Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

802.1x WLAN Access Point für wired 802.1x Netzwerk gesucht

Frage Netzwerke LAN, WAN, Wireless

Mitglied: marvinm

marvinm (Level 1) - Jetzt verbinden

13.03.2013 um 22:35 Uhr, 4301 Aufrufe, 12 Kommentare

Hallo zusammen,

ein wirklich toller Wissensfundus ist hier. Ich habe bereits einige Zeit mitgelesen und habe auf viele Fragen Antworten gefunden. Danke dafür! Aber nun zu meinem Problem:

Ich habe ein Netzwerk mit mehreren Cisco SLM 2048 und 2024 Switches zu betreuen. Im Moment können alle Ports frei genutzt werden. Um dies in Zukunft einzuschränken, möchte ich eine 802.1x Authentifizierung für Geräte einführen. Auf dem Ubuntu-Server läuft bereits ein freeradius Server, der mit LDAP gekoppelt ist, damit sollte mein Vorhaben ja soweit umsetzbar sein. Problem ist nur, dass in verschiedenen Räumen Laptop-Koffer benutzt werden, die aus 15 Laptops und einem WLAN Accesspoint bestehen. Die vorhandenen Accesspoints unterstützen keine 802.1x Authentifizierung, müssen also ausgetauscht werden.

Mein Problem ist nun, dass ich einen WLAN Accesspoint suche, der sich bereits auf der LAN-Seite an einem 802.1x gesicherten Netzwerk authentifizieren kann (device authentication) und seinerseits Clients über 802.1x device authentication ins WLAN lässt. Die Authentifizierung soll auch hier wieder über den freeradius Server laufen. Mir ist unklar, ob sich alle herkömmlichen Accesspoints an einem gesicherten Netzwerk authentifizieren können nur weil sie 802.1x fähig sind, oder ob es sich da um ein spezielles Feature handelt.

Könnt ihr mit vielleicht auch konkrete Accesspoints empfehlen?

Besten Dank für Hinweise in alle Richtungen!

Marvin
Mitglied: catachan
14.03.2013 um 07:44 Uhr
Hi

Die Cisco Aironet APs können das.

LG
Bitte warten ..
Mitglied: aqui
14.03.2013, aktualisiert um 10:09 Uhr
Das muss nicht unbedingt Cisco sein auch preiswerte Consumer Accesspoints von Edimax, TP-Link, Linksys, Trendnet und sogar NetGear können das fast alle ausnahmslos.
Das ist heutzutage auch bei billigen APs meist gang und gäbe.
Außerdem ist es auch meist preiswerter einen Router als AP zu betreiben weil dann die Auswahl größer ist.
Wie das geht beschreibt dieses Tutorial in der "Alternative 3" !:
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...

Sieh ganz einfach bevor du kaufst in das Online Handbuch deines Modells was du ins Auge gefasst hast. Den Händler zu fragen bringt meist nix, da die meisten leider meist nix wissen und bei solchen Fragen nur Bahnhof verstehen wenns keine wirklichen Fachhändler sind.
Ist im Handbuch die Einrichtung einer Enterprise Authentication oder nur einer Radius Server IP beschrieben kann der auch sicher 802.1x !
Diese Tutorials geben dir noch ein paar Tips:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
und auch
http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...
Den Server zum hast du ja schon sonst lohnt auch für einen kleinen Testserver ein Blick hier rein:
http://www.administrator.de/wissen/netzwerk-management-server-mit-raspb ...

Oder...war deine Frage jetzt so gemeint das die APs selber auf der Schnittstelle wo sie an die Switchinfrastruktur die mit .1x gesichert ist angeschlossen werden sich mit einem eigenen 802.1x Client selber am Switch/LAN Netzwerk authentifizieren können ??
Da hat Kollege Netman dann schon recht, da trennt sich sehr schnell die Spreu vom Weizen und das können nur bessere APs wie die obigen Ciscos, Aruba usw.
Der einzige AP aus dem Consumer Bereich der das m.W. kann ist ein Linksys WRT54G mit DD-WRT Firmware drauf !
Bitte warten ..
Mitglied: MrNetman
14.03.2013 um 09:23 Uhr
Hi Marvin,

zu diesen Koffern und WLAN.
APs mit Zusatzfunktinen zu nehmen bedeutet, dass du die Authorisierung aus der Hand gibst oder etliche Male dezentral machen musst und trotzdem keine Ahnung hast, wer mit den Koffern arbeitet, da du nur den AP siehst.
Auf der andern Seite ist die Authorisierung mit 802.1x via einfachen WLAN-AP eine kritische Sache. Sobald der Port aktiviert ist, bleibt er aktiviert, da ja eine neue MAC, ein neuer WLAN-Client den Port nicht deaktivieren dürfen. Ausnahmen gibt es mit diversen lokalen Switchkonfigurationen oder Tools, die via SNMP die Anzahl der MACs pro Port prüft und auch gegen eine Datenbank vergleicht. (macmon)

Ein Router als AP würde das System sowieso aushebeln.

Gruß
Netman
Bitte warten ..
Mitglied: aqui
14.03.2013, aktualisiert um 10:15 Uhr
.@MrNetman
Das gilt aber nur für preiswerte Consumer Switches die .1x Funktion haben. Bessere Switches wie Cisco, Brocade, Extreme und Co. machen eine per Mac Authentisierung mit .1x, da sie auch Mac basierte VLANs so supporten.
Da kann z.B. keine einzelne Mac den Port öffnen und alle anderen können hinterher !
Solche Switches machen pro neuer Mac an dem Port eine dedizierte neue Authentisierung dieser Mac. Das soll z.B. auch verhindern dot einen 5 Port Billigswitch anzuschliessen, einer öffnet den Port und die restlichen 4 können ins Netz.
Sowas ist mit den o.a. Switches nicht möglich oder kann man wirkungsvoll unterbinden !
Sogar ein dediziertes Forwarding multipler Macs in unterschiedliche VLANs an so einem Port ist so möglich ! (Mac based VLANs)
Es hängt also wie immer vom Switchbudget ab was man sicherheitstechnisch will und umsetzen kann
Bitte warten ..
Mitglied: MrNetman
14.03.2013 um 10:37 Uhr
.@aqui
Das sind aber Linksys Switches und auch sonst erfordert 802.1x einen recht hohen Aufwand und sehr spezifisches Wissen um die Switchkonfiguation.
Deshalb die allgemeinen Hinweise.
Bitte warten ..
Mitglied: aqui
14.03.2013 um 10:43 Uhr
Ja, klar die Linksys Billigeile können das oben beschriebene natürlich so nicht, keine Frage. Deshalb liegen sie auch in ganz anderen Preisregionen.
Ist ja wie bereits gesagt immer die Frage was man sicherheitstechnisch wie erreichen will und wieviel einem das wert ist ?!
Bitte warten ..
Mitglied: marvinm
14.03.2013 um 20:19 Uhr
Erstmal vielen Dank für die zahlreichen Antworten und die Links!

Zitat von aqui:
Oder...war deine Frage jetzt so gemeint das die APs selber auf der Schnittstelle wo sie an die Switchinfrastruktur die mit .1x
gesichert ist angeschlossen werden sich mit einem eigenen 802.1x Client selber am Switch/LAN Netzwerk authentifizieren können
??
Da hat Kollege Netman dann schon recht, da trennt sich sehr schnell die Spreu vom Weizen und das können nur bessere APs
wie die obigen Ciscos, Aruba usw.
Der einzige AP aus dem Consumer Bereich der das m.W. kann ist ein Linksys WRT54G mit DD-WRT Firmware drauf !

Ok, scheinbar habe ich mich schwammig ausgedrückt, folgendes war gemeint: Die Cisco Switches stellen an den LAN Dosen einen mit 802.1x gesicherten Zugang bereit (hier ist Geräte-Authentifizierung angedacht). Die Authentifizierung soll über einen freeradius Server funktionieren.
Die Accesspoints/Router in den Laptopwagen sollen sich jetzt einerseits selbst an den Netzwerkdosen authentifizieren (damit sie überhaupt einen Zugang bekommen). Ins WLAN sollen dann nur Laptops, die sich ihrerseits über Benutzer-Authentifizierung authentifiziert haben (ebenfalls über freeradius mit LDAP; wenn es praktikabler ist, könnte ich hier auch Geräte-Authentifizierung haben). Zentrale Verwaltung von erlaubten Geräten und Benutzern soll der freeradius Server übernehmen.
Das Setup ist ein wenig kompliziert, aber was tut man nicht alles um neugierige Schüler aus dem Netzwerk auszusperren ;) Ich hoffe ich habe das jetzt verständlich beschrieben.

.@MrNetman
Die Autorisierung will ich eben nicht aus der Hand geben, da sich die Laptops, die sich im WLAN anmelden wollen, über den Accesspoint autorisieren sollen, der seine Daten wiederum vom freeradius Server bezieht. Oder habe ich Dich noch nicht richtig verstanden?

.@aqui
Ich dachte bis jetzt, dass der Switch den Client anhand des für den Client ausgestellten Zertifikats erkennt und dann entsprechend dafür freischaltet? Ich denke das ist doch noch eine zusätzliche Sicherheitsstufe im Vergleich zum reinen MAC-Adressen Abgleich.
Bitte warten ..
Mitglied: aqui
15.03.2013 um 09:59 Uhr
OK, dann war das doch richtig verstanden das die APs selber einen .1x Client an Bord haben müssen um sich am LAN Port zu authentisieren !
Das ist aber eine Funktion die keiner der Blödmarkt Billig APs aus dem Consumer Bereich haben, das ist klar !
Der einzige wie gesagt der das m.E. kann ist ein Linksys WRT54GL mit DD-WRT Firmware.
Du musst bei der Auswahl der APs also hier doch in den etwas höherwertigen Bereich von Aruba, Cisco, Lancom, Motorola, Trapeze usw. sehen. Die können das in der Regel durch die Bank alle !

So kompliziert oder exotisch ist dieses Setup gar nicht und eben ein absolut gängiges Konzept sichere Netze in diesem Umfeld zu realisieren. Du bist da also absolut auf dem richtigen Weg, keine Frage !!
Die oben zitierten Tutorial weisen ja ebenfalls in diese Richtung !
Bitte warten ..
Mitglied: marvinm
17.03.2013 um 19:31 Uhr
Besten Dank!

Also könnte ich mit dem Cisco Aironet 1041 arbeiten? Gibt es vielleicht noch ein Alternativ-Modell, das etwas preisgünstiger ist? Ich bin noch nicht dahinter gekommen, wie erkennen kann, ob Access Point einen 802.1x Client an Bord hat. Er sollte übrigens möglichst WLAN-n fähig sein.

Der WRT54GL mit der anderen Firmware kommt mir dann doch ein wenig "hacky" vor. ;)

Danke für Eure Tipps!
Bitte warten ..
Mitglied: aqui
19.03.2013 um 16:12 Uhr
Das ist Blödsinn, das anerkannte DD-WRT (Buffalo betreibts das z.B. zertifiziert auf seinen Produkten !) basiert auf OpenWRT und ist keineswegs "hacky".
Im übrigens: Was dachtest du denn was auf den ganzen billigen Consumer APs rennt ?? Alles "hostapd" mit embedded Linux...mehr nicht !
Denk also bitte mal etwas realistisch !
Bitte warten ..
Mitglied: marvinm
19.03.2013, aktualisiert um 18:35 Uhr
Ok, sorry, ich habe gerade mal ein bisschen über DD-WRT gelesen und da habe ich nicht weit genug drüber nachgedacht, das muss ich zugeben!

Ich bin aber auf der Suche nach einem Gerät, das WLAN-n fähig ist und meine Anforderungen erfüllt. Gibt es da etwas, das preislich zwischen WRT54GL und dem Cisco Aironet 1041 liegt?

Danke nochmal für Deine Hilfe

//EDIT: Ich habe gerade auf der Cisco Webseite gelesen, dass die meisten APs einen Wireless Controller brauchen. Ist das auch bei den als "Standalone" betitelten Geräten der Fall?
Bitte warten ..
Mitglied: MrNetman
19.03.2013 um 22:59 Uhr
nein, die Cisco standalones kommen auch ohne Controller aus.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Access Point für 802.1X Authentifizierung
gelöst Frage von technikneulingLAN, WAN, Wireless6 Kommentare

Hallo, ich hoffe mir kann hier jemand helfen. Und zwar studiere ich momentan an einer Universität, und nutze in ...

LAN, WAN, Wireless
Netzwerk mit Router und WLAN Access Point
gelöst Frage von KatzenjaegerLAN, WAN, Wireless15 Kommentare

Einen schönen guten Abend wünsche ich. Zuerst eine kurze Vorstellung. Ich adminstriere ehrenamtlich das Netzwerk in einer kleinen Flüchtlingshilfsinitiative. ...

Switche und Hubs
Access-Point mit PoE gesucht
gelöst Frage von Looser27Switche und Hubs5 Kommentare

Hallo allerseits, ich bin auf der Suche nach einem Access-Point für unser Gebäude. Da ich einen PoE-Switch im Einsatz ...

Switche und Hubs
Guter Access Point gesucht
gelöst Frage von KuemmelSwitche und Hubs13 Kommentare

Hallo :-) Also vorab folgendes Szenario: Speedport W723V Typ B im Keller -> Netgear 5-Port unmanaged Gigabit Switch -> ...

Neue Wissensbeiträge
MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 7 StundenMikroTik RouterOS4 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 7 StundenSicherheit

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Administrator.de Feedback

Entwicklertagebuch: Die Startseite wurde überarbeitet

Information von admtech vor 10 StundenAdministrator.de Feedback9 Kommentare

Hallo Administrator User, mit dem Release 5.7 haben wir unsere Startseite überarbeitet und die Beiträge und Fragen voneinander getrennt. ...

Vmware

VMware Desktopprodukte sind verwundbar

Information von Penny.Cilin vor 15 StundenVmware

Die VMware-Anwendungen zum Umgang mit virtuellen Maschinen Fusion, Horizon Client und Workstation sowie die Plattform NSX sind verwundbar. Davon ...

Heiß diskutierte Inhalte
Visual Studio
Vb.net-Tool zum Erzeugen einer Outlook-E-Mail
Frage von ahstaxVisual Studio24 Kommentare

Hallo, ich möchte gerne ein vb.net-Tool schreiben, das am Ende eine Outlook-E-Mail erzeugt. Grundsätzlich ist mir klar, wie das ...

Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server16 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows Netzwerk
Netzwerk Neustrukturierung
Frage von IT-DreamerWindows Netzwerk16 Kommentare

Hallo verehrte Community und Admins, bei uns im Haus steht eine Neustrukturierung an. Dafür benötige ich von euch ein ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...