NAP a ověřování proti MAC klienta

mattv

  • ***
  • 123
    • Zobrazit profil
    • E-mail
NAP a ověřování proti MAC klienta
« kdy: 21. 08. 2011, 22:46:00 »
Zdravím vás všechny. Mám malý dotaz. Učím se s NAP serverem a dost se v něm ztrácím. Je možné nakonfigurovat NAP server tak, aby na WIFI pustil jen ty klienty, kteří mají "trusted"MAC adresu ?

Moje představa je taková, že když příjde do firmy Lojza Novák s notebookem, že by se rád připojil k wifi, tak já jen zanesu jeho MAC do AD a on se najednou k wifi připojí. Je toto vůbec  možné ? Aby to jelo i bez nutnosti importu nějakých certifikátů do klientského PC

Díky moc za pomoc.
« Poslední změna: 22. 08. 2011, 09:22:34 od Petr Krčmář »


Jenda

Re: NAP - ověřování proti MAC klienta
« Odpověď #1 kdy: 21. 08. 2011, 23:11:21 »
Zdravím vás všechny. Mám malý dotaz. Učím se s NAP serverem a dost se v něm strácím. Je možné nakonfigurovat NAP server tak, aby na WIFI pustil jen ty klienty, kteří mají "trusted"MAC adresu ?

Moje představa je taková, že když příjde do firmy Lojza Novák s notebookem, že by se rád připojil k wifi, tak já jen zanesu jeho MAC do AD a on se najednou k wifi připojí. Je toto vůbec  možné ? Aby to jelo i bez nutnosti importu nějakých certifikátů do klientského PC

Díky moc za pomoc.
Možné to je, ale taky to znamená, že když přijde Jimmy Heker, taky se připojí. Jak to? Vždy, když máš zapnutou WiFi, svoji MAC adresu neustále vysíláš kolem sebe. Útočník si zapne třeba Kismet, chvíli poslouchá, a posbírá MAC adresy všech lidí kolem. Potom si nějakou nastaví a přihlásí se.

Takže to nedělej.

mattv

  • ***
  • 123
    • Zobrazit profil
    • E-mail
Re: NAP - ověřování proti MAC klienta
« Odpověď #2 kdy: 21. 08. 2011, 23:34:10 »
Zdravím vás všechny. Mám malý dotaz. Učím se s NAP serverem a dost se v něm strácím. Je možné nakonfigurovat NAP server tak, aby na WIFI pustil jen ty klienty, kteří mají "trusted"MAC adresu ?

Moje představa je taková, že když příjde do firmy Lojza Novák s notebookem, že by se rád připojil k wifi, tak já jen zanesu jeho MAC do AD a on se najednou k wifi připojí. Je toto vůbec  možné ? Aby to jelo i bez nutnosti importu nějakých certifikátů do klientského PC

Díky moc za pomoc.
Možné to je, ale taky to znamená, že když přijde Jimmy Heker, taky se připojí. Jak to? Vždy, když máš zapnutou WiFi, svoji MAC adresu neustále vysíláš kolem sebe. Útočník si zapne třeba Kismet, chvíli poslouchá, a posbírá MAC adresy všech lidí kolem. Potom si nějakou nastaví a přihlásí se.

Takže to nedělej.
Jendo díky, ale tohle mi nepomůže :-) A v tomhle prostředí opravdu nehrozí, že by někdo takový přišel :-) On se tam zase ne každej dostane. Jde spíš o notesy zaměstnanců, které nejsou zaneseny v doméně.

asdfasfd

Re: NAP - ověřování proti MAC klienta
« Odpověď #3 kdy: 22. 08. 2011, 09:48:33 »
Zdravím vás všechny. Mám malý dotaz. Učím se s NAP serverem a dost se v něm strácím. Je možné nakonfigurovat NAP server tak, aby na WIFI pustil jen ty klienty, kteří mají "trusted"MAC adresu ?

Moje představa je taková, že když příjde do firmy Lojza Novák s notebookem, že by se rád připojil k wifi, tak já jen zanesu jeho MAC do AD a on se najednou k wifi připojí. Je toto vůbec  možné ? Aby to jelo i bez nutnosti importu nějakých certifikátů do klientského PC

Díky moc za pomoc.
Možné to je, ale taky to znamená, že když přijde Jimmy Heker, taky se připojí. Jak to? Vždy, když máš zapnutou WiFi, svoji MAC adresu neustále vysíláš kolem sebe. Útočník si zapne třeba Kismet, chvíli poslouchá, a posbírá MAC adresy všech lidí kolem. Potom si nějakou nastaví a přihlásí se.

Takže to nedělej.
Jendo díky, ale tohle mi nepomůže :-) A v tomhle prostředí opravdu nehrozí, že by někdo takový přišel :-) On se tam zase ne každej dostane. Jde spíš o notesy zaměstnanců, které nejsou zaneseny v doméně.
hm, a kdyz se tam jak rikas nikdo nedostane (coz si priznej je dost pravdepodobne blbost), tak proc mas potrebu takovyhodle spatnyho reseni?

mattv

  • ***
  • 123
    • Zobrazit profil
    • E-mail
Re: NAP - ověřování proti MAC klienta
« Odpověď #4 kdy: 22. 08. 2011, 13:19:18 »
Bohužel, požadavek shora. :-( Já osobně bych to řešil přes WPA2, RADIUS a každej přes svůj účet. Jediná nevýhoda je ta, že se musí importovat certifikát CA.

A jde mi o to, použít tu samou věc pro kabelovou síť.


Olaf

Re: NAP a ověřování proti MAC klienta
« Odpověď #5 kdy: 24. 08. 2011, 16:25:20 »
Co takhle "Vyřešeno, díky za snahu"? Aspoň si rozšíříme obzory.

(Viz http://social.technet.microsoft.com/Forums/cs-CZ/windowsservercs/thread/dd252313-8f5f-4499-a145-d2fb94e3c9aa)