Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit Verschlüsselung & Zertifikate

Wie funktioniert EAP-TLS Authentication des PCs im 802.1x netz über RADIUS?

Mitglied: icegod

icegod (Level 1) - Jetzt verbinden

20.04.2006, aktualisiert 08.01.2009, 9075 Aufrufe, 3 Kommentare

hi,also habe folgendes Problem.Bin Praktikant bei ner firma die sich für die umsetzung des 802.1x standards interessiert.
Es gibt eine test PKI, als verzeichnisdienst NDS.mir geht es jetzt speziell um den RADIUS.

Wer sich mit dem Thema beschäftigt hat, weis das jeder PC ein von einer CA signiertes Zertifikat braucht,dieses während des EAP-TLS Handshakes an den RADIUS sendet, dieser es überprüft und nach Erfolg des gesamten Hshakes ein Success paket zum switch sendet,dieser den Port für den PC öffnet,fertig.So weit so gut.Aber in keiner Literatur habe ich nähere angaben wie genau der RADIUS die Prüfung mit seinem dahinterliegendem Verzeichnisdienst (sei es nun Windows ADS oder Novells NDS) macht.

Ich nehme an die NDS oder ADS muß ein Schema zur Erstellung von Maschinenaccounts besitzen, in dem bestimmte Zertifikat attribute abgelegt werden .
Aber wie ist der Prüfvorgang für den RADIUS?
Kann man bei dem angeben wie intensiv das Zert. geprüft werden soll, also welche Zert.attribute oder läßt er in der NDS den PC suchen und prüft dort nach allen auffindbaren einträgen?

habe nie mit einem RADIUS gearbeitet.Bevor ich mir einen bestimmten SERVER für unser Problem aussuchen kann,muß ich erst mal die allg. Arbeitsweise verstehen.

ZIEL des Projektes soll sein, daß die Switchports nun geöffnet oder gesperrt sein sollen.
dafür soll nur das Zertifikat des PCs entscheident sein.Die entscheidung,ob sich ein nutzer nun in die NDS einloggen will oder nicht,soll unabhängig von der Maschine bleiben.Relevant ist nur Port offen oder nicht.

Ich hoffe mir kann jemand einen roten faden spannen,an dem ich mich entlanghangeln kann.danke im voraus.
Mitglied: 25059
28.04.2006 um 07:32 Uhr
hi,

hab gerade eine 802.1x implementation hinter mir.
hab 2 issuing cas + nen redundanten radius + z.b. ciscos >2950.
zuerst muss jeder switch mit eap usw. erstmal klarkommen, z.b. ciscos >2950.
die pkis stellen für jedes computerkonto in der domäne ein zertifikat bereit.

die IAS config schaut bei mir wie folgt aus:

Remote Access Policies:
Name:802.1x Authentication RAP
Order: 1 - matched zuerst

Policy conditions:NAS-Port-Type matches "Ethernet"

Unter Authentication alles ausschalten.

EAP-Methods: Smart Card or other certificate wählen - hier steht dann die PKI drin.

If a connectionr equest matches the specified conditions:
Grant remote Access Permission


Connection Request Policies:
Name:802.1x Authentication RAP
Procession Order: 1
Policy conditions: NAS-Port-Type matches "Ethernet"


Zum nachschauen ob auf dem Radius was ankommt empfehl ich dir den IAS Log Viewer: http://www.deepsoftware.com/iasviewer/ ist trial und reicht völlig aus.

Wakeup on LAN funktioniert nach 802.1x weiterhin, nur wird dir ein pxeboot nicht mehr möglich sein... Hierzu gibt es jedoch noch die möglichkeit die switchports nicht zu downen, sondern die switche so zu konfigurieren dass diese clients ohne zertifikat in ein guestvlan fallen, welches z.b. nur auf einen server sprechen darf, der für die OS verteilung zuständig ist. z.b. ein ris oder so.

ich würde den radius auf jedenfall noch redundant auslegen und beide in die switchconfig eintragen. denn sobald dieser ausfällt wird wohl kein port mehr erwachen. man könnte zwar dann an nem ungeschützten port die config (nur ein paar zeilen auf dem siwtchport) wieder runternehmen, jedoch wenn man sich auch am switch per radius einloggen muss und dieser down ist hilft meist nur noch ein fallback-konzept.

eine schwachstelle ist bei 802.1x u.a. auch wenn dir ein user an seinem client das lankabel rauszieht und dann dort nen kleinen hub dranhängt, dann wird der switchport von seinem pc geöffnet und am hub ist auch alles frei fürs private notebook... hier hilft warscheinlich nur die portsecurity auf eine mac runterzustellen...

radius allgemeines...
http://www.microsoft.com/germany/technet/datenbank/articles/900172.mspx
http://www.tecchannel.de/sicherheit/grundlagen/402082/index18.html
http://www-wlan.uni-regensburg.de/8021x.html
http://de.wikipedia.org/wiki/RADIUS

schwierig wird das ganze noch bei den ports an denen die drucker hängen. hier kämpfe ich zur zeit. die drucker können wohl zertifikate, jedoch ich weiss noch nicht genau wie die die eap requests beantworten sollen... bin da zurzeit noch am testen. falls hier noch jemand eine idee hat.... ich bin für jeden tipp dankbar.

hier noch wie du deinen radius redundant bekommst:

1.
richte auf dem sourceradius einen timedtask ein, welcher alle 30minuten läuft und dies unter einem user, welcher sein passwort nie ändert. z.b. ein spezieller user hierfür, welcher sich nur auf diesem rechner und dem zielrechner einloggen darf.
auszuführender befehl:
netsh aaaa show config >\\ZIELSERVER\C$\radiusconfig.txt

2. richte auf dem zielserver einen timedtask ein, welcher alle 30minuten läuft und dies unter einem user, welcher sein passwort nie ändert. z.b. ein spezieller user hierfür, welcher sich nur auf diesem rechner und dem zielrechner einloggen darf.
auszuführender befehl:
netsh exec c:\radiusconfig.txt

somit wird spätestens nach 30minuten die radiusconfig automatisch in eine andere machine importiert. dies geschieht im livebetrieb und mann muss hierzu den radiusdienst nicht neustarten.

man beachte:
man darf in zukunft nur noch auf dem sourceserver die konfigurationd es radius ändern, da diese auf die anderen übertragen wird. ändert man auf einem anderen die config, so wird diese spätestens nach 30minuten überschrieben.

um das ganze überwachen zu können, kann man mom von microsoft benutzen oder ein tracking auf die radiusconfig.txt machen, ob diese auch alle 30minuten geändert wird (zeitstempel der datei).

ps: die lösung ist zwar nicht die schönste, jedoch sie funktioniert und ich habe bis jetzt noch keine andere möglichkeit gefunden die radiusconfig auf einem anderen weg in den anderen ias zu bekommen.

gruß
wolfgang
Bitte warten ..
Mitglied: icegod
08.05.2006 um 11:46 Uhr
Danke, für die Infos.
Die werden mir noch an mancher Stelle hilfreich sein.
Bitte warten ..
Mitglied: Inqui
11.05.2006 um 09:41 Uhr
Hallo Icegod,

ich bin auch gerade dabei ein Testumgebung für das Testen von 802.1x im LAN aufzubauen. Hab mir für die Installation bzw. Konfiguration erstmal folgendes Whitepaper von MS zu Gemüte geführt:
http://www.microsoft.com/downloads/details.aspx?familyid=05951071-6b20- ...
Wahrscheinlich hast du dieses auch schon gelesen; falls jedoch nicht ist es sicherlich an manchen Stellen Hilfreich.

MfG
Inqui
Bitte warten ..
Ähnliche Inhalte
Windows Server
802.1x - Radius - kann Client ins Netz wenn es hakt?
Frage von 1410640014Windows Server

Hallo, wir wollen in einer kleineren Firma 802.1x - Radius Authentifizierung mit 2012R2-Servern implementieren (auf Computer-Zertifikatsbasis) Problem: Die Zweigstellen ...

Firewall
PfSense: Freeradius, NUR EAP-TLS
Frage von mrserious73Firewall

Hallo zusammen, gibt's eine Möglichkeit, den Radiusserver in pfSense wirklich NUR EAP-TLS machen zu lassen? Man kann die restlichen ...

Windows Server
802.1x und NAP - Funktionsweise EAP-Quarantäneerzwingungsclient
gelöst Frage von cuilsterWindows Server4 Kommentare

Hallo, zum Bergfest wieder mal ne harte Nuss Ich versuche es mal zu Formulieren. Basis ist eine 802.1x-Infrastruktur mit ...

LAN, WAN, Wireless
WLan-Authentifizierung über NPS mit EAP-TLS
Frage von KopeckLAN, WAN, Wireless1 Kommentar

Hallo, ich habe folgendes Problem: Ich würde gerne mein WLan mit Hilfe von (Benutzer)Zertifikaten absichern. Habe nun in einer ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 1 TagTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 1 TagSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 1 TagSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Sicherheit
Meltdown und Spectre: Die machen uns alle was vor
Information von FrankSicherheit29 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Ubuntu
Ubuntu - Starter für nicht vertrauenswürdige Anwendungen
Frage von adm2015Ubuntu17 Kommentare

Hallo zusammen, Ich verwende derzeit die Ubuntu Versionen 17.10 bzw. im Test 18.04. Ich habe mehrere .desktop Dateien in ...

SAN, NAS, DAS
Hilfe beim Einrichten eines Storages (SAN)
gelöst Frage von Vader666SAN, NAS, DAS15 Kommentare

Hallo Admins! Ich bin in einer kleineren Firma und hatte bisher mit dem Thema SAN nur in meiner Ausbildung ...

Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...