NAP ipsec met 802.1x - Netwerken

dinsdag 9 december 2008 09:36

Acties:

Verwijderd

Topicstarter

Beste tweakers,

Ik ben voor een bedrijf aan het uitzoeken hoe het beste NAP/NAC kan worden geïmplementeerd. En ik ben nu bezig met NAP. De eis is dat gebruikers remote via NAP moeten kunnen werken via VPN (cisco concentrator). En een andere eis is dat ook gebruikers die niet lid zijn van het domein ook gebruik kunnen maken van NAP.

Uit onderzoek is gebleken dat deze wensen alleen met een combinatie van Ipsec en 802.1x enforcement kan, echter vraag ik me af of je met Ipsec alleen ook mensen van buiten het domein kan laten nappen. (bijvoorbeeld klanten leveranciers) Aangezien het via health certificates gaat..weet iemand hier iets zinnigs over te zeggen

[ Voor 6% gewijzigd door Verwijderd op 09-12-2008 09:49 ]

woensdag 10 december 2008 09:07

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Verwijderd schreef op dinsdag 09 december 2008 @ 09:36:
Uit onderzoek is gebleken dat deze wensen alleen met een combinatie van Ipsec en 802.1x enforcement kan, echter vraag ik me af of je met Ipsec alleen ook mensen van buiten het domein kan laten nappen. (bijvoorbeeld klanten leveranciers) Aangezien het via health certificates gaat..weet iemand hier iets zinnigs over te zeggen

NAP werkt niet via health certificates, maar via Health validators. Da's een stuk software op een windows systeem wat controleerd of de werkplek voldoet aan de Health Policy die op de NPS (Network Policy Server) ingesteld staat. Afhankelijk van de uitkomst van deze Health check krijgt het systeem toegang tot zogenaamde "Remedy Servers", beperkte toegang of helemaal geen toegang. Da's dus compleet afhankelijk van welke instellingen er door de beheerder ingesteld zijn.

De manier waarop je de toegang beperkt is afhankelijk van de hardware die je gebruikt. Gebruik je bv. switches met 802.1x ondersteuning, dan kun je eea met VLAN's op je switches regelen. Heb je deze echter niet, dan kun je met IPsec policy's een hoop regelen. (overigens kun je ook nog eea regelen via je DHCP server, maar dat is een beetje een waardeloze oplossing)

Lees de white paper even door, daar staat wel voldoende info in:

http://www.microsoft.com/...c5ccdcf490&displaylang=en

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 17 december 2008 13:20

Acties:

Verwijderd

Topicstarter

Question Mark schreef op woensdag 10 december 2008 @ 09:07:
[...]
NAP werkt niet via health certificates, maar via Health validators. Da's een stuk software op een windows systeem wat controleerd of de werkplek voldoet aan de Health Policy die op de NPS (Network Policy Server) ingesteld staat. Afhankelijk van de uitkomst van deze Health check krijgt het systeem toegang tot zogenaamde "Remedy Servers", beperkte toegang of helemaal geen toegang. Da's dus compleet afhankelijk van welke instellingen er door de beheerder ingesteld zijn.

De manier waarop je de toegang beperkt is afhankelijk van de hardware die je gebruikt. Gebruik je bv. switches met 802.1x ondersteuning, dan kun je eea met VLAN's op je switches regelen. Heb je deze echter niet, dan kun je met IPsec policy's een hoop regelen. (overigens kun je ook nog eea regelen via je DHCP server, maar dat is een beetje een waardeloze oplossing)

Lees de white paper even door, daar staat wel voldoende info in:

http://www.microsoft.com/...c5ccdcf490&displaylang=en

Hm maar wat mijn vraag is, is of 802.1x ook werkt voor remote users, die via een VPN verbinding binnen komen. Een document wat ik gevonden staat in dat dit niet het geval is maar ik wil even een dubbele bron dat dit klopt. Op Microsoft heb ik tot op heden hier nog geen specifiek andwoord op gevonden, maar dit ben ik nog bezig te onderzoeken,

Het klopt dat DHCP geen optie is, buiten het feit dat het een slechte beveiliging is moeten ook tevens alle users in AD staan, en binnen het bedrief hier is het ook de bedoeling dat klanten of bezoekers enzo NAP gaan gebruiken zonder dat ze in de AD staan.

woensdag 17 december 2008 13:27

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Verwijderd schreef op woensdag 17 december 2008 @ 13:20:
[...]en binnen het bedrief hier is het ook de bedoeling dat klanten of bezoekers enzo NAP gaan gebruiken zonder dat ze in de AD staan.

Hoe ga je je users dan valideren als je ze nergens gaat defineren?

Ik neem dat niet iedereen een VPN-verbinding naar jullie organisatie op mag zetten, dus zul je ergens een lijst moeten hebben met users/pc's die toegang mogen hebben.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 18 december 2008 09:01

Acties:

Verwijderd

Topicstarter

Question Mark schreef op woensdag 17 december 2008 @ 13:27:
[...]
Hoe ga je je users dan valideren als je ze nergens gaat defineren?

Ik neem dat niet iedereen een VPN-verbinding naar jullie organisatie op mag zetten, dus zul je ergens een lijst moeten hebben met users/pc's die toegang mogen hebben.

Omdat volgens mij 802.1x en ipsec de pc's valideert in AD ipv van de users. Ik ben nu aan het onderzoeken wat de beste keuze is. Zoals ik al zei moeten vreemde users wel op netwerk kunnen eventueel ook met vreemde pc's echter deze pc's dienen dan wel in het restricted netwerk te komen. En Nap moet werken voor remote

Volgens mij kan al deze wensen alleen met de ipsec methode doen, omdat je met 802.1x volgens mij niet bij remote werkt (maar dit weet ik niet 100% zeker). Het bedrijf heeft gewoon 802.1x switches overigens.

Die VPN gaat via een Cisco concentrator, hoe dit precies in zijn werk gaat moet ik nog even navragen.

[ Voor 5% gewijzigd door Verwijderd op 18-12-2008 10:07 ]

woensdag 24 december 2008 12:18

Acties:

Bl@ckbird

DM me of drop ff een mailtje, als je wat over NAC wil weten.
Overigens ga ik niet alles voorkauwen.

( En vermeldt je email adres in je profiel, of zet DM aan als je bereikbaar wil zijn

)

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~