2
Access Point mit Supplicant-Funktion bzw. EAP-TLS - Funktion
Hallo Experten,
Folgendes Szenario:
1 Netzwerk, unterteilt in 25 VLAN's , als Authentifizierungsserver fungiert ein IAS unter Win2k3 Enterprise. EAP-TLS funktioniert mit diversen Client-OS'es (WinXP, Linux).
Der AccessBereich des Netzwerks besteht aus ca. 30 Enterasys Matrix C1 Switchen. Diese können auch via EAPOL den o.g. IAS fragen, ob ich den einen oder anderen Switchport benutzen darf. Auch das dynamische VLAN-Zeweisen funktioniert.
Jetzt zum Problem:
Das LAN soll um ein WLAN erweitert werden. WLAN-nach-VLAN-Mapping funktioniert hervorragend und auch die Auth. via EAP-TLS pro WLAN ist i.o.
Nun sind diverse Netzwerkdosen von einem öffentlichen Bereich aus zugänglich, d.h. jeder kann sein Laptop via RJ5-Kabel anschliessen und rumschnüffeln (falls die Dose gepatcht ist).
An einer solchen Dose sollen alle VLAN durch einen AccessPoint erreichbar sein.
Ich will, dass der AP sich an dieser Dose und damit am Switchport via Zertifikat authentifizieren muss, damit jemand, der den AP abzieht und sich mit dem Laptop draufsteckt nicht in die VLAN's "reinhorchen" kann (natürlich müsste er seine EthernetPakete vorher taggen). Er soll also bei neg. Auth. den Switchport und damit die Dose nicht verwenden können.
Lange Rede, kurzez Problem: Kennt jemand einen AccessPoint-hersteller, der dieses Feature (siehe Topic) beherrscht ??? Bei Lancom, Cisco, Enterasys und Ubiquiti konnte ich nichts finden. Natürlich sind auch alternative Lösungen herzlich wilkommen (auf die abschliessbare Netzwerkdose bin ich übrigens auch schon gekommen
)
Dank im Voraus + schönes WE
Folgendes Szenario:
1 Netzwerk, unterteilt in 25 VLAN's , als Authentifizierungsserver fungiert ein IAS unter Win2k3 Enterprise. EAP-TLS funktioniert mit diversen Client-OS'es (WinXP, Linux).
Der AccessBereich des Netzwerks besteht aus ca. 30 Enterasys Matrix C1 Switchen. Diese können auch via EAPOL den o.g. IAS fragen, ob ich den einen oder anderen Switchport benutzen darf. Auch das dynamische VLAN-Zeweisen funktioniert.
Jetzt zum Problem:
Das LAN soll um ein WLAN erweitert werden. WLAN-nach-VLAN-Mapping funktioniert hervorragend und auch die Auth. via EAP-TLS pro WLAN ist i.o.
Nun sind diverse Netzwerkdosen von einem öffentlichen Bereich aus zugänglich, d.h. jeder kann sein Laptop via RJ5-Kabel anschliessen und rumschnüffeln (falls die Dose gepatcht ist).
An einer solchen Dose sollen alle VLAN durch einen AccessPoint erreichbar sein.
Ich will, dass der AP sich an dieser Dose und damit am Switchport via Zertifikat authentifizieren muss, damit jemand, der den AP abzieht und sich mit dem Laptop draufsteckt nicht in die VLAN's "reinhorchen" kann (natürlich müsste er seine EthernetPakete vorher taggen). Er soll also bei neg. Auth. den Switchport und damit die Dose nicht verwenden können.
Lange Rede, kurzez Problem: Kennt jemand einen AccessPoint-hersteller, der dieses Feature (siehe Topic) beherrscht ??? Bei Lancom, Cisco, Enterasys und Ubiquiti konnte ich nichts finden. Natürlich sind auch alternative Lösungen herzlich wilkommen (auf die abschliessbare Netzwerkdose bin ich übrigens auch schon gekommen
)Dank im Voraus + schönes WE
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 92411
Url: https://administrator.de/contentid/92411
Printed on: April 19, 2024 at 19:04 o'clock
2 Comments
Latest comment
Das wird schwierig ! Es gibt derzeit keinen AP der aktiv einen 802.1x Supplicant an Bord hat und sich selber an diesem Port authentifizieren kann.
Bei den Herstellern die du aufgezaehlt hast (zusaetzlich waren da noch Meru und Trapeze) ist das auch unsinnig, denn die betreiben alle Controller basierte WLANs. Eigentlich stellt sich da auch dein Problem gar nicht erst, weil APs die Client Daten an so einem Port zentral an den Controller ueber einen GRE Tunnel (manche nutzen auch einen SSH Tunnel) an den Controller uebermitteln.
Dieser splittet dann erst zentral die Daten an seinem LAN Port in die VLANs auf (versieht sie mit einen 802.1q Tag).
Da der Controller immer in einem gesicherten RZ Bereich steht stellt sich in so einem Umfeld deine Problematik gar nicht erst.
Schnueffler koennen an so einem AP Port gar nichts ausrichten, da sie da nicht mal eine IP bekommen und das AP VLAN vollkommen isoliert ist. Eine Verbindung in andere VLANs also technisch unmoeglich ist.
Du gehst in deinem Denkmodell von einem Full Feature AP aus alos einem der ohne Controller funktioniert. Das ist heutzutage meist nur noch der Consumer bereich und da spielen solche sicherlich richtigen Sicherheitsgedanken wie du sie hast keine Rolle.
Abgesehen davon wuerde den preis in diesem Segment niemand bezahlen, deshalb gibt es dort auch keine APs mit einem .1x Supplicant auf der LAN Schnittstelle....leider !
Bei den Herstellern die du aufgezaehlt hast (zusaetzlich waren da noch Meru und Trapeze) ist das auch unsinnig, denn die betreiben alle Controller basierte WLANs. Eigentlich stellt sich da auch dein Problem gar nicht erst, weil APs die Client Daten an so einem Port zentral an den Controller ueber einen GRE Tunnel (manche nutzen auch einen SSH Tunnel) an den Controller uebermitteln.
Dieser splittet dann erst zentral die Daten an seinem LAN Port in die VLANs auf (versieht sie mit einen 802.1q Tag).
Da der Controller immer in einem gesicherten RZ Bereich steht stellt sich in so einem Umfeld deine Problematik gar nicht erst.
Schnueffler koennen an so einem AP Port gar nichts ausrichten, da sie da nicht mal eine IP bekommen und das AP VLAN vollkommen isoliert ist. Eine Verbindung in andere VLANs also technisch unmoeglich ist.
Du gehst in deinem Denkmodell von einem Full Feature AP aus alos einem der ohne Controller funktioniert. Das ist heutzutage meist nur noch der Consumer bereich und da spielen solche sicherlich richtigen Sicherheitsgedanken wie du sie hast keine Rolle.
Abgesehen davon wuerde den preis in diesem Segment niemand bezahlen, deshalb gibt es dort auch keine APs mit einem .1x Supplicant auf der LAN Schnittstelle....leider !
Danke für die Antwort.
Ich habe trotzdem noch eine Frage:
Was meinst du mit "Schnueffler koennen an so einem AP Port gar nichts ausrichten, da sie da nicht mal eine IP bekommen und das AP VLAN vollkommen isoliert ist. Eine Verbindung in andere VLANs also technisch unmoeglich ist." Am AP selber können sie nichts ausrichten, aber sie können den AP aus der Netzwerkdose ziehen und sich selber draufstecken. Wenn sie nun in der Lage sind, ihre Ethernet-Frames entsprechend zu taggen können sie in jedes VLAN "reinhören", das auf diesen Port bzw. ursprünglich an den AP "durch-getrunkt" wird.
Ein AP, der sich am Netzwerk selber authentifizieren können soll, ist laut Enterasys-Support der RoamAbout 4102, allerdings "nur" mit Username+ Passwort (EAP-MD5, PEAP ???) aber nicht durch Zertifikat (im TechPaper steht dazu leider nichts
). Evtl. bekomme ich so ein Gerät zum Test zugesandt, dann check ich das mal und gebe hier die Ergebnisse zum besten.
Der Ubiquiti-Support hat mir ebenfalls geantwortet. Danach sollen die APs (NanoStation5) ebenfalls eine eigene Auth. am Netzwerk ermöglichen ... näheres unter: http://ubnt.com/forum/viewtopic.php?p=8194 . Hat jemand so ein Gerät in Verwendung und gute Erfahrungen gemacht?
Ich habe trotzdem noch eine Frage:
Was meinst du mit "Schnueffler koennen an so einem AP Port gar nichts ausrichten, da sie da nicht mal eine IP bekommen und das AP VLAN vollkommen isoliert ist. Eine Verbindung in andere VLANs also technisch unmoeglich ist." Am AP selber können sie nichts ausrichten, aber sie können den AP aus der Netzwerkdose ziehen und sich selber draufstecken. Wenn sie nun in der Lage sind, ihre Ethernet-Frames entsprechend zu taggen können sie in jedes VLAN "reinhören", das auf diesen Port bzw. ursprünglich an den AP "durch-getrunkt" wird.
Ein AP, der sich am Netzwerk selber authentifizieren können soll, ist laut Enterasys-Support der RoamAbout 4102, allerdings "nur" mit Username+ Passwort (EAP-MD5, PEAP ???) aber nicht durch Zertifikat (im TechPaper steht dazu leider nichts
). Evtl. bekomme ich so ein Gerät zum Test zugesandt, dann check ich das mal und gebe hier die Ergebnisse zum besten.Der Ubiquiti-Support hat mir ebenfalls geantwortet. Danach sollen die APs (NanoStation5) ebenfalls eine eigene Auth. am Netzwerk ermöglichen ... näheres unter: http://ubnt.com/forum/viewtopic.php?p=8194 . Hat jemand so ein Gerät in Verwendung und gute Erfahrungen gemacht?
