Greaf 10 Geschrieben 4. Juli 2006 Melden Teilen Geschrieben 4. Juli 2006 Hallo zusammen, wir verzweifeln hier gerade an einer 802.1X Authentifizierung. Als Radius-Server ist ein IAS Windows Server 2003 Enterpirse im Einsatz, als Switch ein Cisco 3550 mit IOS Ver. 12.2(25) Der Switch erhält eine Access-Accept-Meldung vom Radius Server. Im Log des IAS erscheint eine einwandtfreie Authentifizierung des Computer-Zertifikats. Also scheint der IAS eiwnandfrei zu funktionieren. Problem bei der ganzen Sache ist allerdings, dass der Switch kein EAP-Success an den Client sendet und den Port nicht öffnet. Wenn wir ein Auth-Fail-VLan einrichten, wird der Port in dieses geöffnet. Anbei das Cisco Debug. Hat hier jemand einen Rat? Danke und Gruß Greaf Ciscolog.txt Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 4. Juli 2006 Melden Teilen Geschrieben 4. Juli 2006 Hola, da klappt wohl was mit den certificaten nicht: *Mar 1 01:07:07.786: RADIUS: Received from id 1645/23 192.168.0.1:1812, Access-Accept, ==> *Mar 1 01:07:07.786: dot1x-ev:Received an EAP Fail on FastEthernet0/3 for mac 0008.02d9 .875c *Mar 1 01:07:07.786: dot1x-sm:Posting EAP_FAIL on Client=3585310 wie schaut die config aus? klappts mit eap-md5 ohne certis? Ciao Zitieren Link zu diesem Kommentar
Greaf 10 Geschrieben 7. Juli 2006 Autor Melden Teilen Geschrieben 7. Juli 2006 Hallo daking und der Rest, erstmal danke für die schnelle Antwort. Leider klappt die Anmeldung per MD5 auch nicht. Es wird immer ein Failure im Ethereal auf dem Switch ausgegeben. Anbei befindet sich die Configuration des 3550 Cisco Swtiches. Ich hoffe, ihr könnt mir helfen. Dank Euch. Gruß Greaf 3550.txt Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 7. Juli 2006 Melden Teilen Geschrieben 7. Juli 2006 Hola, kann die config gerade nicht anschauen (ist noch nicht freigeschalten). hast du global dot1x system-auth aktiviert?? Cia Zitieren Link zu diesem Kommentar
Greaf 10 Geschrieben 7. Juli 2006 Autor Melden Teilen Geschrieben 7. Juli 2006 Hi, wann wird die config denn freigeschaltet? Und ja, ich habe global dot1x system-auth aktiviert. Du wirst die config ja sehen, wenn sie freigeschaltet ist. Ich hoiffe wirklich sehr, dass man mir weiterhelfen kann. Gruß Greaf Zitieren Link zu diesem Kommentar
Greaf 10 Geschrieben 10. Juli 2006 Autor Melden Teilen Geschrieben 10. Juli 2006 Hallo, habt ihr noch eine Idee, was der Fehler sein könnte? Dank Euch. Greaf Zitieren Link zu diesem Kommentar
Greaf 10 Geschrieben 10. Juli 2006 Autor Melden Teilen Geschrieben 10. Juli 2006 Hallo nochmal, die Anmeldung per MD5 funktioniert nun. Aber bei TLS (also Verwendung von Zertifikaten, erstmal nur Computerzertifiakt) wird immernoch das Computerzertifikat geprüft, die Access-Accept Messagt wird vom IAS an den Switch geschickt und das war es. Der Switch gibt einen Failure aus und der Port bleibt geschlossen. Die Fehlermeldung seht ihr in meinem ersten Beitrag im Debug-Log. Mir fällt nichts mehr ein. Gruß Greaf Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 14. Juli 2006 Melden Teilen Geschrieben 14. Juli 2006 Hola, habe den gleichen Testaufbau am Mittwoch gemacht. bei mir klappts. Was sagt der Eventlog auf dem IAS . Was sagt das IAS Logfile. Hast du für den IAS Server von der CA ein Zertifikat austellen lassen?. Ciao Zitieren Link zu diesem Kommentar
Greaf 10 Geschrieben 18. Juli 2006 Autor Melden Teilen Geschrieben 18. Juli 2006 Hi zusammen und ein besonderes hallo an daking, also die Computerauthentifizierung klappt nun. Der Port wird freigeschaltet. Du wirst es nicht glauben, aber es lag an der hirnrissigen Windows-XP-Firewall. Ich habe Port 1812 und 1813 als Ausnahmen hinzugefügt und die Sache läuft :D Nun habe ich weitere Fragen 1. Wenn man eine Computerauthentifizierung hat und der Port schon offen ist, wozu benötigt man dann noch eine User-Authentifizierung? 2. Ich möchte gerne Rechner über PXE-Boot nackte Rechner neu aufsetzen ? Wie funktioniert das bei geschlossenem Port und dem Einsatz von 802.1X? Geht das überhaupt oder muss man ein Standard-VLAN festlegen, in dem der Installationsserver, die CA und der DHCP generell zu erreichen sind? Ich freue mich immer sehr über Antworten. Gruß Greaf Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 18. Juli 2006 Melden Teilen Geschrieben 18. Juli 2006 Hola, zu 1. wie willst du verschiedene User via Zertifikat an dem gleichen PC am Netzwerk anmelden? Dann ist User Auth sinnvoll. Jedoch gibt es da beim windowsinternen Supplicant Probleme mit DHCP etc.. (@ all : gibt es da Neuigkeiten). Der Einsatz von anderen Supplicants ist meist nötig. zu 2. ist mit non supplicant authentication möglich. Der PXE Client wird via MAC Adresse am Radiusserver autentifiziert und dem PXE VLAN zugewiesen. Der Einsatz von ACLs ist in diesem VLAN sinnvoll, da die MAC Adresse von Netzwerkkomponenten kein Geheimnis ist! Ciao Zitieren Link zu diesem Kommentar
Greaf 10 Geschrieben 19. Juli 2006 Autor Melden Teilen Geschrieben 19. Juli 2006 Hi! zu 1) Wenn man nicht mehrfache User an einem Rechner anmeldet sind Userzertifikate also erstmal überflüssig richtig? Oder haben Userzertifikate irgendwelche besonderen Vorteile? Welcher Supplicant tatsächlich eingesetzt wird, steht noch in den Sternen. Allerdings hat Cisco Meetinghouse aufgekauft, also wird das vielleicht interessant werden. zu 2) Non Supplicant Authentication? Das habe ich noch nie gehört. Würde das heissen, dass man zunächst alle MAC-Adressen der Rechner dem Radius zur Verfügung stellen muss? Geht das nicht einfacher? Ich dachte an sowas wie ein Standard-VLAN, in dem DHCP, CA und Softwareinstallationsserver erreichbar sind. Diese Komponenten erreicht man somit immer. Allerdings würde ich das gerne umgehen. Schön wäre es, wenn man ohne sich zu authentifizieren auf Nichts zugreifen kann, aber dennoch Rechner installieren kann. Geht das? Gruß Greaf Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 19. Juli 2006 Melden Teilen Geschrieben 19. Juli 2006 Hallo, zu 1. die Anmeldung am Netzwerk passiert mit der Anmeldung am Rechner und nicht automatisch beim booten des Rechners. Ein Hacker kann somit nicht einfach einen Rechner starten und die shared medium 802.1x Problematik ausnutzen. Ist ein User jedoch mal angemeldet wars das dann wieder..... zu 2. Bei Cisco hast du die Möglichkeit ein 802.1X Guest Vlan zu definieren. Jeder nicht 802.1X Client fällt in dieses VLAN. Mit (V)ACLs abgesichert sollte dies die Lösung deines Problems sein.. Ciao Zitieren Link zu diesem Kommentar
Greaf 10 Geschrieben 20. Juli 2006 Autor Melden Teilen Geschrieben 20. Juli 2006 Hi mal wieder, zu 1) Nehmen wir an, wir verwenden Computer und User-Zertifikate. Der Computer wird gestartet, Computerauthentifizierung ist erfolgreich, Port ist offen. Wozu dann noch die Userzertifikate, wenn das Computerzertifikat den Port doch schon öffnet? Es müßten dann doch 3 unterschiedliche VLANs existieren: 1. Das Guest-VLAN: Hier sollten alle nicht 802.1X-Clients rein für Installationszwecke und hier müßte die CA, der Softwareinstallationsserver und der DHCP erreichbar sein, richtig? 2. Das Computer-VLAN: Hier gelangen alle Computer hinein die erfolgreich durch ein Computerzertifikat authentifiziert wurden. In diesem VLAN müßte die ADS, die CA und der DHCP erreichbar sein. 3. Das User-VLAN (freies Netz). Hier gelangen alle User rein, die erfoglreich durch ein Userzertifikat authentifiziert wurden. In diesem VLAN ist das ganze Netz offen. Das ist doch soweit richtig und eine gute Lösung oder? Fragen dazu und zu 2): Da ich verschiedene VLANs dann habe, werden diese auch durch unterschiedliche DHCP-Ranges versorgt. Wie vergebe ich die richtigen IP-Adressen bei VLAN-Wechsel? Ich möchte eigentlich ungern im Guest-VLAN Komponenten wie CA, DHCP und Softwareinstallationsserver zur Verfügung stellen. Ich kann da zwar die MAC-Adresse per ACL freischalten, aber dann müßte ich immer vor einer Installation die MAC-Adresse in den entsprechenden Switch einpflegen und nach Installation wieder löschen. Das ist doch ziemlich aufwenig, oder? Geht das nicht irgendwie anders? Dank Dir daking für die netten Antworten und Deine Hilfe. Aber es kann doch nicht sein, dass Du und ich hier die Einzigen sind, die sich damit einigermassen auskennen. Wir sollten eine Firma gründen. :D An alle Anderen: Ihr dürft auch gerne Euren Senf und Eure Ratschläge äußern. Dank Euch. Gruß Greaf Zitieren Link zu diesem Kommentar
Greaf 10 Geschrieben 24. Juli 2006 Autor Melden Teilen Geschrieben 24. Juli 2006 Hi zusammen, ich habe noch eine Frage: Eine Verschlüsselung der Daten ist doch nur während des Authentifizierungsprozesses gewährleistet egal welches Protokoll verwendet wird (TLS, PEAP, TTLS), oder? Wohlgemerkt, ich spreche von drahtgebundenen Netzen. Sobald der Port offen ist, ist der Datentransfer unverschlüsselt richtig? Bei drahtlosen Netzen verschlüsselt ja WEP bzw. WPA die Verbindung. Der Switch baut die Verbindung zu einem Supplicant auf und identifiziert diesen Supplicant dann anhand der MAC bzw. IP-Adresse. Fälscht man diese, konnte ich mit einem weiteren Supplicant in das bereits geöffnete Netz eindringen, obwohl ich kein Zertifikat hatte. Kann man dort etwas gegen tun? Dabei spielt es keine Rolle, ob Computer und User-Zertifikate verwendet werden. Im schlimmsten Fall warte ich einfach bis der User sich angemeldet hat, den Port geöffnet hat und klemme mich dann dran. Es hat auf jeden Fall funktioniert. Vorallem in weniger als 5 Minuten. Ich würde mich sehr über Infos dazu freuen. Kennt vielleicht jemand ein sehr gutes Security Forum, wo diese Themen stark diskutiert werden? Dank Euch Gruß Greaf Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.