Mac-Adressen Authentifizierung über 802.1x
Hallo,
irgendwie war mein alter Beitrag tot, was aber auch nicht so wichtig ist, denn die neue Frage hat nicht mehr allzuviel damit zu tun.
Ich stelle mir die Frage ob eine Mac-Adressen-Authentifizierung auf der Basis von 802.1X überhaupt möglich/ vorgesehen ist?
Ich fasse mal zusammen:
EAP-MD5 = Supplicant meldet sich per Username & Kennwort an
PEAP = Supplicant meldet sich per Username & Kennwort an, der Server per Zertifikat
EAP-TLS = Supplicant und Server authentifizieren sich gegenseitig per Zertifikat
Daher stellt sich mir die obrige Frage. Wie soll man denn bitte eine Mac-Authentifizierung machen?
Gibt es nur die MAC-Bypass-Funktion?
irgendwie war mein alter Beitrag tot, was aber auch nicht so wichtig ist, denn die neue Frage hat nicht mehr allzuviel damit zu tun.
Ich stelle mir die Frage ob eine Mac-Adressen-Authentifizierung auf der Basis von 802.1X überhaupt möglich/ vorgesehen ist?
Ich fasse mal zusammen:
EAP-MD5 = Supplicant meldet sich per Username & Kennwort an
PEAP = Supplicant meldet sich per Username & Kennwort an, der Server per Zertifikat
EAP-TLS = Supplicant und Server authentifizieren sich gegenseitig per Zertifikat
Daher stellt sich mir die obrige Frage. Wie soll man denn bitte eine Mac-Authentifizierung machen?
Gibt es nur die MAC-Bypass-Funktion?
Please also mark the comments that contributed to the solution of the article
Content-Key: 151673
Url: https://administrator.de/contentid/151673
Printed on: April 23, 2024 at 22:04 o'clock
10 Comments
Latest comment
Das geht auf dem Switch. Auf deinem Cisco so oder so ! Jeder mehr oder weniger gute Switch Hersteller supportet diese Mac Authentifizierung heutzutage...sogar viele Billigheimer !
Dynamisches Vlan bei Freeradius mit Alcatel switch
Bei Einer FreeRadius Konfig sieht das so aus (User.conf):
## Nur MAC Authentication
000040fc99fb Auth-Type := Local, User-Password == "000040fc99fb"
oder mit dynamischer VLAN Zuweisung (hier VLAN 10 im Beispiel):
## MAC Auth. mit dynamischer. VLAN Zuweisung
##
000040fc99fb Auth-Type := Local, User-Password == "000040fc99fb"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 10
##
Dynamisches Vlan bei Freeradius mit Alcatel switch
Bei Einer FreeRadius Konfig sieht das so aus (User.conf):
## Nur MAC Authentication
000040fc99fb Auth-Type := Local, User-Password == "000040fc99fb"
oder mit dynamischer VLAN Zuweisung (hier VLAN 10 im Beispiel):
## MAC Auth. mit dynamischer. VLAN Zuweisung
##
000040fc99fb Auth-Type := Local, User-Password == "000040fc99fb"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 10
##
Es ist möglich, es ist aber eine nicht-standardisierte Technik. Das ist alles eine Sache die vom Hersteller angebastelt wurde.
Cisco-Switches nutz ich nicht, aber hier die Umsetzung für Nortel, ob dir das für Cisco was bringt, kann ich dir nicht sagen: http://support.nortel.com/go/main.jsp?cscat=DOCDETAIL&id=529461& ...
@dog: Es macht schon Sinn, in dem Dokument ist es an einer Stelle auch erwähnt. Centralized MAC Security. Du trägst sämtliche Infos (MAC, Port, IP-Adresse) im RADIUS ein anstatt die MAC-Security per Switch zu verwalten.
Cisco-Switches nutz ich nicht, aber hier die Umsetzung für Nortel, ob dir das für Cisco was bringt, kann ich dir nicht sagen: http://support.nortel.com/go/main.jsp?cscat=DOCDETAIL&id=529461& ...
@dog: Es macht schon Sinn, in dem Dokument ist es an einer Stelle auch erwähnt. Centralized MAC Security. Du trägst sämtliche Infos (MAC, Port, IP-Adresse) im RADIUS ein anstatt die MAC-Security per Switch zu verwalten.
Klar, das Problem bleibt bestehen. Ich nutz momentan die normale MAC-Security im Unternehmen, bau langsam auf EAPoL um, ich hab mit der MAC-Security aber noch immer am meisten Spaß, wenn sich unsere Mitarbeiter gegenseitig anflanschen, wenn der eine unerlaubt das freiliegende Netzwerkkabel in sein Notebook gesteckt und damit den Port dauerhaft gesperrt hat. Klappstuhl aufn Flur und Spaß haben.
EAPoL ist dafür arg konfigurationsintensiv, wenn man es richtig sicher haben will.
EAPoL ist dafür arg konfigurationsintensiv, wenn man es richtig sicher haben will.