die MAC-Adresse des Laptops überprüft und siehe da, die MACs stimmen genau überein, gleiches Spiel mit nem anderen Laptop. Nirgends in der Hilfe war auch nur ein Sterbenswörtchen davon zu finden.
Ich krieg da so einen Hals, das hat mich schon wieder drei Stunden gekostet, die ich echt für was besseres hätte einsetzen können. -.-
Es gibt eine Bedingung für die MAC-Adresse, aber die heißt nicht MAC-Adresse, sondern Absender/Empfänger-ID und ist eigentlich ein Punkt für Telefonnummern. Den Hinweis hab ich ganz versteckt im Ereignisprotokoll in einer Fehlermeldung mittendrin gefunden, als unter dem Punkt Empfänger-ID eine MAC-Adressen-ähnliche Zeichenfolge zu finden war. Ich habe dann einfach mal spaßeshalber die MAC-Adresse des Laptops überprüft und siehe da, die MACs stimmen genau überein, gleiches Spiel mit nem anderen Laptop. Nirgends in der Hilfe war auch nur ein Sterbenswörtchen davon zu finden.
Ich krieg da so einen Hals, das hat mich schon wieder drei Stunden gekostet, die ich echt für was besseres hätte einsetzen können. -.-
Eigentlich ist das vollkommen unverständlich, denn der IAS wird in geswitchten Netzen sehr sehr häufig bei dynamischen VLANs bzw. MAC basierten VLANs benutzt.
D.h. der IAS weist dann einem Switchport dynmaisch ein VLAN nach angeschlossener MAC Adresse zu.
Hier findest du ein Hersteller Dokument was dir zeigt wie es beim IAS mit MAC geht.
Wenn der IAS Nachfolger das wirklich nicht hat ist das schon sehr unverständlich von MS ?!
D.h. der IAS weist dann einem Switchport dynmaisch ein VLAN nach angeschlossener MAC Adresse zu.
Hier findest du ein Hersteller Dokument was dir zeigt wie es beim IAS mit MAC geht.
Wenn der IAS Nachfolger das wirklich nicht hat ist das schon sehr unverständlich von MS ?!
Wie gesagt, er hat es, aber es heißt jetzt nicht mehr MAC-Adresse, sondern Absender-ID bzw. Empfänger-ID. Darauf musst du erstmal kommen. Hätte ich nicht ins Ereignisptorokoll geschaut, hätte ich noch in drei Wochen hier gesessen und hätte es nicht rausbekommen.
Wenn ich jetzt nur die Anmeldung am WLAN per Benutzer und Kennwort realisieren könnte, wäre ich einen Schritt weiter. Komischerweise ging alles, als ich die Teststellung unseres Netzes hatte, auch mit WPA2-Enterprise und allen Schikanen. Jetzt im fertigen Netz geht gar nix mehr.
Wenn ich jetzt nur die Anmeldung am WLAN per Benutzer und Kennwort realisieren könnte, wäre ich einen Schritt weiter. Komischerweise ging alles, als ich die Teststellung unseres Netzes hatte, auch mit WPA2-Enterprise und allen Schikanen. Jetzt im fertigen Netz geht gar nix mehr.
