Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

802.1x WLAN Access Point für wired 802.1x Netzwerk gesucht

Frage Netzwerke LAN, WAN, Wireless

Mitglied: marvinm

marvinm (Level 1) - Jetzt verbinden

13.03.2013 um 22:35 Uhr, 3839 Aufrufe, 12 Kommentare

Hallo zusammen,

ein wirklich toller Wissensfundus ist hier. Ich habe bereits einige Zeit mitgelesen und habe auf viele Fragen Antworten gefunden. Danke dafür! Aber nun zu meinem Problem:

Ich habe ein Netzwerk mit mehreren Cisco SLM 2048 und 2024 Switches zu betreuen. Im Moment können alle Ports frei genutzt werden. Um dies in Zukunft einzuschränken, möchte ich eine 802.1x Authentifizierung für Geräte einführen. Auf dem Ubuntu-Server läuft bereits ein freeradius Server, der mit LDAP gekoppelt ist, damit sollte mein Vorhaben ja soweit umsetzbar sein. Problem ist nur, dass in verschiedenen Räumen Laptop-Koffer benutzt werden, die aus 15 Laptops und einem WLAN Accesspoint bestehen. Die vorhandenen Accesspoints unterstützen keine 802.1x Authentifizierung, müssen also ausgetauscht werden.

Mein Problem ist nun, dass ich einen WLAN Accesspoint suche, der sich bereits auf der LAN-Seite an einem 802.1x gesicherten Netzwerk authentifizieren kann (device authentication) und seinerseits Clients über 802.1x device authentication ins WLAN lässt. Die Authentifizierung soll auch hier wieder über den freeradius Server laufen. Mir ist unklar, ob sich alle herkömmlichen Accesspoints an einem gesicherten Netzwerk authentifizieren können nur weil sie 802.1x fähig sind, oder ob es sich da um ein spezielles Feature handelt.

Könnt ihr mit vielleicht auch konkrete Accesspoints empfehlen?

Besten Dank für Hinweise in alle Richtungen!

Marvin
Mitglied: catachan
14.03.2013 um 07:44 Uhr
Hi

Die Cisco Aironet APs können das.

LG
Bitte warten ..
Mitglied: aqui
14.03.2013, aktualisiert um 10:09 Uhr
Das muss nicht unbedingt Cisco sein auch preiswerte Consumer Accesspoints von Edimax, TP-Link, Linksys, Trendnet und sogar NetGear können das fast alle ausnahmslos.
Das ist heutzutage auch bei billigen APs meist gang und gäbe.
Außerdem ist es auch meist preiswerter einen Router als AP zu betreiben weil dann die Auswahl größer ist.
Wie das geht beschreibt dieses Tutorial in der "Alternative 3" !:
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...

Sieh ganz einfach bevor du kaufst in das Online Handbuch deines Modells was du ins Auge gefasst hast. Den Händler zu fragen bringt meist nix, da die meisten leider meist nix wissen und bei solchen Fragen nur Bahnhof verstehen wenns keine wirklichen Fachhändler sind.
Ist im Handbuch die Einrichtung einer Enterprise Authentication oder nur einer Radius Server IP beschrieben kann der auch sicher 802.1x !
Diese Tutorials geben dir noch ein paar Tips:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
und auch
http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...
Den Server zum hast du ja schon sonst lohnt auch für einen kleinen Testserver ein Blick hier rein:
http://www.administrator.de/wissen/netzwerk-management-server-mit-raspb ...

Oder...war deine Frage jetzt so gemeint das die APs selber auf der Schnittstelle wo sie an die Switchinfrastruktur die mit .1x gesichert ist angeschlossen werden sich mit einem eigenen 802.1x Client selber am Switch/LAN Netzwerk authentifizieren können ??
Da hat Kollege Netman dann schon recht, da trennt sich sehr schnell die Spreu vom Weizen und das können nur bessere APs wie die obigen Ciscos, Aruba usw.
Der einzige AP aus dem Consumer Bereich der das m.W. kann ist ein Linksys WRT54G mit DD-WRT Firmware drauf !
Bitte warten ..
Mitglied: MrNetman
14.03.2013 um 09:23 Uhr
Hi Marvin,

zu diesen Koffern und WLAN.
APs mit Zusatzfunktinen zu nehmen bedeutet, dass du die Authorisierung aus der Hand gibst oder etliche Male dezentral machen musst und trotzdem keine Ahnung hast, wer mit den Koffern arbeitet, da du nur den AP siehst.
Auf der andern Seite ist die Authorisierung mit 802.1x via einfachen WLAN-AP eine kritische Sache. Sobald der Port aktiviert ist, bleibt er aktiviert, da ja eine neue MAC, ein neuer WLAN-Client den Port nicht deaktivieren dürfen. Ausnahmen gibt es mit diversen lokalen Switchkonfigurationen oder Tools, die via SNMP die Anzahl der MACs pro Port prüft und auch gegen eine Datenbank vergleicht. (macmon)

Ein Router als AP würde das System sowieso aushebeln.

Gruß
Netman
Bitte warten ..
Mitglied: aqui
14.03.2013, aktualisiert um 10:15 Uhr
.@MrNetman
Das gilt aber nur für preiswerte Consumer Switches die .1x Funktion haben. Bessere Switches wie Cisco, Brocade, Extreme und Co. machen eine per Mac Authentisierung mit .1x, da sie auch Mac basierte VLANs so supporten.
Da kann z.B. keine einzelne Mac den Port öffnen und alle anderen können hinterher !
Solche Switches machen pro neuer Mac an dem Port eine dedizierte neue Authentisierung dieser Mac. Das soll z.B. auch verhindern dot einen 5 Port Billigswitch anzuschliessen, einer öffnet den Port und die restlichen 4 können ins Netz.
Sowas ist mit den o.a. Switches nicht möglich oder kann man wirkungsvoll unterbinden !
Sogar ein dediziertes Forwarding multipler Macs in unterschiedliche VLANs an so einem Port ist so möglich ! (Mac based VLANs)
Es hängt also wie immer vom Switchbudget ab was man sicherheitstechnisch will und umsetzen kann
Bitte warten ..
Mitglied: MrNetman
14.03.2013 um 10:37 Uhr
.@aqui
Das sind aber Linksys Switches und auch sonst erfordert 802.1x einen recht hohen Aufwand und sehr spezifisches Wissen um die Switchkonfiguation.
Deshalb die allgemeinen Hinweise.
Bitte warten ..
Mitglied: aqui
14.03.2013 um 10:43 Uhr
Ja, klar die Linksys Billigeile können das oben beschriebene natürlich so nicht, keine Frage. Deshalb liegen sie auch in ganz anderen Preisregionen.
Ist ja wie bereits gesagt immer die Frage was man sicherheitstechnisch wie erreichen will und wieviel einem das wert ist ?!
Bitte warten ..
Mitglied: marvinm
14.03.2013 um 20:19 Uhr
Erstmal vielen Dank für die zahlreichen Antworten und die Links!

Zitat von aqui:
Oder...war deine Frage jetzt so gemeint das die APs selber auf der Schnittstelle wo sie an die Switchinfrastruktur die mit .1x
gesichert ist angeschlossen werden sich mit einem eigenen 802.1x Client selber am Switch/LAN Netzwerk authentifizieren können
??
Da hat Kollege Netman dann schon recht, da trennt sich sehr schnell die Spreu vom Weizen und das können nur bessere APs
wie die obigen Ciscos, Aruba usw.
Der einzige AP aus dem Consumer Bereich der das m.W. kann ist ein Linksys WRT54G mit DD-WRT Firmware drauf !

Ok, scheinbar habe ich mich schwammig ausgedrückt, folgendes war gemeint: Die Cisco Switches stellen an den LAN Dosen einen mit 802.1x gesicherten Zugang bereit (hier ist Geräte-Authentifizierung angedacht). Die Authentifizierung soll über einen freeradius Server funktionieren.
Die Accesspoints/Router in den Laptopwagen sollen sich jetzt einerseits selbst an den Netzwerkdosen authentifizieren (damit sie überhaupt einen Zugang bekommen). Ins WLAN sollen dann nur Laptops, die sich ihrerseits über Benutzer-Authentifizierung authentifiziert haben (ebenfalls über freeradius mit LDAP; wenn es praktikabler ist, könnte ich hier auch Geräte-Authentifizierung haben). Zentrale Verwaltung von erlaubten Geräten und Benutzern soll der freeradius Server übernehmen.
Das Setup ist ein wenig kompliziert, aber was tut man nicht alles um neugierige Schüler aus dem Netzwerk auszusperren ;) Ich hoffe ich habe das jetzt verständlich beschrieben.

.@MrNetman
Die Autorisierung will ich eben nicht aus der Hand geben, da sich die Laptops, die sich im WLAN anmelden wollen, über den Accesspoint autorisieren sollen, der seine Daten wiederum vom freeradius Server bezieht. Oder habe ich Dich noch nicht richtig verstanden?

.@aqui
Ich dachte bis jetzt, dass der Switch den Client anhand des für den Client ausgestellten Zertifikats erkennt und dann entsprechend dafür freischaltet? Ich denke das ist doch noch eine zusätzliche Sicherheitsstufe im Vergleich zum reinen MAC-Adressen Abgleich.
Bitte warten ..
Mitglied: aqui
15.03.2013 um 09:59 Uhr
OK, dann war das doch richtig verstanden das die APs selber einen .1x Client an Bord haben müssen um sich am LAN Port zu authentisieren !
Das ist aber eine Funktion die keiner der Blödmarkt Billig APs aus dem Consumer Bereich haben, das ist klar !
Der einzige wie gesagt der das m.E. kann ist ein Linksys WRT54GL mit DD-WRT Firmware.
Du musst bei der Auswahl der APs also hier doch in den etwas höherwertigen Bereich von Aruba, Cisco, Lancom, Motorola, Trapeze usw. sehen. Die können das in der Regel durch die Bank alle !

So kompliziert oder exotisch ist dieses Setup gar nicht und eben ein absolut gängiges Konzept sichere Netze in diesem Umfeld zu realisieren. Du bist da also absolut auf dem richtigen Weg, keine Frage !!
Die oben zitierten Tutorial weisen ja ebenfalls in diese Richtung !
Bitte warten ..
Mitglied: marvinm
17.03.2013 um 19:31 Uhr
Besten Dank!

Also könnte ich mit dem Cisco Aironet 1041 arbeiten? Gibt es vielleicht noch ein Alternativ-Modell, das etwas preisgünstiger ist? Ich bin noch nicht dahinter gekommen, wie erkennen kann, ob Access Point einen 802.1x Client an Bord hat. Er sollte übrigens möglichst WLAN-n fähig sein.

Der WRT54GL mit der anderen Firmware kommt mir dann doch ein wenig "hacky" vor. ;)

Danke für Eure Tipps!
Bitte warten ..
Mitglied: aqui
19.03.2013 um 16:12 Uhr
Das ist Blödsinn, das anerkannte DD-WRT (Buffalo betreibts das z.B. zertifiziert auf seinen Produkten !) basiert auf OpenWRT und ist keineswegs "hacky".
Im übrigens: Was dachtest du denn was auf den ganzen billigen Consumer APs rennt ?? Alles "hostapd" mit embedded Linux...mehr nicht !
Denk also bitte mal etwas realistisch !
Bitte warten ..
Mitglied: marvinm
19.03.2013, aktualisiert um 18:35 Uhr
Ok, sorry, ich habe gerade mal ein bisschen über DD-WRT gelesen und da habe ich nicht weit genug drüber nachgedacht, das muss ich zugeben!

Ich bin aber auf der Suche nach einem Gerät, das WLAN-n fähig ist und meine Anforderungen erfüllt. Gibt es da etwas, das preislich zwischen WRT54GL und dem Cisco Aironet 1041 liegt?

Danke nochmal für Deine Hilfe

//EDIT: Ich habe gerade auf der Cisco Webseite gelesen, dass die meisten APs einen Wireless Controller brauchen. Ist das auch bei den als "Standalone" betitelten Geräten der Fall?
Bitte warten ..
Mitglied: MrNetman
19.03.2013 um 22:59 Uhr
nein, die Cisco standalones kommen auch ohne Controller aus.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Access Point für 802.1X Authentifizierung (6)

Frage von technikneuling zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
WLAN-Funkreichweite Access Point MikroTik (4)

Frage von teret4242 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst 802.1x Authentifizierung - NPS - RADIUS MAC (2)

Frage von LKaderavek zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Access Point: Ubiquiti UAP AC PRO Einschätzung Reichweite (4)

Frage von TimMayer zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...