Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wie funktioniert EAP-TLS Authentication des PCs im 802.1x netz über RADIUS?

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: icegod

icegod (Level 1) - Jetzt verbinden

20.04.2006, aktualisiert 08.01.2009, 9003 Aufrufe, 3 Kommentare

hi,also habe folgendes Problem.Bin Praktikant bei ner firma die sich für die umsetzung des 802.1x standards interessiert.
Es gibt eine test PKI, als verzeichnisdienst NDS.mir geht es jetzt speziell um den RADIUS.

Wer sich mit dem Thema beschäftigt hat, weis das jeder PC ein von einer CA signiertes Zertifikat braucht,dieses während des EAP-TLS Handshakes an den RADIUS sendet, dieser es überprüft und nach Erfolg des gesamten Hshakes ein Success paket zum switch sendet,dieser den Port für den PC öffnet,fertig.So weit so gut.Aber in keiner Literatur habe ich nähere angaben wie genau der RADIUS die Prüfung mit seinem dahinterliegendem Verzeichnisdienst (sei es nun Windows ADS oder Novells NDS) macht.

Ich nehme an die NDS oder ADS muß ein Schema zur Erstellung von Maschinenaccounts besitzen, in dem bestimmte Zertifikat attribute abgelegt werden .
Aber wie ist der Prüfvorgang für den RADIUS?
Kann man bei dem angeben wie intensiv das Zert. geprüft werden soll, also welche Zert.attribute oder läßt er in der NDS den PC suchen und prüft dort nach allen auffindbaren einträgen?

habe nie mit einem RADIUS gearbeitet.Bevor ich mir einen bestimmten SERVER für unser Problem aussuchen kann,muß ich erst mal die allg. Arbeitsweise verstehen.

ZIEL des Projektes soll sein, daß die Switchports nun geöffnet oder gesperrt sein sollen.
dafür soll nur das Zertifikat des PCs entscheident sein.Die entscheidung,ob sich ein nutzer nun in die NDS einloggen will oder nicht,soll unabhängig von der Maschine bleiben.Relevant ist nur Port offen oder nicht.

Ich hoffe mir kann jemand einen roten faden spannen,an dem ich mich entlanghangeln kann.danke im voraus.
Mitglied: 25059
28.04.2006 um 07:32 Uhr
hi,

hab gerade eine 802.1x implementation hinter mir.
hab 2 issuing cas + nen redundanten radius + z.b. ciscos >2950.
zuerst muss jeder switch mit eap usw. erstmal klarkommen, z.b. ciscos >2950.
die pkis stellen für jedes computerkonto in der domäne ein zertifikat bereit.

die IAS config schaut bei mir wie folgt aus:

Remote Access Policies:
Name:802.1x Authentication RAP
Order: 1 - matched zuerst

Policy conditions:NAS-Port-Type matches "Ethernet"

Unter Authentication alles ausschalten.

EAP-Methods: Smart Card or other certificate wählen - hier steht dann die PKI drin.

If a connectionr equest matches the specified conditions:
Grant remote Access Permission


Connection Request Policies:
Name:802.1x Authentication RAP
Procession Order: 1
Policy conditions: NAS-Port-Type matches "Ethernet"


Zum nachschauen ob auf dem Radius was ankommt empfehl ich dir den IAS Log Viewer: http://www.deepsoftware.com/iasviewer/ ist trial und reicht völlig aus.

Wakeup on LAN funktioniert nach 802.1x weiterhin, nur wird dir ein pxeboot nicht mehr möglich sein... Hierzu gibt es jedoch noch die möglichkeit die switchports nicht zu downen, sondern die switche so zu konfigurieren dass diese clients ohne zertifikat in ein guestvlan fallen, welches z.b. nur auf einen server sprechen darf, der für die OS verteilung zuständig ist. z.b. ein ris oder so.

ich würde den radius auf jedenfall noch redundant auslegen und beide in die switchconfig eintragen. denn sobald dieser ausfällt wird wohl kein port mehr erwachen. man könnte zwar dann an nem ungeschützten port die config (nur ein paar zeilen auf dem siwtchport) wieder runternehmen, jedoch wenn man sich auch am switch per radius einloggen muss und dieser down ist hilft meist nur noch ein fallback-konzept.

eine schwachstelle ist bei 802.1x u.a. auch wenn dir ein user an seinem client das lankabel rauszieht und dann dort nen kleinen hub dranhängt, dann wird der switchport von seinem pc geöffnet und am hub ist auch alles frei fürs private notebook... hier hilft warscheinlich nur die portsecurity auf eine mac runterzustellen...

radius allgemeines...
http://www.microsoft.com/germany/technet/datenbank/articles/900172.mspx
http://www.tecchannel.de/sicherheit/grundlagen/402082/index18.html
http://www-wlan.uni-regensburg.de/8021x.html
http://de.wikipedia.org/wiki/RADIUS

schwierig wird das ganze noch bei den ports an denen die drucker hängen. hier kämpfe ich zur zeit. die drucker können wohl zertifikate, jedoch ich weiss noch nicht genau wie die die eap requests beantworten sollen... bin da zurzeit noch am testen. falls hier noch jemand eine idee hat.... ich bin für jeden tipp dankbar.

hier noch wie du deinen radius redundant bekommst:

1.
richte auf dem sourceradius einen timedtask ein, welcher alle 30minuten läuft und dies unter einem user, welcher sein passwort nie ändert. z.b. ein spezieller user hierfür, welcher sich nur auf diesem rechner und dem zielrechner einloggen darf.
auszuführender befehl:
netsh aaaa show config >\\ZIELSERVER\C$\radiusconfig.txt

2. richte auf dem zielserver einen timedtask ein, welcher alle 30minuten läuft und dies unter einem user, welcher sein passwort nie ändert. z.b. ein spezieller user hierfür, welcher sich nur auf diesem rechner und dem zielrechner einloggen darf.
auszuführender befehl:
netsh exec c:\radiusconfig.txt

somit wird spätestens nach 30minuten die radiusconfig automatisch in eine andere machine importiert. dies geschieht im livebetrieb und mann muss hierzu den radiusdienst nicht neustarten.

man beachte:
man darf in zukunft nur noch auf dem sourceserver die konfigurationd es radius ändern, da diese auf die anderen übertragen wird. ändert man auf einem anderen die config, so wird diese spätestens nach 30minuten überschrieben.

um das ganze überwachen zu können, kann man mom von microsoft benutzen oder ein tracking auf die radiusconfig.txt machen, ob diese auch alle 30minuten geändert wird (zeitstempel der datei).

ps: die lösung ist zwar nicht die schönste, jedoch sie funktioniert und ich habe bis jetzt noch keine andere möglichkeit gefunden die radiusconfig auf einem anderen weg in den anderen ias zu bekommen.

gruß
wolfgang
Bitte warten ..
Mitglied: icegod
08.05.2006 um 11:46 Uhr
Danke, für die Infos.
Die werden mir noch an mancher Stelle hilfreich sein.
Bitte warten ..
Mitglied: Inqui
11.05.2006 um 09:41 Uhr
Hallo Icegod,

ich bin auch gerade dabei ein Testumgebung für das Testen von 802.1x im LAN aufzubauen. Hab mir für die Installation bzw. Konfiguration erstmal folgendes Whitepaper von MS zu Gemüte geführt:
http://www.microsoft.com/downloads/details.aspx?familyid=05951071-6b20- ...
Wahrscheinlich hast du dieses auch schon gelesen; falls jedoch nicht ist es sicherlich an manchen Stellen Hilfreich.

Mit freundlichen Grüßen
Inqui
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
LAN, WAN, Wireless
802.1x funktioniert nur an einem oder zwei Accesspoints (3)

Frage von westberliner zum Thema LAN, WAN, Wireless ...

Windows Server
802.1x und NAP - Funktionsweise EAP-Quarantäneerzwingungsclient (4)

Frage von cuilster zum Thema Windows Server ...

Windows Netzwerk
gelöst 802.1x Konfiguration (2)

Frage von michaelb123 zum Thema Windows Netzwerk ...

Windows Netzwerk
gelöst RADIUS 802.1x Geräte Authentifizierung (3)

Frage von Cloudy zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...