Wifi-authenticatie op zowel user als device basis

dinsdag 5 juni 2018 10:25

Acties:

Topicstarter

Goeiemorgen,

Ik stelde volgende vraag reeds in de ubiquiti thread, maar eigenlijk is het een iets algemener probleem.

We bekijken hier de optie om enkele Ubiquiti Unifi AP's aan te schaffen voor gebruik in een bedrijfsomgeving (beperkt aantal gebruikers). We zouden 2 SSID's instellen:
- Guestnetwerk met enkel internettoegang via een shared key
- Bedrijfsnetwerk met authenticatie via Active Directory (radius m.b.v. Windows NPS)

Tot zover krijgen we het wel voor elkaar, maar voor het bedrijfsnetwerk zou ik graag een extra beveiliging inbouwen -> enkel bepaalde devices toelaten. Dit om te vermijden dat smartphones, persoonlijke laptops ... ook verbinding zouden maken. Wat is de beste manier om dit aan te pakken, via een client certificaat? Het zijn allemaal windows-machines die aan het domein hangen.

Volgende gids had ik al gevonden, is dit een goede oplossing?
https://content.spicework..._Group_Policy_Objects.pdf

Bedankt alvast!

dinsdag 5 juni 2018 10:45

Acties:

Wylana

Stiepel schreef op dinsdag 5 juni 2018 @ 10:25:

Tot zover krijgen we het wel voor elkaar, maar voor het bedrijfsnetwerk zou ik graag een extra beveiliging inbouwen -> enkel bepaalde devices toelaten. Dit om te vermijden dat smartphones, persoonlijke laptops ... ook verbinding zouden maken. Wat is de beste manier om dit aan te pakken, via een client certificaat? Het zijn allemaal windows-machines die aan het domein hangen.

Bedankt alvast!

Je zou dat met MAC filtering kunnen doen. Echter moet je dan alle MAC adressen noteren en invoeren.

[ Voor 13% gewijzigd door Wylana op 05-06-2018 10:46 ]

Ik ben steenrijk....ik heb een grindpad!

dinsdag 5 juni 2018 11:01

Acties:

Frogmen

Een mac adres is heel gemakkelijk te spoofen maar aan de andere kant is duidelijk communicatie misschien ook wel een prima oplossing zeker als het samengaat met duidelijk consequenties. Het voordeel is dat je monitoring echt heel erg simpel is, kortom een boefje is zo gesignaleerd.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

dinsdag 5 juni 2018 11:08

Acties:

barry457

kijk eens naar certificaten die jij zelf uitgeeft via je CA.
Ook bij een project zo gedaan. Alle devices waren bij ons in beheer en mochten middels een certificaat die wij uitgaven op het bedrijfsnetwerk. Gasten gingen naar ander SSID op ander VLAN.

Als er naast je certificaat aan nog meer voorwaarden voldaan moet worden, hij moet domain joined zijn.

[ Voor 17% gewijzigd door barry457 op 05-06-2018 11:10 ]

dinsdag 5 juni 2018 22:44

Acties:

laurens0619

Als ik het goed begrijp kun je radius instellen om eap-peap (username en password) of eap-tls (client certificatie) te gebruiken. Een mix kan niet afaik.

De unifi geeft het eap verkeer door dus die instelling zit aan de radius server kant. Of je 2 verschillende modussen kunt opvoeren voor verchillende ssids weet ik niet

CISSP! Drop your encryption keys!

woensdag 6 juni 2018 08:12

Acties:

Frogmen

Je kan het heel erg complex maken maar waar het op neer komt is monitoring van je netwerk en boefjes zo snel mogelijk aanspreken op gedrag. Dit moet je meteen vanaf het begin doen is het snel over en weet iedereen het. Zorg er dus voor dat iedereen weet wanneer je een boefje hebt betrapt.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

woensdag 6 juni 2018 08:16

Acties:

WhizzCat

www.lichtsignaal.nl

AD + certificaten. Dat is denk ik de enige oplossing.

MAC filtering is no-no.

Guest met PSK is ook ouderwets. Gewoon met een captive portal en voorwaarden d'r op (dat is zelfs verplicht meen ik).

Gezocht: netwerkbeheerder
Als je het niet aan een 6-jarige kan uitleggen, snap je er zelf ook niks van! - A. Einstein

Vraag

Alle reacties