Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Access Point mit Supplicant-Funktion bzw. EAP-TLS - Funktion

Frage Netzwerke LAN, WAN, Wireless

Mitglied: prakti

prakti (Level 1) - Jetzt verbinden

19.07.2008, aktualisiert 22.07.2008, 5561 Aufrufe, 2 Kommentare

Hallo Experten,

Folgendes Szenario:

1 Netzwerk, unterteilt in 25 VLAN's , als Authentifizierungsserver fungiert ein IAS unter Win2k3 Enterprise. EAP-TLS funktioniert mit diversen Client-OS'es (WinXP, Linux).
Der AccessBereich des Netzwerks besteht aus ca. 30 Enterasys Matrix C1 Switchen. Diese können auch via EAPOL den o.g. IAS fragen, ob ich den einen oder anderen Switchport benutzen darf. Auch das dynamische VLAN-Zeweisen funktioniert.

Jetzt zum Problem:

Das LAN soll um ein WLAN erweitert werden. WLAN-nach-VLAN-Mapping funktioniert hervorragend und auch die Auth. via EAP-TLS pro WLAN ist i.o.
Nun sind diverse Netzwerkdosen von einem öffentlichen Bereich aus zugänglich, d.h. jeder kann sein Laptop via RJ5-Kabel anschliessen und rumschnüffeln (falls die Dose gepatcht ist).
An einer solchen Dose sollen alle VLAN durch einen AccessPoint erreichbar sein.
Ich will, dass der AP sich an dieser Dose und damit am Switchport via Zertifikat authentifizieren muss, damit jemand, der den AP abzieht und sich mit dem Laptop draufsteckt nicht in die VLAN's "reinhorchen" kann (natürlich müsste er seine EthernetPakete vorher taggen). Er soll also bei neg. Auth. den Switchport und damit die Dose nicht verwenden können.

Lange Rede, kurzez Problem: Kennt jemand einen AccessPoint-hersteller, der dieses Feature (siehe Topic) beherrscht ??? Bei Lancom, Cisco, Enterasys und Ubiquiti konnte ich nichts finden. Natürlich sind auch alternative Lösungen herzlich wilkommen (auf die abschliessbare Netzwerkdose bin ich übrigens auch schon gekommen )

Dank im Voraus + schönes WE
Mitglied: aqui
19.07.2008 um 19:33 Uhr
Das wird schwierig ! Es gibt derzeit keinen AP der aktiv einen 802.1x Supplicant an Bord hat und sich selber an diesem Port authentifizieren kann.

Bei den Herstellern die du aufgezaehlt hast (zusaetzlich waren da noch Meru und Trapeze) ist das auch unsinnig, denn die betreiben alle Controller basierte WLANs. Eigentlich stellt sich da auch dein Problem gar nicht erst, weil APs die Client Daten an so einem Port zentral an den Controller ueber einen GRE Tunnel (manche nutzen auch einen SSH Tunnel) an den Controller uebermitteln.
Dieser splittet dann erst zentral die Daten an seinem LAN Port in die VLANs auf (versieht sie mit einen 802.1q Tag).
Da der Controller immer in einem gesicherten RZ Bereich steht stellt sich in so einem Umfeld deine Problematik gar nicht erst.
Schnueffler koennen an so einem AP Port gar nichts ausrichten, da sie da nicht mal eine IP bekommen und das AP VLAN vollkommen isoliert ist. Eine Verbindung in andere VLANs also technisch unmoeglich ist.

Du gehst in deinem Denkmodell von einem Full Feature AP aus alos einem der ohne Controller funktioniert. Das ist heutzutage meist nur noch der Consumer bereich und da spielen solche sicherlich richtigen Sicherheitsgedanken wie du sie hast keine Rolle.
Abgesehen davon wuerde den preis in diesem Segment niemand bezahlen, deshalb gibt es dort auch keine APs mit einem .1x Supplicant auf der LAN Schnittstelle....leider !
Bitte warten ..
Mitglied: prakti
22.07.2008 um 14:48 Uhr
Danke für die Antwort.
Ich habe trotzdem noch eine Frage:
Was meinst du mit "Schnueffler koennen an so einem AP Port gar nichts ausrichten, da sie da nicht mal eine IP bekommen und das AP VLAN vollkommen isoliert ist. Eine Verbindung in andere VLANs also technisch unmoeglich ist." Am AP selber können sie nichts ausrichten, aber sie können den AP aus der Netzwerkdose ziehen und sich selber draufstecken. Wenn sie nun in der Lage sind, ihre Ethernet-Frames entsprechend zu taggen können sie in jedes VLAN "reinhören", das auf diesen Port bzw. ursprünglich an den AP "durch-getrunkt" wird.

Ein AP, der sich am Netzwerk selber authentifizieren können soll, ist laut Enterasys-Support der RoamAbout 4102, allerdings "nur" mit Username+ Passwort (EAP-MD5, PEAP ???) aber nicht durch Zertifikat (im TechPaper steht dazu leider nichts ). Evtl. bekomme ich so ein Gerät zum Test zugesandt, dann check ich das mal und gebe hier die Ergebnisse zum besten.
Der Ubiquiti-Support hat mir ebenfalls geantwortet. Danach sollen die APs (NanoStation5) ebenfalls eine eigene Auth. am Netzwerk ermöglichen ... näheres unter: http://ubnt.com/forum/viewtopic.php?p=8194 . Hat jemand so ein Gerät in Verwendung und gute Erfahrungen gemacht?
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
LAN, WAN, Wireless
Access Point: Ubiquiti UAP AC PRO Einschätzung Reichweite (4)

Frage von TimMayer zum Thema LAN, WAN, Wireless ...

Router & Routing
Zyxel Support, Zyxel W-Lan Access Point NWA1100-NH (2)

Erfahrungsbericht von ThomasBIT zum Thema Router & Routing ...

LAN, WAN, Wireless
WLAN-Funkreichweite Access Point MikroTik (4)

Frage von teret4242 zum Thema LAN, WAN, Wireless ...

Router & Routing
Access Point konfigurieren (2)

Frage von accessp01nt zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...