Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Access Point mit Supplicant-Funktion bzw. EAP-TLS - Funktion

Frage Netzwerke LAN, WAN, Wireless

Mitglied: prakti

prakti (Level 1) - Jetzt verbinden

19.07.2008, aktualisiert 22.07.2008, 5566 Aufrufe, 2 Kommentare

Hallo Experten,

Folgendes Szenario:

1 Netzwerk, unterteilt in 25 VLAN's , als Authentifizierungsserver fungiert ein IAS unter Win2k3 Enterprise. EAP-TLS funktioniert mit diversen Client-OS'es (WinXP, Linux).
Der AccessBereich des Netzwerks besteht aus ca. 30 Enterasys Matrix C1 Switchen. Diese können auch via EAPOL den o.g. IAS fragen, ob ich den einen oder anderen Switchport benutzen darf. Auch das dynamische VLAN-Zeweisen funktioniert.

Jetzt zum Problem:

Das LAN soll um ein WLAN erweitert werden. WLAN-nach-VLAN-Mapping funktioniert hervorragend und auch die Auth. via EAP-TLS pro WLAN ist i.o.
Nun sind diverse Netzwerkdosen von einem öffentlichen Bereich aus zugänglich, d.h. jeder kann sein Laptop via RJ5-Kabel anschliessen und rumschnüffeln (falls die Dose gepatcht ist).
An einer solchen Dose sollen alle VLAN durch einen AccessPoint erreichbar sein.
Ich will, dass der AP sich an dieser Dose und damit am Switchport via Zertifikat authentifizieren muss, damit jemand, der den AP abzieht und sich mit dem Laptop draufsteckt nicht in die VLAN's "reinhorchen" kann (natürlich müsste er seine EthernetPakete vorher taggen). Er soll also bei neg. Auth. den Switchport und damit die Dose nicht verwenden können.

Lange Rede, kurzez Problem: Kennt jemand einen AccessPoint-hersteller, der dieses Feature (siehe Topic) beherrscht ??? Bei Lancom, Cisco, Enterasys und Ubiquiti konnte ich nichts finden. Natürlich sind auch alternative Lösungen herzlich wilkommen (auf die abschliessbare Netzwerkdose bin ich übrigens auch schon gekommen )

Dank im Voraus + schönes WE
Mitglied: aqui
19.07.2008 um 19:33 Uhr
Das wird schwierig ! Es gibt derzeit keinen AP der aktiv einen 802.1x Supplicant an Bord hat und sich selber an diesem Port authentifizieren kann.

Bei den Herstellern die du aufgezaehlt hast (zusaetzlich waren da noch Meru und Trapeze) ist das auch unsinnig, denn die betreiben alle Controller basierte WLANs. Eigentlich stellt sich da auch dein Problem gar nicht erst, weil APs die Client Daten an so einem Port zentral an den Controller ueber einen GRE Tunnel (manche nutzen auch einen SSH Tunnel) an den Controller uebermitteln.
Dieser splittet dann erst zentral die Daten an seinem LAN Port in die VLANs auf (versieht sie mit einen 802.1q Tag).
Da der Controller immer in einem gesicherten RZ Bereich steht stellt sich in so einem Umfeld deine Problematik gar nicht erst.
Schnueffler koennen an so einem AP Port gar nichts ausrichten, da sie da nicht mal eine IP bekommen und das AP VLAN vollkommen isoliert ist. Eine Verbindung in andere VLANs also technisch unmoeglich ist.

Du gehst in deinem Denkmodell von einem Full Feature AP aus alos einem der ohne Controller funktioniert. Das ist heutzutage meist nur noch der Consumer bereich und da spielen solche sicherlich richtigen Sicherheitsgedanken wie du sie hast keine Rolle.
Abgesehen davon wuerde den preis in diesem Segment niemand bezahlen, deshalb gibt es dort auch keine APs mit einem .1x Supplicant auf der LAN Schnittstelle....leider !
Bitte warten ..
Mitglied: prakti
22.07.2008 um 14:48 Uhr
Danke für die Antwort.
Ich habe trotzdem noch eine Frage:
Was meinst du mit "Schnueffler koennen an so einem AP Port gar nichts ausrichten, da sie da nicht mal eine IP bekommen und das AP VLAN vollkommen isoliert ist. Eine Verbindung in andere VLANs also technisch unmoeglich ist." Am AP selber können sie nichts ausrichten, aber sie können den AP aus der Netzwerkdose ziehen und sich selber draufstecken. Wenn sie nun in der Lage sind, ihre Ethernet-Frames entsprechend zu taggen können sie in jedes VLAN "reinhören", das auf diesen Port bzw. ursprünglich an den AP "durch-getrunkt" wird.

Ein AP, der sich am Netzwerk selber authentifizieren können soll, ist laut Enterasys-Support der RoamAbout 4102, allerdings "nur" mit Username+ Passwort (EAP-MD5, PEAP ???) aber nicht durch Zertifikat (im TechPaper steht dazu leider nichts ). Evtl. bekomme ich so ein Gerät zum Test zugesandt, dann check ich das mal und gebe hier die Ergebnisse zum besten.
Der Ubiquiti-Support hat mir ebenfalls geantwortet. Danach sollen die APs (NanoStation5) ebenfalls eine eigene Auth. am Netzwerk ermöglichen ... näheres unter: http://ubnt.com/forum/viewtopic.php?p=8194 . Hat jemand so ein Gerät in Verwendung und gute Erfahrungen gemacht?
Bitte warten ..
Neuester Wissensbeitrag
Off Topic

"Ich habe nichts zu verbergen"

(2)

Erfahrungsbericht von FA-jka zum Thema Off Topic ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Konfiguration Linksys Access Point (4)

Frage von albufeira zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Access Point (VLAN, Multi-SSID) legt Netzwerk lahm (8)

Frage von humbeldi zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
WLAN Access Point oder zwei bis 1000EUR (6)

Frage von MyApps2GO.de zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Möglichst Flexibler WLAN Access Point (7)

Frage von Phill93 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Linux Netzwerk
gelöst DHCP vergibt keine Adressen (31)

Frage von Maik82 zum Thema Linux Netzwerk ...

Exchange Server
gelöst Bestehende eMails autoamatisch weiterleiten (22)

Frage von metal-shot zum Thema Exchange Server ...

Apache Server
gelöst Lets Encrypt SSL mit Apache2 (20)

Frage von banane31 zum Thema Apache Server ...

Switche und Hubs
LAG zwischen SG300-Switches macht Probleme. Wer weiß Rat? (20)

Frage von White-Rabbit2 zum Thema Switche und Hubs ...