lcer00
Goto Top

Debugging von IEEE 802.1X

Hallo zusammen,

Aufgrund einiger Probleme mit der 802.1X Umsetzung (sowohl WLAN wie auch LAN) versuche ich herauszubekommen, wie ich den Problemen auf die Spur kommen kann.

In den Wikipedia und den RFCs komme ich nicht so richtig weiter. Ich verstehe insbesondere die Einordnung im Schichtmodell nicht so richtig. Z.B. verweist rfc 3748 auf "lower layers":

siehe https://tools.ietf.org/html/rfc3748
   +-+-+-+-+-+-+                                   +-+-+-+-+-+-+
   |           |                                   |           |
   |EAP method |                                   |EAP method |
   |     V     |                                   |     ^     |
   +-+-+-!-+-+-+   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+   +-+-+-!-+-+-+
   |     !     |   |EAP  |  EAP  |             |   |     !     |
   |     !     |   |Peer |  Auth.| EAP Auth.   |   |     !     |
   |EAP  ! peer|   |     | +-----------+       |   |EAP  !Auth.|
   |     !     |   |     | !     |     !       |   |     !     |
   +-+-+-!-+-+-+   +-+-+-+-!-+-+-+-+-+-!-+-+-+-+   +-+-+-!-+-+-+
   |     !     |   |       !     |     !       |   |     !     |
   |EAP  !layer|   |   EAP !layer| EAP !layer  |   |EAP  !layer|
   |     !     |   |       !     |     !       |   |     !     |
   +-+-+-!-+-+-+   +-+-+-+-!-+-+-+-+-+-!-+-+-+-+   +-+-+-!-+-+-+
   |     !     |   |       !     |     !       |   |     !     |
   |Lower!layer|   |  Lower!layer| AAA ! /IP   |   | AAA ! /IP |
   |     !     |   |       !     |     !       |   |     !     |
   +-+-+-!-+-+-+   +-+-+-+-!-+-+-+-+-+-!-+-+-+-+   +-+-+-!-+-+-+
         !                 !           !                 !
         !                 !           !                 !
         +-------->--------+           +--------->-------+

Mein Ziel ist es, den Datenverkehr nach Möglichkeit auf Paketebene zu Debuggen. Das geht natürlich für die Verbindung WLAN-Accesspoint nicht, wohl aber im verkabelten Bereich. Und da wäre die Frage, ob den entsprechenden Datenverkehr überhaupt mitlesen kann. Immerhin passiert die Authentifizierung ja, bevor eine "richtige" IP-Verbindung zustande kommt. Meine Frage wäre daher ob z.B: mit Wireshark hier was zu erreichen wäre? Oder ist lower-layer so niedrig oder hardwarebasiert, dass es nicht transparent für Wireshark ist?

Grüße

lcer

Content-Key: 387776

Url: https://administrator.de/contentid/387776

Ausgedruckt am: 29.03.2024 um 01:03 Uhr

Mitglied: aqui
aqui 27.09.2018 aktualisiert um 09:48:45 Uhr
Goto Top
Das geht natürlich für die Verbindung WLAN-Accesspoint nicht
Wie kommst du auf sowas ??
Der Wireshark kann auch problemlos auf dem WLAN Interface eines Rechners sniffern !!
Dort kann man problemlos diesen Traffic mitschneiden. Deine (falschen) Mutmaßungen zeigen das du es noch nicht einmal probiert hast. face-sad
Der englische Wikipedia Artikel erklärt es übrigens besser als der Deutsche so das man einfacher versteht worum es geht:
https://en.wikipedia.org/wiki/IEEE_802.1X
Mitglied: lcer00
lcer00 27.09.2018 um 10:30:01 Uhr
Goto Top
Hallo
Zitat von @aqui:

Das geht natürlich für die Verbindung WLAN-Accesspoint nicht
Wie kommst du auf sowas ??
Sorry, habe nicht so weit ausgeholt, wie vielleicht erforderlich. Das WLAN-Problem betrifft hier vor allem die Apfel-Mobiltelefone am WLAN-AP. Die PCs (WLAN-Laptop, WLAN-Tablet) zeigen hier keine Auffälligkeiten. Bezüglich verkabeltem PC mit Portautorisierung am Switch kann ich den traffic mitschneiden: Einmal am PC selbst mit Wireshark, zum anderen am duplizierten Switchport.

Der englische Wikipedia Artikel erklärt es übrigens besser als der Deutsche so das man einfacher versteht worum es geht:
https://en.wikipedia.org/wiki/IEEE_802.1X

ja, der ist etwas besser:
To initiate authentication the authenticator will periodically transmit EAP-Request Identity frames to a special Layer 2 address (01:80:C2:00:00:03) on the local network segment.

Dann liest man unter: https://de.wikipedia.org/wiki/OSI-Modell#Schicht_2_–_Sicherungssch ...
Das Ethernet-Protokoll beschreibt sowohl Schicht 1 als auch Schicht 2, wobei auf dieser als Zugriffskontrolle CSMA/CD zum Einsatz kommt. 
Protokolle und Normen, die auf anderen Schicht-2-Protokollen und -Normen aufsetzen: HDLC, SDLC, DDCMP, IEEE 802.2 (LLC), RLC, PDCP, ARP, RARP, STP, Shortest Path Bridging 
Protokolle und Normen, die direkt auf Schicht 1 aufsetzen: IEEE 802.11 (WLAN), IEEE 802.4 (Token Bus), IEEE 802.5 (Token Ring), FDDI 

Dann stelle ich meine Frage anders - ist vielleicht auch doof gefragt:
- sehe ich in Wireshark alle Layer 2 Frames und
- ist IEEE 802.1X ausschließlich auf Layer 2 oder höher implementiert?

Dort kann man problemlos diesen Traffic mitschneiden. Deine (falschen) Mutmaßungen zeigen das du es noch nicht einmal probiert hast.
Na ja, probiert habe ich es zumindest beim WLAN tatsächlich noch nicht. Aber bevor ich irgendwas probiere, wollte ich klären, was ich erwarten
kann. Wenn ich mit einem Messinstrument keine gesuchten Messwerte finde kann das 2 Gründe haben:
1) Das Messgerät ist nicht geeignet.
2) Die Messwerte werden nicht angezeigt, weil sie (z.B: wegen einer fehlerhaften Netzwerkkonfiguration des PCs) nicht existieren.
Wenn 1) zutrifft, bräuchte ich nicht anfangen.

Grüße

lcer
Mitglied: lcer00
lcer00 27.09.2018 um 10:46:45 Uhr
Goto Top
Nachtrag:
Zitat von @lcer00:
Das WLAN-Problem betrifft hier vor allem die Apfel-Mobiltelefone am WLAN-AP.
Das Problem stritt sporadisch auf. Meistens funktioniert die Authentifizierung fehlerfrei. Daher gehe ich nicht von einer grundsätzlichen Fehlkonfiguration (z.B. Zertifikate fehlerhaft) aus.

Grüße

lcer
Mitglied: aqui
Lösung aqui 27.09.2018 aktualisiert um 11:52:00 Uhr
Goto Top
sehe ich in Wireshark alle Layer 2 Frames und
Jau, die siehst du natürlich !
ist IEEE 802.1X ausschließlich auf Layer 2 oder höher implementiert?
Das ist nur L2. Denk mal nach...ist doch auch logisch, denn ohne Authentisierung bekommst du keinen Zugriff aufs Netz und damit auch keine IP Adresse via DHCP, denn DHCP nutzt was...??? UDP und dafür braucht es wieder eine IP.
Also cool bleiben und immer mal in Ruhe nachdenken face-wink
Das Problem stritt sporadisch auf. Meistens funktioniert die Authentifizierung fehlerfrei.
Das ist richtig. Ist dann vermutlich eine Treiber Geschichte (aktuellster) oder manchmal auch Firmware.
Mitglied: lcer00
lcer00 05.02.2019, aktualisiert am 06.02.2019 um 17:13:01 Uhr
Goto Top
Problem in 2 Teilen gelöst:


Die WLAN-Probleme waren dann gelöst, als ich feststellte, dass meine Uhrzeitsynchronisation fehlerhaft war. Access-Point, (WLAN)Handy und Radius-Server hatten abweichende Uhrzeiten. Das habe ich korrigiert und seitdem läuft es fehlerfrei. Ob das aber wirklich das Problem war, kann ich nicht sicher sagen.


Das 802.1X - VerkabeltProblem war simpel. Die Logs liegen da wo man es im NPS-Server einstellt, normalerweise Windows\system32\LogFiles
Die muss man nur lesen! Die Lesehilfe für das NPS / IAS-Legacy-Format gab es hier

Der Fehler war, dass ich in den Authentifizierungseinstellungen der Netzwerkkarte unter Authentifizierungsmodus Benutzer- oder Computerauthentifizierung eingestellt hatte. Im NPS-Log konnte man sehen dass der Der Radius-Client versucht, den Benutzer zu authentifizieren. das wurde aber abgelehnt, da ich nur den COmputer und nicht den Benutzer zugelassen hatte.

man kann das Verhalten nachlesen unter hier

  • machineOrUser - Use machine or user credentials. When a user is logged on, the user's credentials are used for authentication. When no user is logged on, machine credentials are used.
  • machine - Use machine credentials only.
  • user - Use user credentials only.
  • guest - Use guest (empty) credentials only.


Fazit:

Cisco SG300 als Radius-Client Windows 2012R2 NPS als Radius-Server und Windows als PC funktioniert jetzt. Warum auch nicht. face-smile

Grüße

lcer
Mitglied: aqui
aqui 06.02.2019 um 15:36:23 Uhr
Goto Top
Dein geposteter Windows Link ergibt einen "Page 404 not found" Error !! face-sad
(Vermutlich die falsche Klammer am Schluß ?!)