none
NAP - ověřování proti MAC klienta

    Dotaz

  • Zdravím vás všechny MS guru. Mám malý dotaz. Učím se s NAP serverem a dost se v něm strácím. Je možné nakonfigurovat NAP server tak, aby na WIFI pustil jen klienty, kteří mají "trusted"MAC adresu ?

    Moje představa je taková, že když příjde do firmy Lojza Novák s notebookem, že by se rád připojil k wifi, tak já jen zanesu jeho MAC do AD a on se najednou k wifi připojí. Je toto vůbec  možné ?

    Díky moc za pomoc.

    21. srpna 2011 20:09

Odpovědi

  • No, neviem, ci by som to nazval "aplikacnou kontrolou" ... Ale ano, tvari sa to tak. Na klientskej stanici existuje SHA (System Health Agent), ktory kontroluje konkretnu polozku, naproti tomu na serveri je potom SHV (System Health Validator), kde ja mozem povedat, co je OK (teda to, co chcem pocut z klienta prostrednictvom prislusneho SHA). Zber informacii cez SHA ma na starosti NAP Agent (sluzba beziaca na OS). By default, od Microsoftu mame SHA/SHV na (kontrolu) Anti-Virus, Anti-Malware, Firewall a Windows Update. Ale je mozne naprogramovat si alebo zakupit si dalsie taketo dvojice na kontrolu inych aspektov OS.

     

    K Vasej povodnej a aj novej otazke - skor nez na NAP sa zamerjate na NPS (Network Policy Server) - zacnite napriklad tu :

    http://technet.microsoft.com/en-us/network/bb629414 alebo tu http://technet.microsoft.com/sk-sk/magazine/2007.12.cableguy(en-us).aspx.

     

    WiFi access pointy a drotovane switche by sa v tomto pripade stali RADIUS klienti (teda NPS klienti), ktori cez RADIUS server (teda NPS Server) autentizuju pripajajucich sa uzivatelov a pocitace. Tu mozete stroje filtrovat pomocou MAC adresy, certifikatu, typu operacneho systemu, clenstva v AD skupine a pod.

     

    Pokial by to znelo prilis komplikovane, verim, ze sa to da riesit kontrolou MAC adries na WiFi AP, rovnako ak aj na manazovatelnych switchoch. Probelm je, ze v pripade drotovanej, ako aj eterickej forme pripojenia hrozi, ze utocnik naklonuje platnu MAC adresu a obide tak kontrolu. Omnoho silnejsim a bezpecnejsim  (ale konfiguracne zlozitejsim) variantom je pouzitie certifikatov v kombinacii s IPSec ...

     

    Boris.

     

    22. srpna 2011 11:25

Všechny reakce

  • Nestacilo by na toto pouzit DHCP rezervace?

     

    MP

    21. srpna 2011 22:06
    Moderátor
  • Možná by stačilo. Ale jde mi o princip udělat to takto. Tedy, pokud je to vůbec možné. Jde mi o to, aby ten člověk třeba nemusel vůbec mít certifikát CA
    21. srpna 2011 22:28
  • Na to aby dostal IP adresu (a měl tím pádem TCP/IP konektivitu) by stačila DHCP rezervace.

     

    A připojení do domény bez účtu uživatele a počítače stejně nepůjde.

     

    Jestli jsem to správně pochopil, tak se snažíte o nemožné. O připojení do domény bez zavedení do domény.


    JCH
    21. srpna 2011 23:11
  • Zdravim.

     

    Myslim, ze to co pozadujete, nepojde cez NAP. NAP riesenie kontroluje "zdravotny" stav klienta, teda v akom stave je FW, anti-malware a aktualizacie. NAP agenta nezaujima MAC adresa stroja. Zisteny stav je z klienta odosielany na pozadovany "resource" (teda napr. na DHCP, VPN, RDG, 802.1x compliant device a pod.) ktory bud poskytne pristup, alebo nie. Vo Vasom pripade by teda bol agent nakonfigurovany pre NAP DHCP Enforcement (Step-by-Step navod), kde by DHCP server bud poskytol, alebo neposkytol TCP/IP konfiguraciu.

     

    Pripominam este raz, NAP agenta nezaujima MAC adresa. Takze bud si napisete vlastne SHA/SHV komponenty pre NAP, ktore budu kontrolovat MAC adresu sietovej karty, alebo pouzite DHCP rezervacie. Teoreticky by bolo mozne na Network Policy Server do politiky uviest aj MAC ako poziadavku pre pripojenie sa, ale pride mi to ako prilis komplikovane riesenie. Zbytocne komplikovane.

     

    Takze, pouzite Pre-shared Key, ktory budete na Wifi pravidelne obmienat, alebo si zavedte DHCP rezervacie. Pripadne nastudujte manual k WiFi access pointu, ci umoznuje filtrovat pripojenych klientov ...

     

    Boris.

     

     

    22. srpna 2011 6:02
  • Díky moc za vysvětlení.

     

    Takže, jestli jsem to dobře pochopil. Tak NAP je vlastně taková "aplikační kontrola" klienta ? Jestli má anti-virus apod. ? A samotné "rozhodovací" kontroly jsou DHCP, 802.1x.. atd. ??

    A potom mám ještě jeden malý dotaz. Nejde tohle udělat aspoň u kabelové sítě ? Aby byly povoleny pouze ty stanice, které mají danou MAC adresu ? I s tím, že by se do nich holt musel importovat certifikát CA.


    22. srpna 2011 11:00
  • No, neviem, ci by som to nazval "aplikacnou kontrolou" ... Ale ano, tvari sa to tak. Na klientskej stanici existuje SHA (System Health Agent), ktory kontroluje konkretnu polozku, naproti tomu na serveri je potom SHV (System Health Validator), kde ja mozem povedat, co je OK (teda to, co chcem pocut z klienta prostrednictvom prislusneho SHA). Zber informacii cez SHA ma na starosti NAP Agent (sluzba beziaca na OS). By default, od Microsoftu mame SHA/SHV na (kontrolu) Anti-Virus, Anti-Malware, Firewall a Windows Update. Ale je mozne naprogramovat si alebo zakupit si dalsie taketo dvojice na kontrolu inych aspektov OS.

     

    K Vasej povodnej a aj novej otazke - skor nez na NAP sa zamerjate na NPS (Network Policy Server) - zacnite napriklad tu :

    http://technet.microsoft.com/en-us/network/bb629414 alebo tu http://technet.microsoft.com/sk-sk/magazine/2007.12.cableguy(en-us).aspx.

     

    WiFi access pointy a drotovane switche by sa v tomto pripade stali RADIUS klienti (teda NPS klienti), ktori cez RADIUS server (teda NPS Server) autentizuju pripajajucich sa uzivatelov a pocitace. Tu mozete stroje filtrovat pomocou MAC adresy, certifikatu, typu operacneho systemu, clenstva v AD skupine a pod.

     

    Pokial by to znelo prilis komplikovane, verim, ze sa to da riesit kontrolou MAC adries na WiFi AP, rovnako ak aj na manazovatelnych switchoch. Probelm je, ze v pripade drotovanej, ako aj eterickej forme pripojenia hrozi, ze utocnik naklonuje platnu MAC adresu a obide tak kontrolu. Omnoho silnejsim a bezpecnejsim  (ale konfiguracne zlozitejsim) variantom je pouzitie certifikatov v kombinacii s IPSec ...

     

    Boris.

     

    22. srpna 2011 11:25
  • Díky mockrát za tak pěkné vysvětlení. To jsem přesně potřeboval. Už tomu začínám docela rozumnět. Jenom poslední otázečka. Je vždycky nutné, aby klienti důvěřovali kořenové CA, která vydala certifikát pro NAP / NPS server ? Na drátové síti v doméně je mi to celkem jedno. Tam se certifikát naimportuje automaticky, jde mi hlavně o notebooky.

     

    Ještě jednou moc děkuju za info.

    22. srpna 2011 15:24
  • Ano, klienti by mali doverovat certifikatu (teda CA, ktora vystavila certifikat pre NPS / NAP server) - http://technet.microsoft.com/en-us/library/cc732781(WS.10).aspx.

     

    Zdravim,

    Boris.

    22. srpna 2011 17:52
  • Výborně. Díky moc za pomoc. Zkusim se do toho zítra pustit. To by bylo, aby to nebylo :-)
    22. srpna 2011 19:01