127103
May 25, 2016
1538
4
0
802.1x und NAP - Funktionsweise EAP-Quarantäneerzwingungsclient
Hallo, zum Bergfest wieder mal ne harte Nuss...
Ich versuche es mal zu Formulieren.
Basis ist eine 802.1x-Infrastruktur mit NAP
Ziel ist es, dass "Non-Compliant" Rechner nur "Eingeschränkten Zugriff" auf die "Wartungsservergruppe" haben.
Es existiert ein Netzwerkrichtlinien Server (NPS) mit RADIUS. Windows 2008 R2 SP1.
Es ist ein funktionstüchtiger RADIUS Client eingerichtet.
Richtlinien sind konfiguriert.
Systemintegritätsrichtlinien sind OK.
Gruppenrichtlinien laufen erwartungsgemäß.
Wartungsservergruppe ist konfiguriert.
Wenn nun ein "Non-Compliant" PC auf das Netzwerk zugreift, wird sein Status richtig erkannt.
-->
1. Im NAP-Logging wird der Client der richtigen Richtlinie zugeordnet
2. Meldung am Client erscheint / Wartungscenter u. gelbes Ausrufungszeichen am Netzwerksymbol
3. "netsh client show state" liefert "Einschränkungsstatus = Eingeschränkt"
DENNOCH hat der Client vollständigen Zugriff auf das gesamte Netzwerk und nicht nur auf die Wartungsservergruppe.
Das komplette sperren des Netzes, falls der Client Non-Compliant ist, funktioniert perfekt.
Es geht quasi darum den "Eingeschränkten Zugriff" so zu konfigurieren, dass nur die Wartungsservergruppe erreicht wird.
Hab ich einen denkfehler und 802.1x mit NAP kann nur entweder Zugriff oder gar keinen? (NAP mit IPSec oder NAP mit DHCP bietet eingeschränkten Zugriff)
Funktioniert der eingeschränkte Zugriff nur über VLANs?
Und nun die Gretchenfrage:
Was macht denn der (bei mir laufende) EAP-Quarantäneerzwingungsclient, wenn er nicht die Quarantäne erzwingt??
Hoffe es kann mich jemand erleuchten.
Grüße c
Ich versuche es mal zu Formulieren.
Basis ist eine 802.1x-Infrastruktur mit NAP
Ziel ist es, dass "Non-Compliant" Rechner nur "Eingeschränkten Zugriff" auf die "Wartungsservergruppe" haben.
Es existiert ein Netzwerkrichtlinien Server (NPS) mit RADIUS. Windows 2008 R2 SP1.
Es ist ein funktionstüchtiger RADIUS Client eingerichtet.
Richtlinien sind konfiguriert.
Systemintegritätsrichtlinien sind OK.
Gruppenrichtlinien laufen erwartungsgemäß.
Wartungsservergruppe ist konfiguriert.
Wenn nun ein "Non-Compliant" PC auf das Netzwerk zugreift, wird sein Status richtig erkannt.
-->
1. Im NAP-Logging wird der Client der richtigen Richtlinie zugeordnet
2. Meldung am Client erscheint / Wartungscenter u. gelbes Ausrufungszeichen am Netzwerksymbol
3. "netsh client show state" liefert "Einschränkungsstatus = Eingeschränkt"
DENNOCH hat der Client vollständigen Zugriff auf das gesamte Netzwerk und nicht nur auf die Wartungsservergruppe.
Das komplette sperren des Netzes, falls der Client Non-Compliant ist, funktioniert perfekt.
Es geht quasi darum den "Eingeschränkten Zugriff" so zu konfigurieren, dass nur die Wartungsservergruppe erreicht wird.
Hab ich einen denkfehler und 802.1x mit NAP kann nur entweder Zugriff oder gar keinen? (NAP mit IPSec oder NAP mit DHCP bietet eingeschränkten Zugriff)
Funktioniert der eingeschränkte Zugriff nur über VLANs?
Und nun die Gretchenfrage:
Was macht denn der (bei mir laufende) EAP-Quarantäneerzwingungsclient, wenn er nicht die Quarantäne erzwingt??
Hoffe es kann mich jemand erleuchten.
Grüße c
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 305321
Url: https://administrator.de/contentid/305321
Printed on: April 23, 2024 at 10:04 o'clock
4 Comments
Latest comment
anbei ein Bild vom NPS Server damit klar ist was ich wo meine.
(ein Paar Dinge sind geweißt, nicht wundern)
(ein Paar Dinge sind geweißt, nicht wundern)
DENNOCH hat der Client vollständigen Zugriff auf das gesamte Netzwerk und nicht nur auf die Wartungsservergruppe.
Da stimmt dann grundsätzlich was in der dynamischen VLAN Portzuordnung per 802.1x auf den Switch vom Server nicht !Was steht da im Switchlog ??
Bekommt der entsprechende .1x Anweisungen vom Server per Radius ?!
Im Zweifel einen Wireshark Trace machen und checken.
Funktioniert der eingeschränkte Zugriff nur über VLANs?
Ja, wie sollte es sonst gehen ?Non konforme Clients werden dann in einem "Gummizellen" VLAN auf dem Switchport isoliert vom Restnetz. Hier werden sie dann betankt mit den entsprechenden Updates (oder bleiben dort isoliert bis sie compliant sind).
Der NAP Client triggert dann einen neuen Scan, ist der Client dann compliant wird dem Switchport wieder per 802.1x das dann finale Arbeits VLAN des Clients zugewiesen und er kann arbeiten.
So der einfache Mechanismus der dahinter steht.
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Dankeschön dir erstmal.
Mittels Paketfilterung über Firewallregeln, welche mittels Quarantäneerzwingungsclient implementiert werden? War meine Idee...
Wenn das so klar ist, dann ist es kein Wunder, dass man dazu nix findet.
Hauptsächlich werden Konfigurationen mittels DHCP erläutert oder mit IPSec.
Eine Frage bleibt dann noch offen. Wozu dann die "Wartungsserver-Gruppe"?
Gruß c
Mittels Paketfilterung über Firewallregeln, welche mittels Quarantäneerzwingungsclient implementiert werden? War meine Idee...
Wenn das so klar ist, dann ist es kein Wunder, dass man dazu nix findet.
Hauptsächlich werden Konfigurationen mittels DHCP erläutert oder mit IPSec.
Eine Frage bleibt dann noch offen. Wozu dann die "Wartungsserver-Gruppe"?
Gruß c
Nonconform könnte ja auch deaktivierter Firewall bedeuten.
Nö muss um sicher zu sein über V-Lan laufen
Nö muss um sicher zu sein über V-Lan laufen
