12
802.1x WLAN Access Point für wired 802.1x Netzwerk gesucht
Hallo zusammen,
ein wirklich toller Wissensfundus ist hier. Ich habe bereits einige Zeit mitgelesen und habe auf viele Fragen Antworten gefunden. Danke dafür! Aber nun zu meinem Problem:
Ich habe ein Netzwerk mit mehreren Cisco SLM 2048 und 2024 Switches zu betreuen. Im Moment können alle Ports frei genutzt werden. Um dies in Zukunft einzuschränken, möchte ich eine 802.1x Authentifizierung für Geräte einführen. Auf dem Ubuntu-Server läuft bereits ein freeradius Server, der mit LDAP gekoppelt ist, damit sollte mein Vorhaben ja soweit umsetzbar sein. Problem ist nur, dass in verschiedenen Räumen Laptop-Koffer benutzt werden, die aus 15 Laptops und einem WLAN Accesspoint bestehen. Die vorhandenen Accesspoints unterstützen keine 802.1x Authentifizierung, müssen also ausgetauscht werden.
Mein Problem ist nun, dass ich einen WLAN Accesspoint suche, der sich bereits auf der LAN-Seite an einem 802.1x gesicherten Netzwerk authentifizieren kann (device authentication) und seinerseits Clients über 802.1x device authentication ins WLAN lässt. Die Authentifizierung soll auch hier wieder über den freeradius Server laufen. Mir ist unklar, ob sich alle herkömmlichen Accesspoints an einem gesicherten Netzwerk authentifizieren können nur weil sie 802.1x fähig sind, oder ob es sich da um ein spezielles Feature handelt.
Könnt ihr mit vielleicht auch konkrete Accesspoints empfehlen?
Besten Dank für Hinweise in alle Richtungen!
Marvin
ein wirklich toller Wissensfundus ist hier. Ich habe bereits einige Zeit mitgelesen und habe auf viele Fragen Antworten gefunden. Danke dafür! Aber nun zu meinem Problem:
Ich habe ein Netzwerk mit mehreren Cisco SLM 2048 und 2024 Switches zu betreuen. Im Moment können alle Ports frei genutzt werden. Um dies in Zukunft einzuschränken, möchte ich eine 802.1x Authentifizierung für Geräte einführen. Auf dem Ubuntu-Server läuft bereits ein freeradius Server, der mit LDAP gekoppelt ist, damit sollte mein Vorhaben ja soweit umsetzbar sein. Problem ist nur, dass in verschiedenen Räumen Laptop-Koffer benutzt werden, die aus 15 Laptops und einem WLAN Accesspoint bestehen. Die vorhandenen Accesspoints unterstützen keine 802.1x Authentifizierung, müssen also ausgetauscht werden.
Mein Problem ist nun, dass ich einen WLAN Accesspoint suche, der sich bereits auf der LAN-Seite an einem 802.1x gesicherten Netzwerk authentifizieren kann (device authentication) und seinerseits Clients über 802.1x device authentication ins WLAN lässt. Die Authentifizierung soll auch hier wieder über den freeradius Server laufen. Mir ist unklar, ob sich alle herkömmlichen Accesspoints an einem gesicherten Netzwerk authentifizieren können nur weil sie 802.1x fähig sind, oder ob es sich da um ein spezielles Feature handelt.
Könnt ihr mit vielleicht auch konkrete Accesspoints empfehlen?
Besten Dank für Hinweise in alle Richtungen!
Marvin
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 203308
Url: https://administrator.de/contentid/203308
Printed on: April 19, 2024 at 19:04 o'clock
12 Comments
Latest comment
Hi
Die Cisco Aironet APs können das.
LG
Die Cisco Aironet APs können das.
LG
Das muss nicht unbedingt Cisco sein auch preiswerte Consumer Accesspoints von Edimax, TP-Link, Linksys, Trendnet und sogar NetGear können das fast alle ausnahmslos.
Das ist heutzutage auch bei billigen APs meist gang und gäbe.
Außerdem ist es auch meist preiswerter einen Router als AP zu betreiben weil dann die Auswahl größer ist.
Wie das geht beschreibt dieses Tutorial in der "Alternative 3" !:
Kopplung von 2 Routern am DSL Port
Sieh ganz einfach bevor du kaufst in das Online Handbuch deines Modells was du ins Auge gefasst hast. Den Händler zu fragen bringt meist nix, da die meisten leider meist nix wissen und bei solchen Fragen nur Bahnhof verstehen wenns keine wirklichen Fachhändler sind.
Ist im Handbuch die Einrichtung einer Enterprise Authentication oder nur einer Radius Server IP beschrieben kann der auch sicher 802.1x !
Diese Tutorials geben dir noch ein paar Tips:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
und auch
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Den Server zum hast du ja schon sonst lohnt auch für einen kleinen Testserver ein Blick hier rein:
Netzwerk Management Server mit Raspberry Pi
Oder...war deine Frage jetzt so gemeint das die APs selber auf der Schnittstelle wo sie an die Switchinfrastruktur die mit .1x gesichert ist angeschlossen werden sich mit einem eigenen 802.1x Client selber am Switch/LAN Netzwerk authentifizieren können ??
Da hat Kollege Netman dann schon recht, da trennt sich sehr schnell die Spreu vom Weizen und das können nur bessere APs wie die obigen Ciscos, Aruba usw.
Der einzige AP aus dem Consumer Bereich der das m.W. kann ist ein Linksys WRT54G mit DD-WRT Firmware drauf !
Das ist heutzutage auch bei billigen APs meist gang und gäbe.
Außerdem ist es auch meist preiswerter einen Router als AP zu betreiben weil dann die Auswahl größer ist.
Wie das geht beschreibt dieses Tutorial in der "Alternative 3" !:
Kopplung von 2 Routern am DSL Port
Sieh ganz einfach bevor du kaufst in das Online Handbuch deines Modells was du ins Auge gefasst hast. Den Händler zu fragen bringt meist nix, da die meisten leider meist nix wissen und bei solchen Fragen nur Bahnhof verstehen wenns keine wirklichen Fachhändler sind.
Ist im Handbuch die Einrichtung einer Enterprise Authentication oder nur einer Radius Server IP beschrieben kann der auch sicher 802.1x !
Diese Tutorials geben dir noch ein paar Tips:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
und auch
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Den Server zum hast du ja schon sonst lohnt auch für einen kleinen Testserver ein Blick hier rein:
Netzwerk Management Server mit Raspberry Pi
Oder...war deine Frage jetzt so gemeint das die APs selber auf der Schnittstelle wo sie an die Switchinfrastruktur die mit .1x gesichert ist angeschlossen werden sich mit einem eigenen 802.1x Client selber am Switch/LAN Netzwerk authentifizieren können ??
Da hat Kollege Netman dann schon recht, da trennt sich sehr schnell die Spreu vom Weizen und das können nur bessere APs wie die obigen Ciscos, Aruba usw.
Der einzige AP aus dem Consumer Bereich der das m.W. kann ist ein Linksys WRT54G mit DD-WRT Firmware drauf !
Hi Marvin,
zu diesen Koffern und WLAN.
APs mit Zusatzfunktinen zu nehmen bedeutet, dass du die Authorisierung aus der Hand gibst oder etliche Male dezentral machen musst und trotzdem keine Ahnung hast, wer mit den Koffern arbeitet, da du nur den AP siehst.
Auf der andern Seite ist die Authorisierung mit 802.1x via einfachen WLAN-AP eine kritische Sache. Sobald der Port aktiviert ist, bleibt er aktiviert, da ja eine neue MAC, ein neuer WLAN-Client den Port nicht deaktivieren dürfen. Ausnahmen gibt es mit diversen lokalen Switchkonfigurationen oder Tools, die via SNMP die Anzahl der MACs pro Port prüft und auch gegen eine Datenbank vergleicht. (macmon)
Ein Router als AP würde das System sowieso aushebeln.
Gruß
Netman
zu diesen Koffern und WLAN.
APs mit Zusatzfunktinen zu nehmen bedeutet, dass du die Authorisierung aus der Hand gibst oder etliche Male dezentral machen musst und trotzdem keine Ahnung hast, wer mit den Koffern arbeitet, da du nur den AP siehst.
Auf der andern Seite ist die Authorisierung mit 802.1x via einfachen WLAN-AP eine kritische Sache. Sobald der Port aktiviert ist, bleibt er aktiviert, da ja eine neue MAC, ein neuer WLAN-Client den Port nicht deaktivieren dürfen. Ausnahmen gibt es mit diversen lokalen Switchkonfigurationen oder Tools, die via SNMP die Anzahl der MACs pro Port prüft und auch gegen eine Datenbank vergleicht. (macmon)
Ein Router als AP würde das System sowieso aushebeln.
Gruß
Netman
.@MrNetman
Das gilt aber nur für preiswerte Consumer Switches die .1x Funktion haben. Bessere Switches wie Cisco, Brocade, Extreme und Co. machen eine per Mac Authentisierung mit .1x, da sie auch Mac basierte VLANs so supporten.
Da kann z.B. keine einzelne Mac den Port öffnen und alle anderen können hinterher !
Solche Switches machen pro neuer Mac an dem Port eine dedizierte neue Authentisierung dieser Mac. Das soll z.B. auch verhindern dot einen 5 Port Billigswitch anzuschliessen, einer öffnet den Port und die restlichen 4 können ins Netz.
Sowas ist mit den o.a. Switches nicht möglich oder kann man wirkungsvoll unterbinden !
Sogar ein dediziertes Forwarding multipler Macs in unterschiedliche VLANs an so einem Port ist so möglich ! (Mac based VLANs)
Es hängt also wie immer vom Switchbudget ab was man sicherheitstechnisch will und umsetzen kann
Das gilt aber nur für preiswerte Consumer Switches die .1x Funktion haben. Bessere Switches wie Cisco, Brocade, Extreme und Co. machen eine per Mac Authentisierung mit .1x, da sie auch Mac basierte VLANs so supporten.
Da kann z.B. keine einzelne Mac den Port öffnen und alle anderen können hinterher !
Solche Switches machen pro neuer Mac an dem Port eine dedizierte neue Authentisierung dieser Mac. Das soll z.B. auch verhindern dot einen 5 Port Billigswitch anzuschliessen, einer öffnet den Port und die restlichen 4 können ins Netz.
Sowas ist mit den o.a. Switches nicht möglich oder kann man wirkungsvoll unterbinden !
Sogar ein dediziertes Forwarding multipler Macs in unterschiedliche VLANs an so einem Port ist so möglich ! (Mac based VLANs)
Es hängt also wie immer vom Switchbudget ab was man sicherheitstechnisch will und umsetzen kann
.@aqui
Das sind aber Linksys Switches und auch sonst erfordert 802.1x einen recht hohen Aufwand und sehr spezifisches Wissen um die Switchkonfiguation.
Deshalb die allgemeinen Hinweise.
Das sind aber Linksys Switches und auch sonst erfordert 802.1x einen recht hohen Aufwand und sehr spezifisches Wissen um die Switchkonfiguation.
Deshalb die allgemeinen Hinweise.
Ja, klar die Linksys Billigeile können das oben beschriebene natürlich so nicht, keine Frage. Deshalb liegen sie auch in ganz anderen Preisregionen.
Ist ja wie bereits gesagt immer die Frage was man sicherheitstechnisch wie erreichen will und wieviel einem das wert ist ?!
Ist ja wie bereits gesagt immer die Frage was man sicherheitstechnisch wie erreichen will und wieviel einem das wert ist ?!
Erstmal vielen Dank für die zahlreichen Antworten und die Links!
Ok, scheinbar habe ich mich schwammig ausgedrückt, folgendes war gemeint: Die Cisco Switches stellen an den LAN Dosen einen mit 802.1x gesicherten Zugang bereit (hier ist Geräte-Authentifizierung angedacht). Die Authentifizierung soll über einen freeradius Server funktionieren.
Die Accesspoints/Router in den Laptopwagen sollen sich jetzt einerseits selbst an den Netzwerkdosen authentifizieren (damit sie überhaupt einen Zugang bekommen). Ins WLAN sollen dann nur Laptops, die sich ihrerseits über Benutzer-Authentifizierung authentifiziert haben (ebenfalls über freeradius mit LDAP; wenn es praktikabler ist, könnte ich hier auch Geräte-Authentifizierung haben). Zentrale Verwaltung von erlaubten Geräten und Benutzern soll der freeradius Server übernehmen.
Das Setup ist ein wenig kompliziert, aber was tut man nicht alles um neugierige Schüler aus dem Netzwerk auszusperren ;) Ich hoffe ich habe das jetzt verständlich beschrieben.
.@MrNetman
Die Autorisierung will ich eben nicht aus der Hand geben, da sich die Laptops, die sich im WLAN anmelden wollen, über den Accesspoint autorisieren sollen, der seine Daten wiederum vom freeradius Server bezieht. Oder habe ich Dich noch nicht richtig verstanden?
.@aqui
Ich dachte bis jetzt, dass der Switch den Client anhand des für den Client ausgestellten Zertifikats erkennt und dann entsprechend dafür freischaltet? Ich denke das ist doch noch eine zusätzliche Sicherheitsstufe im Vergleich zum reinen MAC-Adressen Abgleich.
Zitat von @aqui:
Oder...war deine Frage jetzt so gemeint das die APs selber auf der Schnittstelle wo sie an die Switchinfrastruktur die mit .1x
gesichert ist angeschlossen werden sich mit einem eigenen 802.1x Client selber am Switch/LAN Netzwerk authentifizieren können
??
Da hat Kollege Netman dann schon recht, da trennt sich sehr schnell die Spreu vom Weizen und das können nur bessere APs
wie die obigen Ciscos, Aruba usw.
Der einzige AP aus dem Consumer Bereich der das m.W. kann ist ein Linksys WRT54G mit DD-WRT Firmware drauf !
Oder...war deine Frage jetzt so gemeint das die APs selber auf der Schnittstelle wo sie an die Switchinfrastruktur die mit .1x
gesichert ist angeschlossen werden sich mit einem eigenen 802.1x Client selber am Switch/LAN Netzwerk authentifizieren können
??
Da hat Kollege Netman dann schon recht, da trennt sich sehr schnell die Spreu vom Weizen und das können nur bessere APs
wie die obigen Ciscos, Aruba usw.
Der einzige AP aus dem Consumer Bereich der das m.W. kann ist ein Linksys WRT54G mit DD-WRT Firmware drauf !
Ok, scheinbar habe ich mich schwammig ausgedrückt, folgendes war gemeint: Die Cisco Switches stellen an den LAN Dosen einen mit 802.1x gesicherten Zugang bereit (hier ist Geräte-Authentifizierung angedacht). Die Authentifizierung soll über einen freeradius Server funktionieren.
Die Accesspoints/Router in den Laptopwagen sollen sich jetzt einerseits selbst an den Netzwerkdosen authentifizieren (damit sie überhaupt einen Zugang bekommen). Ins WLAN sollen dann nur Laptops, die sich ihrerseits über Benutzer-Authentifizierung authentifiziert haben (ebenfalls über freeradius mit LDAP; wenn es praktikabler ist, könnte ich hier auch Geräte-Authentifizierung haben). Zentrale Verwaltung von erlaubten Geräten und Benutzern soll der freeradius Server übernehmen.
Das Setup ist ein wenig kompliziert, aber was tut man nicht alles um neugierige Schüler aus dem Netzwerk auszusperren ;) Ich hoffe ich habe das jetzt verständlich beschrieben.
.@MrNetman
Die Autorisierung will ich eben nicht aus der Hand geben, da sich die Laptops, die sich im WLAN anmelden wollen, über den Accesspoint autorisieren sollen, der seine Daten wiederum vom freeradius Server bezieht. Oder habe ich Dich noch nicht richtig verstanden?
.@aqui
Ich dachte bis jetzt, dass der Switch den Client anhand des für den Client ausgestellten Zertifikats erkennt und dann entsprechend dafür freischaltet? Ich denke das ist doch noch eine zusätzliche Sicherheitsstufe im Vergleich zum reinen MAC-Adressen Abgleich.
OK, dann war das doch richtig verstanden das die APs selber einen .1x Client an Bord haben müssen um sich am LAN Port zu authentisieren !
Das ist aber eine Funktion die keiner der Blödmarkt Billig APs aus dem Consumer Bereich haben, das ist klar !
Der einzige wie gesagt der das m.E. kann ist ein Linksys WRT54GL mit DD-WRT Firmware.
Du musst bei der Auswahl der APs also hier doch in den etwas höherwertigen Bereich von Aruba, Cisco, Lancom, Motorola, Trapeze usw. sehen. Die können das in der Regel durch die Bank alle !
So kompliziert oder exotisch ist dieses Setup gar nicht und eben ein absolut gängiges Konzept sichere Netze in diesem Umfeld zu realisieren. Du bist da also absolut auf dem richtigen Weg, keine Frage !!
Die oben zitierten Tutorial weisen ja ebenfalls in diese Richtung !
Das ist aber eine Funktion die keiner der Blödmarkt Billig APs aus dem Consumer Bereich haben, das ist klar !
Der einzige wie gesagt der das m.E. kann ist ein Linksys WRT54GL mit DD-WRT Firmware.
Du musst bei der Auswahl der APs also hier doch in den etwas höherwertigen Bereich von Aruba, Cisco, Lancom, Motorola, Trapeze usw. sehen. Die können das in der Regel durch die Bank alle !
So kompliziert oder exotisch ist dieses Setup gar nicht und eben ein absolut gängiges Konzept sichere Netze in diesem Umfeld zu realisieren. Du bist da also absolut auf dem richtigen Weg, keine Frage !!
Die oben zitierten Tutorial weisen ja ebenfalls in diese Richtung !
Besten Dank!
Also könnte ich mit dem Cisco Aironet 1041 arbeiten? Gibt es vielleicht noch ein Alternativ-Modell, das etwas preisgünstiger ist? Ich bin noch nicht dahinter gekommen, wie erkennen kann, ob Access Point einen 802.1x Client an Bord hat. Er sollte übrigens möglichst WLAN-n fähig sein.
Der WRT54GL mit der anderen Firmware kommt mir dann doch ein wenig "hacky" vor. ;)
Danke für Eure Tipps!
Also könnte ich mit dem Cisco Aironet 1041 arbeiten? Gibt es vielleicht noch ein Alternativ-Modell, das etwas preisgünstiger ist? Ich bin noch nicht dahinter gekommen, wie erkennen kann, ob Access Point einen 802.1x Client an Bord hat. Er sollte übrigens möglichst WLAN-n fähig sein.
Der WRT54GL mit der anderen Firmware kommt mir dann doch ein wenig "hacky" vor. ;)
Danke für Eure Tipps!
Das ist Blödsinn, das anerkannte DD-WRT (Buffalo betreibts das z.B. zertifiziert auf seinen Produkten !) basiert auf OpenWRT und ist keineswegs "hacky".
Im übrigens: Was dachtest du denn was auf den ganzen billigen Consumer APs rennt ?? Alles "hostapd" mit embedded Linux...mehr nicht !
Denk also bitte mal etwas realistisch !
Im übrigens: Was dachtest du denn was auf den ganzen billigen Consumer APs rennt ?? Alles "hostapd" mit embedded Linux...mehr nicht !
Denk also bitte mal etwas realistisch !
Ok, sorry, ich habe gerade mal ein bisschen über DD-WRT gelesen und da habe ich nicht weit genug drüber nachgedacht, das muss ich zugeben!
Ich bin aber auf der Suche nach einem Gerät, das WLAN-n fähig ist und meine Anforderungen erfüllt. Gibt es da etwas, das preislich zwischen WRT54GL und dem Cisco Aironet 1041 liegt?
Danke nochmal für Deine Hilfe
//EDIT: Ich habe gerade auf der Cisco Webseite gelesen, dass die meisten APs einen Wireless Controller brauchen. Ist das auch bei den als "Standalone" betitelten Geräten der Fall?
Ich bin aber auf der Suche nach einem Gerät, das WLAN-n fähig ist und meine Anforderungen erfüllt. Gibt es da etwas, das preislich zwischen WRT54GL und dem Cisco Aironet 1041 liegt?
Danke nochmal für Deine Hilfe
//EDIT: Ich habe gerade auf der Cisco Webseite gelesen, dass die meisten APs einen Wireless Controller brauchen. Ist das auch bei den als "Standalone" betitelten Geräten der Fall?
nein, die Cisco standalones kommen auch ohne Controller aus.
