Versions Compared

Old Version 1

changes.mady.by.user Sami Purho

Saved on

compared with

New Version Current

changes.mady.by.user Simon Pfendt

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Blancco Drive Eraser (BDE) supports several wireless network encryption types, namely unterstützt verschiedene Arten der drahtlosen Netzwerkverschlüsselung, und zwar WPA-PSK, WPA-EAP, WEP and no encryptionund keine Verschlüsselung. WPA2 is also supported, the same configuration as for WPA is used and BDE does not make any difference, by default it tries to connect to WPA2 first. However, it is up to the access point to decide which one to use (WPA or WPA2).

Although WPA-EAP without authentication works fine, what BDE does not support is a WLAN using WPA-EAP with authentication (via a certificate and/or an authentication server) e.g. the 802.1X Authentication. There is a workaround if one needs to run BDE in an environment with such authentication (tested with Cisco ISE):

wird ebenfalls unterstützt, wenn die gleiche Konfiguration wie für WPA wird verwendet wird, BDE unterscheidet hier nicht, standardmäßig versucht er zuerst, eine Verbindung mit WPA2 herzustellen. Jedoch gibt der Access Point an welche Art verwendet werden soll (WPA oder WPA2).

Obwohl WPA-EAP ohne Authentifizierung funktioniert, unterstützt der BDE WLAN-Verbindungen die WPA-EAP mit Authentifizierung (über ein Zertifikat und/oder einen Authentifizierungsserver) verwendet, z.B. die 802.1X-Authentifizierung, NICHT. Es ist ein Workaround vorhanden, wenn Sie den BDE in einer Umgebung mit einer solchen Authentifizierung verwenden möchten (getestet mit Cisco ISE):

  • Wenn BDE (der Client) seine anfängliche DHCP-Anforderung (Discovery Message) absetzt, sendet es eine Information ähnlich wie: “OptionWhen BDE (the client) makes its initial DHCP request (discovery message), it sends an information similar to “Option: (60) Vendor class identifier: dhcpcd-5.5.6:Linux-4.1.3-0-BLANCCO:i686:GenuineIntel”. The customer can use it to set up a DHCP class identifier in Cisco ISE, such client profiling can be utilized as a common attribute for end points in the network for dynamic whitelisting.
  • Once specific rules are set up in Cisco ISE, the client is able to authenticate.

Other workarounds include manual addition of mac addresses to the NAC system every time an erasure is run, or setting up specific ports that are 802.1x enabled.

There exist other possibilities to circumvent the 802.1X Authentication; they involve the creation of a dedicated “wireless network for erasure purposes”:

  • GenuineIntel”. Hiermit kann ein DHCP-Klassenbezeichner in Cisco ISE eingerichtet werden. Ein solches Client-Profiling kann als gemeinsames Attribut für Endpunkte im Netzwerk bei der Verwendung von dynamischen Whitelisting genutzt werden.
  • Sobald bestimmte Regeln in Cisco ISE eingerichtet sind kann der Client authentifiziert werden.

Andere Workarounds umfassen das manuelle Hinzufügen von MAC-Adressen zum NAC-System bei jedem Löschvorgang oder das Einrichten bestimmter 802.1x-fähiger Ports.

Es gibt andere Möglichkeiten, die 802.1X-Authentifizierung zu umgehen; sie beinhalten die Schaffung eines dedizierten "drahtlosen Netzwerks für Löschzwecke":

  • Konfigurieren Sie ein verstecktes WLAN-Netzwerk mithilfe einer der vom BDE unterstützten Verschlüsselungstypen (z.B. WPA-PSK oder WPA2-PSK) und legen Sie ein sicheres Kennwort fest.
  • Stellen Sie sicher, dass eine lokale Blancco Management Console (oder Blancco Cloud) auf dieses WLAN zugreifen kann.
  • Konfigurieren Sie BDE für die Verbindung zu diesem versteckten WLAN und zur BMC: Sobald Sie sich entschließen, dass ein Computer gelöscht werden muss, starten Sie BDE und die Software stellt eine Verbindung zum WLAN und zur BMC her um die Löschlizenzen zu erhalten und den Löschbericht zu senden.
  • Sie können weitere Einstellungen definieren, wie beispielsweise Ihre BMC in einem LAN mit nur einem Wireless-Zugangspunkt (Wi-Fi-Geräte können eine Verbindung herstellen, aber nur in der Nähe des Access Points) oder Regeln in Ihrer WLAN-Firewall, die eine Verbindung mit nur einer IP-Adresse und einem Port (beides entspricht Ihrem BMC) erlauben
  • Configure a hidden WLAN network using one of the encryption types that BDE supports (e.g. WPA-PSK or WPA2-PSK) and set a strong password.
  • Make sure that a local Blancco Management Console (or Blancco Cloud) can access this WLAN.
  • Configure BDE to connect to this hidden WLAN and to the BMC: once you decide that a machine needs to be erased, boot BDE and the software will connect to the WLAN and to the BMC to get the erasure licenses and send the erasure report in the end.
  • You can define other things like having your BMC in a LAN with one wireless access point only (for Wi-Fi machines to be able to establish a connection, but only in the vicinity of the access point) or adding rules in your WLAN firewall to allow connecting to only one IP address and port (both corresponding to your BMC).