Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Access Point mit Supplicant-Funktion bzw. EAP-TLS - Funktion

Frage Netzwerke LAN, WAN, Wireless

Mitglied: prakti

prakti (Level 1) - Jetzt verbinden

19.07.2008, aktualisiert 22.07.2008, 5609 Aufrufe, 2 Kommentare

Hallo Experten,

Folgendes Szenario:

1 Netzwerk, unterteilt in 25 VLAN's , als Authentifizierungsserver fungiert ein IAS unter Win2k3 Enterprise. EAP-TLS funktioniert mit diversen Client-OS'es (WinXP, Linux).
Der AccessBereich des Netzwerks besteht aus ca. 30 Enterasys Matrix C1 Switchen. Diese können auch via EAPOL den o.g. IAS fragen, ob ich den einen oder anderen Switchport benutzen darf. Auch das dynamische VLAN-Zeweisen funktioniert.

Jetzt zum Problem:

Das LAN soll um ein WLAN erweitert werden. WLAN-nach-VLAN-Mapping funktioniert hervorragend und auch die Auth. via EAP-TLS pro WLAN ist i.o.
Nun sind diverse Netzwerkdosen von einem öffentlichen Bereich aus zugänglich, d.h. jeder kann sein Laptop via RJ5-Kabel anschliessen und rumschnüffeln (falls die Dose gepatcht ist).
An einer solchen Dose sollen alle VLAN durch einen AccessPoint erreichbar sein.
Ich will, dass der AP sich an dieser Dose und damit am Switchport via Zertifikat authentifizieren muss, damit jemand, der den AP abzieht und sich mit dem Laptop draufsteckt nicht in die VLAN's "reinhorchen" kann (natürlich müsste er seine EthernetPakete vorher taggen). Er soll also bei neg. Auth. den Switchport und damit die Dose nicht verwenden können.

Lange Rede, kurzez Problem: Kennt jemand einen AccessPoint-hersteller, der dieses Feature (siehe Topic) beherrscht ??? Bei Lancom, Cisco, Enterasys und Ubiquiti konnte ich nichts finden. Natürlich sind auch alternative Lösungen herzlich wilkommen (auf die abschliessbare Netzwerkdose bin ich übrigens auch schon gekommen )

Dank im Voraus + schönes WE
Mitglied: aqui
19.07.2008 um 19:33 Uhr
Das wird schwierig ! Es gibt derzeit keinen AP der aktiv einen 802.1x Supplicant an Bord hat und sich selber an diesem Port authentifizieren kann.

Bei den Herstellern die du aufgezaehlt hast (zusaetzlich waren da noch Meru und Trapeze) ist das auch unsinnig, denn die betreiben alle Controller basierte WLANs. Eigentlich stellt sich da auch dein Problem gar nicht erst, weil APs die Client Daten an so einem Port zentral an den Controller ueber einen GRE Tunnel (manche nutzen auch einen SSH Tunnel) an den Controller uebermitteln.
Dieser splittet dann erst zentral die Daten an seinem LAN Port in die VLANs auf (versieht sie mit einen 802.1q Tag).
Da der Controller immer in einem gesicherten RZ Bereich steht stellt sich in so einem Umfeld deine Problematik gar nicht erst.
Schnueffler koennen an so einem AP Port gar nichts ausrichten, da sie da nicht mal eine IP bekommen und das AP VLAN vollkommen isoliert ist. Eine Verbindung in andere VLANs also technisch unmoeglich ist.

Du gehst in deinem Denkmodell von einem Full Feature AP aus alos einem der ohne Controller funktioniert. Das ist heutzutage meist nur noch der Consumer bereich und da spielen solche sicherlich richtigen Sicherheitsgedanken wie du sie hast keine Rolle.
Abgesehen davon wuerde den preis in diesem Segment niemand bezahlen, deshalb gibt es dort auch keine APs mit einem .1x Supplicant auf der LAN Schnittstelle....leider !
Bitte warten ..
Mitglied: prakti
22.07.2008 um 14:48 Uhr
Danke für die Antwort.
Ich habe trotzdem noch eine Frage:
Was meinst du mit "Schnueffler koennen an so einem AP Port gar nichts ausrichten, da sie da nicht mal eine IP bekommen und das AP VLAN vollkommen isoliert ist. Eine Verbindung in andere VLANs also technisch unmoeglich ist." Am AP selber können sie nichts ausrichten, aber sie können den AP aus der Netzwerkdose ziehen und sich selber draufstecken. Wenn sie nun in der Lage sind, ihre Ethernet-Frames entsprechend zu taggen können sie in jedes VLAN "reinhören", das auf diesen Port bzw. ursprünglich an den AP "durch-getrunkt" wird.

Ein AP, der sich am Netzwerk selber authentifizieren können soll, ist laut Enterasys-Support der RoamAbout 4102, allerdings "nur" mit Username+ Passwort (EAP-MD5, PEAP ???) aber nicht durch Zertifikat (im TechPaper steht dazu leider nichts ). Evtl. bekomme ich so ein Gerät zum Test zugesandt, dann check ich das mal und gebe hier die Ergebnisse zum besten.
Der Ubiquiti-Support hat mir ebenfalls geantwortet. Danach sollen die APs (NanoStation5) ebenfalls eine eigene Auth. am Netzwerk ermöglichen ... näheres unter: http://ubnt.com/forum/viewtopic.php?p=8194 . Hat jemand so ein Gerät in Verwendung und gute Erfahrungen gemacht?
Bitte warten ..
Ähnliche Inhalte
Firewall
PfSense: Freeradius, NUR EAP-TLS

Frage von mrserious73 zum Thema Firewall ...

LAN, WAN, Wireless
PfSense: Freeradius, EAP-TLS, VLAN-Zuordnung (5)

Frage von mrserious73 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst Konfiguration Linksys Access Point (4)

Frage von albufeira zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
WLan-Authentifizierung über NPS mit EAP-TLS (1)

Frage von Kopeck zum Thema LAN, WAN, Wireless ...

Neue Wissensbeiträge
Ubuntu

Ubuntu 17.10 steht zum Download bereit

(3)

Information von Frank zum Thema Ubuntu ...

Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

(8)

Information von BassFishFox zum Thema Datenschutz ...

Windows 10

Neues Win10 Funktionsupdate verbuggt RemoteApp

(8)

Information von thomasreischer zum Thema Windows 10 ...

Microsoft

Die neuen RSAT-Tools für Win10 1709 sind da

(2)

Information von DerWoWusste zum Thema Microsoft ...

Heiß diskutierte Inhalte
Router & Routing
Allnet - VDSL2 Modem - SFP (mini-GBIC) (20)

Frage von Dobby zum Thema Router & Routing ...

Windows 10
Windows 10 Ordnerfreigabe (19)

Frage von Xaero1982 zum Thema Windows 10 ...

Monitoring
Netzwerk-Monitoring Software (17)

Frage von Ghost108 zum Thema Monitoring ...

Windows Server
gelöst Kopiervorgang schlägt fehl, weil Datei- und Ordnername zu lang sind (14)

Frage von Schroedi zum Thema Windows Server ...