---

Hej NG'er.

Hvad er det nu lige den standard hedder, som foretager sikkerheds-check på
switchport niveau ??
802.??

Switchen får link, og spørger herefter en central placeret enhed (Domain
Contr. eller RADIUS-server ??) om authendication, samt placere vedkommende i
rette VLAN.
Jeg leder efter Nortel og Cisco switche der kan dette trick, men ved ikke
(kan ikke huske) hvilke stikord jeg skal kigge efter.

Pfht. Morten

---

On Mon, 13 Dec 2004 11:04:01 +0100, "Morten Koch"
<mkoch[@ntispam]mail.dk> wrote:

> Hvad er det nu lige den standard hedder, som foretager sikkerheds-check på
> switchport niveau ??
> 802.??

802.1x

-A

---

>
> 802.1x
>
> -A

Er den ikke kun brugt ved wireless løsninger ??
Authendikerer den mod DC eller RADIUS eller begge ??
Kan jeg også få mine brugere smidt i tilknyttede VLAN, uden at porten er
statisk medlem af det pågældende VLAN ??

Mvh Morten

---

On Mon, 13 Dec 2004 12:01:28 +0100, "Morten Koch"
<mkoch[@ntispam]mail.dk> wrote:

>> 802.1x

> Er den ikke kun brugt ved wireless løsninger ??

Nej.

> Authendikerer den mod DC eller RADIUS eller begge ??

Det er mod RADIUS, men RADIUS-serveren kan jo slå op i DC.

> Kan jeg også få mine brugere smidt i tilknyttede VLAN, uden at
> porten er statisk medlem af det pågældende VLAN ??

Ja, men med visse forbehold. (Bl.a. kan Windows ikke finde ud af, at
man skifter VLAN og IP-adresse midt i det hele, og det kan få roaming
profiles, login-scripts eller GPO'er til at holde op med at virke).

Typisk er det en bedre idé at tildele VLAN ud fra maskinens identitet
end brugerens.

-A

---

>
> > Kan jeg også få mine brugere smidt i tilknyttede VLAN, uden at
> > porten er statisk medlem af det pågældende VLAN ??
>
> Ja, men med visse forbehold. (Bl.a. kan Windows ikke finde ud af, at
> man skifter VLAN og IP-adresse midt i det hele, og det kan få roaming
> profiles, login-scripts eller GPO'er til at holde op med at virke).
>
> Typisk er det en bedre idé at tildele VLAN ud fra maskinens identitet
> end brugerens.
>

Altså VLAN tilknytning ud fra MAC-adressen ??
Men så har jeg jo et problem hvis maskinen ændre "ejer", - altså hvis en
given maskinen bliver genbrugt andet steds i huset ?? (Det er jo
selvfølgelig noget man hurtigt finder ud af )

Mine intentioner var, at kunne differentiere sikkerheden på VLAN niveau. Og
hvis nu "user_begrænset" logger på "user_mindre_begrænset"s maskine, så
kompromiterer jeg vel disse intentioner ??
Kan jeg kombinerer de 2 ting: .........
nåhhhh,, jamen det er jo det du mener: Differentiere sikkerhed/adgang på
bruger niveau og tildele VLAN på MAC-niveau, - eller hva ??

Morten

---

On Mon, 13 Dec 2004 13:18:02 +0100, "Morten Koch"
<mkoch[@ntispam]mail.dk> wrote:

> Altså VLAN tilknytning ud fra MAC-adressen ??

Det kunne også være ud fra et certifikat. Det er nok at foretrække,
men kræver selvfølgelig, at man har en PKI.

> Men så har jeg jo et problem hvis maskinen ændre "ejer"

Ja, hvis man ønsker at give foskellige VLAN til sine egne brugere, så
dur den model ikke. (Problemet er bare, at det er der så heller ikke
rigtig andet der gør, hvis man kører Windows).


Idéen er, at man sørger for at ens egne maskiner er opsat sådan, at
man kan være rimeligt sikker på, de ikke er kompromitteret. Så kan de
få lov at komme på nettet.

Derefter bruger man standard brugerrettigheder til at styre, hvad de
kan, når de er på.

-A