Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit Erkennung und -Abwehr

RFID und RADIUS

Mitglied: daniel-sidma

daniel-sidma (Level 1) - Jetzt verbinden

31.01.2014 um 13:22 Uhr, 1540 Aufrufe, 6 Kommentare

Hallo,

Brauche eure Hilfe bei folgender Aufgabe:

Ein Enduser (Windows 7 Rechner) möchte sich auf einem Switch anstecken.
Um die Datenleitung zu aktivieren muss er seinen RFID Chip über einen Leser ziehen.

Die ID des Chips ist am RADIUS Server hinterlegt.
Das heißt jemand muss jetzt eine 802.1X Abfrage zum RADIUS senden mit der ID des Chips.


Steckt der Leser per USB am Rechner könnte eine Software die Kommunikation übernehmen.
Steckt der Leser direkt am Kabel quasi als Brücke müsste dieser die Verbindung freischalten.

Gibt es so ein System oder Hersteller mit solchen Lösungen?
Wie würdet ihr es lösen?


Danke und viele Grüße
Daniel


Mitglied: Pjordorf
31.01.2014 um 14:11 Uhr
Hallo,

Zitat von daniel-sidma:
Ein Enduser (Windows 7 Rechner) möchte sich auf einem Switch anstecken.
Der Benutzer hat auch eine Schnittstelle oder ist hier nur der Rechner sprich das Gerät gemeint?

Um die Datenleitung zu aktivieren muss er seinen RFID Chip über einen Leser ziehen.
Wird mit Datenleitung hier die LAN Schnittstelle des Rechners gemeint?

Das heißt jemand muss jetzt eine 802.1X Abfrage zum RADIUS senden mit der ID des Chips.
Über UMTS oder wie soll das erfolgen wenn deine Datenleitung deaktiviert ist?

Steckt der Leser per USB am Rechner könnte eine Software die Kommunikation übernehmen.
Wohin und womit? Deine Datenleitung ist doch noch deaktiviert

Steckt der Leser direkt am Kabel quasi als Brücke müsste dieser die Verbindung freischalten.
Welche Verbindung ist denn jetzt gemeint?

Wie würdet ihr es lösen?
Was? Eine Authentifizierung nach 802.1X über eine Deaktivierte Datenleitung zu Senden bzw. Empfangen?

Gruß,
Peter
Bitte warten ..
Mitglied: daniel-sidma
31.01.2014 um 14:39 Uhr
Zitat von Pjordorf:

Hallo,

> Zitat von daniel-sidma:
> Ein Enduser (Windows 7 Rechner) möchte sich auf einem Switch anstecken.
Der Benutzer hat auch eine Schnittstelle oder ist hier nur der Rechner sprich das Gerät gemeint?

Das Gerät hat eine Ethernet Schnittstelle. Diese wird über ein Patchkabel mit dem Switch verbunden.


> Um die Datenleitung zu aktivieren muss er seinen RFID Chip über einen Leser ziehen.
Wird mit Datenleitung hier die LAN Schnittstelle des Rechners gemeint?

Mit Datenleitung wird der Port am Switch gemeint. Die LAN Schnittstelle am Rechner ist immer aktiv.


> Das heißt jemand muss jetzt eine 802.1X Abfrage zum RADIUS senden mit der ID des Chips.
Über UMTS oder wie soll das erfolgen wenn deine Datenleitung deaktiviert ist?


Wie kommst du auf UMTS??? der Switch ist mit dem radius verbunden. Wie diese Verbunden sind ist ja egal oder?

> Steckt der Leser per USB am Rechner könnte eine Software die Kommunikation übernehmen.
Wohin und womit? Deine Datenleitung ist doch noch deaktiviert


Wie oben beschrieben nimmst du hier anscheinend an dass die LAN Schnittstelle am Rechner deaktivert ist. Das ist nicht der Fall!!

> Steckt der Leser direkt am Kabel quasi als Brücke müsste dieser die Verbindung freischalten.
Welche Verbindung ist denn jetzt gemeint?

"Brücke" zum Switch. Auf der anderen Seite der Brücke steckt der Rechner mit aktiver LAN Schnittstelle.

> Wie würdet ihr es lösen?
Was? Eine Authentifizierung nach 802.1X über eine Deaktivierte Datenleitung zu Senden bzw. Empfangen?


Bitte nicht falsch verstehen, ich will mit den RFID Chip entscheiden wer den Port am Switch benutzen darf.
In meinem Beispiel hängt bereits ein Patchkabel auf dem Port --> Das ist die Datenleitung.
Sorry falls du es falsch verstanden hast.

Gruß,
Daniel
Bitte warten ..
Mitglied: aqui
31.01.2014, aktualisiert um 17:30 Uhr
Das ist logischerweise technisch nicht möglich wenn der Leser per LAN erreicht werden muss. Leuchtet ja auch sofort ein wenn man mal nachdenkt, denn der Switchport ist blockiert wenn der PC nicht authorisiert ist.
Das einzige was du machen kannst in dem Fall ist den User mit einem kleinen 5 Euro 5 Port Miniswitch mit USB Speisung auszurüsten wo er PC und Leser zusammensteckt und dann mit dem Switchport verbindet.
Dann kann er den Leser erreichen und wenn er authorisiert ist öffnet sich auch der Switchport.
Aus praktischer Sicht klingt sowas nach "Von hinten durch die Brust ins Auge..." kein User wird sich so eine Frickelei gefallen lassen.
Die Lösung ist also mehr oder weniger unpraktikabel. Ein Leser mit USB ist da sinnvoller...noch besser ein kleiner Schlüsselanhänger der auf Knopfdruck ein Einmaltoken erzeugt, was ja auch state of the art ist.
Bitte warten ..
Mitglied: daniel-sidma
05.02.2014 um 09:59 Uhr
Hi,

Größtes Problem an dieser Stelle ist, dass sich jeder einfach auf einem anderen Port am Switch anstecken könnte.
Es gibt ja kein "weiteres" Netzwerk. Also nach dem Switch ist schluss.
Das heißt die höchste Sicherheitsmaßnahme ist dann die mac Addr. Filterung.

Auch wenn die "state of the art" Lösung ein Einmaltoken ist stellt sich immer wieder die Frage: Wer kontrolliert das ja oder nein??

und sorry - ob sich die User das gefallen lassen steht in diesem Fall nicht zur Debatte.

Gruß,
Daniel
Bitte warten ..
Mitglied: Cthluhu
05.02.2014 um 10:17 Uhr
Hi Daniel,

Ich denk mal einfach um die Ecke:
  • Konfiguriere ungenutzte Switch-Ports in ein VLAN in dem nichts zu erreichen ist, außer ein Authentifizierungsserver und DHCP
  • Die User loggen sich über ein Minimalsystem ein (lokales Profil, da ja die Server nicht erreichbar sind), starten dort ein RFID-Tool und lesen Ihre Karte aus.
  • Der Authentifizierungsserver erkennt eine gültige RFID Karte und konfiguriert das VLAN um, so dass der Rechner nun im internen Netz ist.
  • Die User melden sich vom lokalen Account ab und können sich in die Domäne einloggen.

Praktisch für den User ist es halt nicht, aber das steht ja (wie du grade erwähnt hast), eh nicht zur Debatte.

mfg

Cthluhu
Bitte warten ..
Mitglied: aqui
05.02.2014, aktualisiert um 11:16 Uhr
Größtes Problem an dieser Stelle ist, dass sich jeder einfach auf einem anderen Port am Switch anstecken könnte.
Das ist ja nicht wirklich das Problem...das siehst du ganz falsch so wie du es geschildert hast !
Wenn du den kleinen 5 Port Switch in der Tasche hast ist es ja vollkommen egal an welchem Switchport du hängst ! Für dich relevant ist ja einzig nur den LAN attachten RFID Leser zu erreichen, was ja auch so problemlos klappt.
Die Lösung ist ja nur völlig inpraktikabel, denn wer will immer dieses Equipment mit sich rumtragen nur um sich per 802.1x in ein Netzwerk einzuwählen. Technisch machbar aber Praxisbezogen von der Handhabung totaler Unsinn !
Aber du hast natürlich Recht wenn das nicht zur Debatte steht ist das alles so problemlos machbar...keinen Frage
Auch wenn die "state of the art" Lösung ein Einmaltoken ist stellt sich immer wieder die Frage: Wer kontrolliert das ja oder nein??
Das kontrolliert logischerweise ein zentraler Radius Server an einem MAC Filter abgesicherten Switchport ! Wie sollte es sonst gehen ??
Aber Kollege chitulu ist da schon auf dem richtigen Weg...
User ie sich nicht authentisieren landen dynamisch in einem isolierten "Gummizellen" VLAN in dem der RFID Leser steht. An dem authentisieren sie sich dann und führen eine 802.1x Reauthentisierung durch und bekommen dann bei erfolgreicher Authentisierung dynamisch per 802.1x ein neues VLAN zugewiesen et voila... und sind da wo sie hinsollen.
Bei denen wo es fehlschlägt die bleiben in der Gummizelle...ganz einfach.
Im Grunde ist die Umsetzung technisch gesehen kinderleicht ! Wo ist denn genau noch dein Problem ?
Bitte warten ..
Ähnliche Inhalte
Drucker und Scanner
Scannen mit RFID-Authentifizierung
gelöst Frage von DerWoWussteDrucker und Scanner15 Kommentare

Moin Kollegen, da es mir in der Cebit-Scannerhalle nicht recht gelungen ist, etwas Passendes zu finden, frage ich einmal ...

Microsoft
RFID zu Tastatur eingabe
gelöst Frage von schneerunzelMicrosoft4 Kommentare

Hallo zusammen, ich habe folgende "einfach" Situation: Ich habe einen RFID Reader, der per RS232 an meinem Rechner angeschlossen ...

Sicherheit
2FA mit RFID - Erfahrungen gesucht
Frage von DerWoWussteSicherheit1 Kommentar

Moin Kollegen. Wir suchen nach Infos zu Möglichkeiten der 2-Faktor-Authentifizierung mit den vorhandenen RFID-Chips, welche wir bereits für die ...

Windows Server
RFID SmartCard Anmeldung ohne PIN
Frage von podoguWindows Server9 Kommentare

Hallo liebe Gemeinde, wir haben von einem Kunden den Auftrag bekommen in einer Windows 2008 R2 Domäne mit Windows ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...

Batch & Shell
Shell-Skript - Syntax error: Unterminated quoted string
Frage von newit1Batch & Shell13 Kommentare

Hallo Ich schreibe ein Skript das eine CSV-Datei in eine mySQL Datenbank schieben soll. Bekomme nach start des Skrips ...

E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...