verschillende vragen over certificaten

Semafoor · 5 okt 2009

Hallo iedereen,

Ik heeb een paar vraagjes over het gebruik van certificaten in een netwerk. Ik heb het even omschreven als een case om het een beetje te verduidelijken voor jullie wat ik precies bedoel.
Ik hoop dat iemand mij antwoord kan geven op een van de onderstaande vragen. Dat zou mij namelijk weer een stuk verder helpen.

CASE:

Een nieuw apparaat wordt aangeschaft:
De administrator maakt het apparaat gebruiksklaar voor de gebruikers. Installeert software en maakt een certificaat aan. Koppelt deze aan het apparaat (op het apparaat zelf zetten?) Wanneer de gebruiker het apparaat aanzet en het aanmeld op het draadloze netwerk (automatisch) komt de gebruiker dmv het certificaat in een bepaalde groep. Deze groep heeft alleen toegand tot een bepaald gedeelte van het netwerk aangezien er ook andere draadloze systemen op het WLAN kunnen en mogen inloggen die geen toegang krijgen tot dat systeem.

Een apparaat is kwijt, wordt verkocht of is kappot:
De administrator registreert welk apparaat het is en blokkeerd het certificaat op de server. Wanneer een gebruiker met het apparaat zich op het draadloze netwerk aanmeld wordt deze actie geweigert en het apparaat geen toegang verleend tot het netwerk.
Wanneer het apparaat terug gevonden / gekregen is wordt het certificaat weer ge deblokkeert. Wanneer de gebruiker het apparaat aanmeld op het netwerk wordt er weer toegang verleend.

VLAN:
nthrzd
thrzd
Certif

VRAAG:
Wat moet er precies worden geinstalleerd/ingesteld op de server behalve het installeren van een CA, IAS en het aanmaken van de certificaten? En hoe kan je het doorverwijzen / koppelen aan een bepaalde groep/vlan het beste regelen? Doormiddel van AP configuraties of zijn daar ook policys voor?

Moet er een extra beveiliging tussen de AP’s en de CA-server? (tsl/ssl/vpn tunnel?)Kan de CA-server ook op een andere server dan waarop de AD is geinstalleerd?

Omdat er verschillende mensen gebruik maken van de draadloze clients wordt er geen gebruik gemaakt van gebruikersaccounts op deze apparaten en is het gebruik van user certificates niet mogelijk. Is het gebruik van PEAP-TLS maar zonder de user-certificates dan wel te realiseren? Of is het gebruik van PEAP-TLS in deze case niet aan te bevelen?

Is het aan te raden om de SSID van de AP te broadcasten in een Broadcast frame of juist niet. En is dit te combineren met bovengestelde vragen.Of is er een betere oplossing?

CRL Certificate revoking list. Is dat in dit geval aan te raden en/of is het verstandiger om de certificaten elke keer te verwijderen of revoken? Of is dat juist het princiepe alchter zo’n lijst?

De AP’s moeten 802.1x compatible zijn. Zijn er verder nog eisen waar ik op moet letten? En zijn die echt benodigd of raad je dat alleen aan?

Ik hoop dat iemand antwoord kan geven op een van deze vragen.

Al vast bedankt!

Semafoor

Meanmachine · 10 okt 2009

t ziet er redelijk onveilig uit, hoe monitor je de pc's van die mensen? op het gebied van het up-to-date houden van anti-virus, windows updates, spyware?

trujillo9 · 20 nov 2009

pfff wat een vragen heb jij. goed bezig. ik zal je prberen te helpen met het beantwoorden van je vragen zover me dit luktIk hoop dat iemand antwoord kan geven op een van deze vragen.

VRAAG:
- Wat moet er precies worden geinstalleerd/ingesteld op de server behalve het installeren van een CA, IAS en het aanmaken van de certificaten?
antwoord: IIS en uiteraard op een DC

En hoe kan je het doorverwijzen / koppelen aan een bepaalde groep/vlan het beste regelen? Doormiddel van AP configuraties of zijn daar ook policys voor?
antwoord: Kan ik geen antwoord opgeven, ken de scenario hier niet goed genoeg voor

Moet er een extra beveiliging tussen de AP’s en de CA-server? (tsl/ssl/vpn tunnel?)
Hangt af of authenticatie intern alleen gebeurd of ook extern autheticatie nodig is.
Voor Intern is het niet extra nodig. Voor Extern zou ik het wel doen voor of een vpn of een gateway met tls/ssl enabled

Kan de CA-server ook op een andere server dan waarop de AD is geinstalleerd?
Ja dat kan. hou rekening met het volgende: de CA MOET zijn naam behouden. het beste is om de ca over te zetten naar een nieuwe server met dezelfde naam. zorg wel ervoor dat je metaclean gebruikt op een gezonde server om alle informatie van de oude server te verwijderen. je kan in site en services makkelijk zien of het is gelukt.

een 2e mogelijkheid is idd een nieuwe server in te richten en ee nieuwe hostnaam op te geven voor de server. nogmaals de naam van CA mag niet verandert worden. Zorg dat je een backup hebt van de oude ca en alle sleutels en van het CRL bestand. Verleng deze CRL bestand. Let op! je moet eerst de oude CA deinstalleeren voor je een nieuwe installeerd ondat ca informatie opslaat in AD. dit geeft anders conflicten.

Omdat er verschillende mensen gebruik maken van de draadloze clients wordt er geen gebruik gemaakt van gebruikersaccounts op deze apparaten en is het gebruik van user certificates niet mogelijk.
antwoord: jammer

Is het gebruik van PEAP-TLS maar zonder de user-certificates dan wel te realiseren? Of is het gebruik van PEAP-TLS in deze case niet aan te bevelen?
antwoord: ja het is mogelijk PEAP-TLS doet geen authenticatie op gebruikersniveau, maar wel server EN clientauthenticatie. je kan ook kiezen voor PEAP-MS-CHAP v2. dit is ook een authenticatie maar mogelijk om daarnaast ook authenticatie te doen via logincredentials

Is het aan te raden om de SSID van de AP te broadcasten in een Broadcast frame of juist niet. En is dit te combineren met bovengestelde vragen.Of is er een betere oplossing?
antwoord: zou niet weten wat het probleem zou zijn om het niet te broadcasten. er is altijd wel een puntje wat veilig/ onveilig kan zijn.

CRL Certificate revoking list. Is dat in dit geval aan te raden en/of is het verstandiger om de certificaten elke keer te verwijderen of revoken? Of is dat juist het princiepe alchter zo’n lijst? Ja dit blijft ten alle tijden verstandig. Als je een certificaat revoked zorg dan wel dat je het de status " certificate hold" geeft. Anders kan je het namelijk niet meer unrevoken.

De AP’s moeten 802.1x compatible zijn. Zijn er verder nog eisen waar ik op moet letten? En zijn die echt benodigd of raad je dat alleen aan?
eh... deze vraag laat ik bij jullie zelf

Hoop dat je er wat aan hebt.

gr.:thumb:

trujillo9 · 20 nov 2009

pfff wat een vragen heb jij. goed bezig. ik zal je prberen te helpen met het beantwoorden van je vragen zover me dit luktIk hoop dat iemand antwoord kan geven op een van deze vragen.

VRAAG:
- Wat moet er precies worden geinstalleerd/ingesteld op de server behalve het installeren van een CA, IAS en het aanmaken van de certificaten?
antwoord: IIS en uiteraard op een DC

En hoe kan je het doorverwijzen / koppelen aan een bepaalde groep/vlan het beste regelen? Doormiddel van AP configuraties of zijn daar ook policys voor?
antwoord: Kan ik geen antwoord opgeven, ken de scenario hier niet goed genoeg voor

Moet er een extra beveiliging tussen de AP’s en de CA-server? (tsl/ssl/vpn tunnel?)
Hangt af of authenticatie intern alleen gebeurd of ook extern autheticatie nodig is.
Voor Intern is het niet extra nodig. Voor Extern zou ik het wel doen voor of een vpn of een gateway met tls/ssl enabled

Kan de CA-server ook op een andere server dan waarop de AD is geinstalleerd?
Ja dat kan. hou rekening met het volgende: de CA MOET zijn naam behouden. het beste is om de ca over te zetten naar een nieuwe server met dezelfde naam. zorg wel ervoor dat je metaclean gebruikt op een gezonde server om alle informatie van de oude server te verwijderen. je kan in site en services makkelijk zien of het is gelukt.

een 2e mogelijkheid is idd een nieuwe server in te richten en ee nieuwe hostnaam op te geven voor de server. nogmaals de naam van CA mag niet verandert worden. Zorg dat je een backup hebt van de oude ca en alle sleutels en van het CRL bestand. Verleng deze CRL bestand. Let op! je moet eerst de oude CA deinstalleeren voor je een nieuwe installeerd ondat ca informatie opslaat in AD. dit geeft anders conflicten.

Omdat er verschillende mensen gebruik maken van de draadloze clients wordt er geen gebruik gemaakt van gebruikersaccounts op deze apparaten en is het gebruik van user certificates niet mogelijk.
antwoord: jammer

Is het gebruik van PEAP-TLS maar zonder de user-certificates dan wel te realiseren? Of is het gebruik van PEAP-TLS in deze case niet aan te bevelen?
antwoord: ja het is mogelijk PEAP-TLS doet geen authenticatie op gebruikersniveau, maar wel server EN clientauthenticatie. je kan ook kiezen voor PEAP-MS-CHAP v2. dit is ook een authenticatie maar mogelijk om daarnaast ook authenticatie te doen via logincredentials

Is het aan te raden om de SSID van de AP te broadcasten in een Broadcast frame of juist niet. En is dit te combineren met bovengestelde vragen.Of is er een betere oplossing?
antwoord: zou niet weten wat het probleem zou zijn om het niet te broadcasten. er is altijd wel een puntje wat veilig/ onveilig kan zijn.

CRL Certificate revoking list. Is dat in dit geval aan te raden en/of is het verstandiger om de certificaten elke keer te verwijderen of revoken? Of is dat juist het princiepe alchter zo’n lijst? Ja dit blijft ten alle tijden verstandig. Als je een certificaat revoked zorg dan wel dat je het de status " certificate hold" geeft. Anders kan je het namelijk niet meer unrevoken.

De AP’s moeten 802.1x compatible zijn. Zijn er verder nog eisen waar ik op moet letten? En zijn die echt benodigd of raad je dat alleen aan?
eh... deze vraag laat ik bij jullie zelf

Hoop dat je er wat aan hebt.

gr.:thumb:

Semafoor · 15 dec 2009

Excuses voor mijn late reactie,
Ik heb inderdaad veel aan deze gegevens. Dank je wel.

verschillende vragen over certificaten

Semafoor

Gebruiker

Meanmachine

Gebruiker

trujillo9

Gebruiker

trujillo9

Gebruiker

Semafoor

Gebruiker

Nieuwste berichten

Wij waarderen jouw privacy