Greaf

@xcode-tobi Ok, stellt man die Ports der Cisco-Switches auf Single-Host-Mode wird nur eine Mac duchgelassen. Problem erschlagen. Aber: Fälsche ich allerdings diese MAC mit der Verwendung eines Hubs dazwischen und zieh den bereits authentifizierten Rechner raus, habe ich dann eine freie Verbindung, wie bei der Verwendung von 802.1X oder wird die Verbindung mit IPSec dann wertlos bzw. trennt sich sogar?

Hallo zusammen und danke für die Infos. @Padde Natürlich will ich nicht 1000+ Rechner per WLAN vernetzen, sondern wie Grizzly schon festgestellt per Kabel verdrahten. Folgendes muss für das Netz gelten: - Es sollte sich niemand mit einem Nicht-Domänen-Computer im Netzwerk bewegen können: Meine angedachte Lösung: 802.1X mit TLS zur Authentifizierung. Nur Computerzertifikate zur Authentifizierung. Da PXE-Boot verwendet werden muss zwei VLANs: 1. Default = DHCP, CA, Softwareinstallationsserver 2. erfolgreiche Authentifizierung per Computerzertifikat = komplett frei Hier kenne ich mich gut aus. Das sollte kein Problem mehr darstellen. Hier das Problem - Der Datentransfer sollte nicht "mitgelauscht" werden können. Da bei 802.1X nur die Authentifizierung verschlüsselt ist, kann man mit sehr einfachen Mitteln dennoch den vollen Datentransfer mitlauschen. Daher würde ich gerne den Datentransfer verschlüsseln. Kann man eine kombinierte Lösung 802.1X mit IPSec Tunneled Mode implementieren? Mit IPSec kenne ich mich eher bescheiden aus. Daher stelle ich auch die dämlichen Fragen. Oder würde eine reine IPSec-Implementierung reichen? Dort hätte ich aber nicht den Vorteil, dass eine Authentifizierung am Edge-Device (dem ersten Switch) erfolgen muss. Ich tue mir etwas schwer und hoffe auf Tips und Antworten. Dank Euch ;) Gruß Greaf

Naja, IPSec ermöglicht zwar die Verwendung eines Tunnels, aber garantiert es denn auch eine sichere Authentifizierung von Client und Netzwerk. Macht es denn Sinn ein LAN mit 1000+ Rechnern mit IPSec zu schützen, sprich für jeden Rechner einen Tunnel mit dem Netzwerk aufzubauen? Ich würde mich auch über ein paar gute Links zu dem Thema freuen.

Hallo zusammen, ich beschäftige mich seit einiger Zeit mit 802.1X und der Authentifizierung über Zertifikate. Allerdings ermöglicht mir 802.1X nur eine sichere Authentifizierung, der Netzwerktraffic nach der erfolgreichen Authentifizerung, also wenn der Port geöffnet ist, bleibt weiterhin unverschlüsselt. Gibt es denn eine Möglichkeit den Netzwerktraffic im LAN komplett zu verschlüsseln und den Schlüsel entsprechend dynamisch in Intervallen zu ändern? Ich wäre für Lösungsmöglichkeiten bzw. Quellen sehr dankbar. Dank Euch. Grüße Greaf

Hi zusammen, ich habe noch eine Frage: Eine Verschlüsselung der Daten ist doch nur während des Authentifizierungsprozesses gewährleistet egal welches Protokoll verwendet wird (TLS, PEAP, TTLS), oder? Wohlgemerkt, ich spreche von drahtgebundenen Netzen. Sobald der Port offen ist, ist der Datentransfer unverschlüsselt richtig? Bei drahtlosen Netzen verschlüsselt ja WEP bzw. WPA die Verbindung. Der Switch baut die Verbindung zu einem Supplicant auf und identifiziert diesen Supplicant dann anhand der MAC bzw. IP-Adresse. Fälscht man diese, konnte ich mit einem weiteren Supplicant in das bereits geöffnete Netz eindringen, obwohl ich kein Zertifikat hatte. Kann man dort etwas gegen tun? Dabei spielt es keine Rolle, ob Computer und User-Zertifikate verwendet werden. Im schlimmsten Fall warte ich einfach bis der User sich angemeldet hat, den Port geöffnet hat und klemme mich dann dran. Es hat auf jeden Fall funktioniert. Vorallem in weniger als 5 Minuten. Ich würde mich sehr über Infos dazu freuen. Kennt vielleicht jemand ein sehr gutes Security Forum, wo diese Themen stark diskutiert werden? Dank Euch Gruß Greaf

Hi mal wieder, zu 1) Nehmen wir an, wir verwenden Computer und User-Zertifikate. Der Computer wird gestartet, Computerauthentifizierung ist erfolgreich, Port ist offen. Wozu dann noch die Userzertifikate, wenn das Computerzertifikat den Port doch schon öffnet? Es müßten dann doch 3 unterschiedliche VLANs existieren: 1. Das Guest-VLAN: Hier sollten alle nicht 802.1X-Clients rein für Installationszwecke und hier müßte die CA, der Softwareinstallationsserver und der DHCP erreichbar sein, richtig? 2. Das Computer-VLAN: Hier gelangen alle Computer hinein die erfolgreich durch ein Computerzertifikat authentifiziert wurden. In diesem VLAN müßte die ADS, die CA und der DHCP erreichbar sein. 3. Das User-VLAN (freies Netz). Hier gelangen alle User rein, die erfoglreich durch ein Userzertifikat authentifiziert wurden. In diesem VLAN ist das ganze Netz offen. Das ist doch soweit richtig und eine gute Lösung oder? Fragen dazu und zu 2): Da ich verschiedene VLANs dann habe, werden diese auch durch unterschiedliche DHCP-Ranges versorgt. Wie vergebe ich die richtigen IP-Adressen bei VLAN-Wechsel? Ich möchte eigentlich ungern im Guest-VLAN Komponenten wie CA, DHCP und Softwareinstallationsserver zur Verfügung stellen. Ich kann da zwar die MAC-Adresse per ACL freischalten, aber dann müßte ich immer vor einer Installation die MAC-Adresse in den entsprechenden Switch einpflegen und nach Installation wieder löschen. Das ist doch ziemlich aufwenig, oder? Geht das nicht irgendwie anders? Dank Dir daking für die netten Antworten und Deine Hilfe. Aber es kann doch nicht sein, dass Du und ich hier die Einzigen sind, die sich damit einigermassen auskennen. Wir sollten eine Firma gründen. :D An alle Anderen: Ihr dürft auch gerne Euren Senf und Eure Ratschläge äußern. Dank Euch. Gruß Greaf

Hi! zu 1) Wenn man nicht mehrfache User an einem Rechner anmeldet sind Userzertifikate also erstmal überflüssig richtig? Oder haben Userzertifikate irgendwelche besonderen Vorteile? Welcher Supplicant tatsächlich eingesetzt wird, steht noch in den Sternen. Allerdings hat Cisco Meetinghouse aufgekauft, also wird das vielleicht interessant werden. zu 2) Non Supplicant Authentication? Das habe ich noch nie gehört. Würde das heissen, dass man zunächst alle MAC-Adressen der Rechner dem Radius zur Verfügung stellen muss? Geht das nicht einfacher? Ich dachte an sowas wie ein Standard-VLAN, in dem DHCP, CA und Softwareinstallationsserver erreichbar sind. Diese Komponenten erreicht man somit immer. Allerdings würde ich das gerne umgehen. Schön wäre es, wenn man ohne sich zu authentifizieren auf Nichts zugreifen kann, aber dennoch Rechner installieren kann. Geht das? Gruß Greaf

Hi zusammen und ein besonderes hallo an daking, also die Computerauthentifizierung klappt nun. Der Port wird freigeschaltet. Du wirst es nicht glauben, aber es lag an der hirnrissigen Windows-XP-Firewall. Ich habe Port 1812 und 1813 als Ausnahmen hinzugefügt und die Sache läuft :D Nun habe ich weitere Fragen 1. Wenn man eine Computerauthentifizierung hat und der Port schon offen ist, wozu benötigt man dann noch eine User-Authentifizierung? 2. Ich möchte gerne Rechner über PXE-Boot nackte Rechner neu aufsetzen ? Wie funktioniert das bei geschlossenem Port und dem Einsatz von 802.1X? Geht das überhaupt oder muss man ein Standard-VLAN festlegen, in dem der Installationsserver, die CA und der DHCP generell zu erreichen sind? Ich freue mich immer sehr über Antworten. Gruß Greaf

Hallo nochmal, die Anmeldung per MD5 funktioniert nun. Aber bei TLS (also Verwendung von Zertifikaten, erstmal nur Computerzertifiakt) wird immernoch das Computerzertifikat geprüft, die Access-Accept Messagt wird vom IAS an den Switch geschickt und das war es. Der Switch gibt einen Failure aus und der Port bleibt geschlossen. Die Fehlermeldung seht ihr in meinem ersten Beitrag im Debug-Log. Mir fällt nichts mehr ein. Gruß Greaf

Hallo, habt ihr noch eine Idee, was der Fehler sein könnte? Dank Euch. Greaf

Hi, wann wird die config denn freigeschaltet? Und ja, ich habe global dot1x system-auth aktiviert. Du wirst die config ja sehen, wenn sie freigeschaltet ist. Ich hoiffe wirklich sehr, dass man mir weiterhelfen kann. Gruß Greaf

Hallo daking und der Rest, erstmal danke für die schnelle Antwort. Leider klappt die Anmeldung per MD5 auch nicht. Es wird immer ein Failure im Ethereal auf dem Switch ausgegeben. Anbei befindet sich die Configuration des 3550 Cisco Swtiches. Ich hoffe, ihr könnt mir helfen. Dank Euch. Gruß Greaf 3550.txt

Hallo zusammen, wir verzweifeln hier gerade an einer 802.1X Authentifizierung. Als Radius-Server ist ein IAS Windows Server 2003 Enterpirse im Einsatz, als Switch ein Cisco 3550 mit IOS Ver. 12.2(25) Der Switch erhält eine Access-Accept-Meldung vom Radius Server. Im Log des IAS erscheint eine einwandtfreie Authentifizierung des Computer-Zertifikats. Also scheint der IAS eiwnandfrei zu funktionieren. Problem bei der ganzen Sache ist allerdings, dass der Switch kein EAP-Success an den Client sendet und den Port nicht öffnet. Wenn wir ein Auth-Fail-VLan einrichten, wird der Port in dieses geöffnet. Anbei das Cisco Debug. Hat hier jemand einen Rat? Danke und Gruß Greaf Ciscolog.txt

Vielen Dank für die prompte Antwort. Ich habe schonm gehört, dass es irgendwelche Probleme anscheinend mit einer Domänenumbenennung in Einklang mit einem Exchangeserver 2003 gibt. Leider weiss ich bis jetzt noch keine Lösung. Daher schreibe ich auch zum ersten Mal in dieses Forum. Viele Grüße Greaf

Hi, ich brauche mal eure Hilfe. Ich habe folgendes Problem: Ich habe in einem Netzwerk einen Windows 2003 Server als PDC installiert und es läuft ein Exchange Server 2003 auf diesem. Nun möchte ich diese Domäne umbenennen. Ich habe mal zum Test eine Domäne auf einem Server 2003 ohne Exchange 2003 umbenannt. Dies hat einwandtfrei funktioniert. Muss ich mit Problemen bei dem Exchange Server 2003 rechnen? Und wenn ja, wie kann ich die Domäne ohne Probleme umbennenen? Auf verschiedenen Guidelines steht, dass es nur mit Exchange 2000 zu Problemen kommt. Ich traue aber der ganzen Sache nicht. :cool: Ich würde mich sehr über eine Hilfestellung freuen. Viele Grüße Greaf