Zusammenspiel zwischen IGEL und NAC

von Ricardo Holdorf
02. Februar 2023
2 Minuten zu lesen
Autor
Ricardo Holdorf
Ehrliches Miteinander und Füreinander. Wo andere scheitern fange ich an. Denn: Es gibt kein unlösbares Szenario.
Zum Experten Profil
Teilen:

Worum geht's?

ThinClients sind im Bezug auf die Vereinfachung im Clientmanagement und in Punkto Sicherheit eine richtige Entscheidung. Sicherlich gibt es immer wieder Features und Funktionen, die man vermissen kann (vor allem im Bezug auf Media). Jedoch bekommt man viele Vorteile in Bezug auf Verfügbarkeit und Unabhängigkeit am Endpunkt. Die Sicherheit ist am Endgerät selbst auch schon hoch. Leider fehlt es dann aber noch auf der letzten Meile – Verbindung Igel zum Netzwerk.

Im normalen Windows Umfeld ist dies recht schnell mit zertifikatsbasierter Authentifizierung auf Basis von 802.1X abgehakt, aber im Igel Umfeld ist das nicht so einfach. Man findet kaum Anleitungen oder wird darüber aufgeklärt, wieso manche Dinge erforderlich sind. Dieses Thema ist nämlich nicht so schnell abgehakt wie andere Managementpunkte in der Igel UMS.

verschiedene Möglichkeiten der Authentifizierung

Voraussetzung für die aufgezeigten Wege sind immer eine CA (1-2-3-n Stufig ist egal), ein NPS (oder vergleichbare Lösungen) und eine entsprechend konfigurierte Switchumgebung.

Es gibt verschiedene Möglichkeiten die Authentifizierung durchzuführen.

  1. Die einfache – statische
    1. Man erstellt ein Zertifikat welches benutzerbezogen existiert
    2. Exportiert dieses als key und cert file
    3. Importiert es in der ums und weisst es den clients zu
    4. Erstellt eine Konfig, damit dieses cert genutzt wird

Der Nachteil bei diesem Vorgang ist, dass entweder für alle Geräte ein Zertifikat erstellt werden muss oder man ein Zertifikat für alle Geräte genutzt und der Verwaltungsaufwand sehr hoch ist.

Zusätzlich darf man nicht vergessen das Zertifikat/die Zertifikate rechtzeitig auszutauschen, ansonsten steht die Umgebung zum Stichtag.

Königsdiziplin

Die Königsdisziplin hierbei ist der automatische Rollout von Zertifikaten via SCEP/NDES.

  1. Rollout via SCEP/NDES
    1. Man benötigt zusätzlich zur CA ein NDES/SCEP Server
    2. Man erstellt eine Konfig zum ScepDeployment
    3. Man benötigt für jeden Igel ein gleichnamiges AD Konto
    4. Dem AD Konto wird das Zertifikat im Namemapping zugeordnet
    5. Anschließend regelt der IGEL zukünftig die Verlängergung eigenständig
    6. Das ganze lässt sich dann auch noch skripten
War dieser Artikel hilfreich für Sie?
In drei Schritten zu Ihrer IT Lösung
Wir unterstützen Sie gerne
schritt 1

    SUPPORT & BESTELLUNG

    1st Level

    Auswählen

    SUPPORT & BERATUNG

    2nd/3rd Level

    Auswählen

    MANAGED SECURITY

    Services

    Auswählen

    Support & Bestellung

    Ich habe ein akutes Problem

    Auswählen

    Ich habe einen konkreten Bedarf

    Auswählen

    Support & Beratung

    Auswählen

    Managed Service

    Ich möchte einzelne Dienste gerne outsourcen








    Auswählen

    Support & Bestellung

    Dann wende dich bitte an Thorsten Seibert

    Customer Service

    Telefon
    (0271) 488 73-38

    Sprechen Sie uns an. Wir unterstützen Sie gerne.

    Account Management

    Telefon
    0271 488 73 85

    Support & Beratung

    Managed Service

    Kontaktdaten des Fragenden





    OT Security Konferenz 2024
    connecT versammelt am 21. März mehr als 60 Top-Unternehmen zum Schulterschluss zwischen IT und OT, für mehr Sicherheit in der Produktion.
    Mehr Infos