802.1X mit Mac-Filterung mit HP Switchen und Bintec WLAN APs

Hallo Zusammen,

ich betreibe mein Netzwerk mit einem Windows-Radius-Server und Zertifikatsauthentifizierung in Verbindung mit HP-Switchen und Bintec WLAN-Accesspoint (mit Bintec WLAN Controller).

Ein Auszug der Konfiguration eines Switchs.

Die Bintec Accesspoints des Netzwerks sind ja vom Port-Access Authenticator ausgenommen.

Im WLAN-Controller ist für jede SSID die IP von meinem Windows-Radius eingestellt und die Geräte authentifizieren sich per Zertifikat, alles fein.


Nun stehe ich vor einem Problem:

Jede unserer Fertigungsmaschinen mit einer der zwei Konstellationen ebenfalls per WLAN angebunden:

1. Bedienereinheit <--->Accesspoint im Clientmode <---> Bintec AP.
2. Bedienereinheit <--->Switch<---->Accesspoint im Clientmode <----> Bintec AP.
^----->Kameras zur Teileprüfung

Der Accesspoint im Clientmode ist ein IEP WLAN702 (So ein Industrial AP mit OpenWRT). Dieser läuft mit dem Modul STABRIDGE und verbindet meine Maschinenhardware (Bedienereinheit, ggf. Kameras) per WLAN ans Netzwerk. Die Geräte können wohl WPA2 Enterprise, davon sind es aber noch nicht viele - vielleicht so 5-6 Stück.

Aber haben wir auch noch welche mit einer Firmware vom DLINK DAP 1160, ebenfalls Industrial Geräte. Davon sind bestimmt 40-45 im Einsatz. Und diese können kein WPA2 Enterprise.

Nun muss ich aber die Netzwerke eben mit 802.1x absichern. Für Geräte ohne WPA2 Enterprise kommt für mich dann letztendlich nur MAC-Filter in Frage.
Wie wäre die richtige Vorgehensweise?


1. Im WLAN-Controller stelle ich für SSID des Maschinennetztes WPA2-Enterprise ein.
2. Definiere die IP meines Radius-Servers.
(Hier komme ich an das Problem, dass die Geräte kein WPA2-Enterprise unterstützen. Ohne WPA Enterprise muss ich ja zwingend eine SSID und ein Kennwort eingeben?)
3. Im Radius konfiguriere ich noch, dass MAC-Authentifizierung möglich ist (modify the registry key "User Identity Attribute" under HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy to 31 in the NPS server.)
4. Lege Benutzeraccounts für die MAC-Adressen im AD an und im NPS die Richtlinien an (gibt ja paar Anleitungen).

(Auszug der Sicherheitseinstellungen vom WLAN Controller)
bintec


1. Wie bekomme ich Punkt 3 gelöst?
2. Habe ich ja mehrere Endgeräte per LAN an dem Industrial Client Accesspoint, diese muss ich ja ebenfalls irgendwo definieren.
3. Wie verhindere ich dann, dass jemand z.B. sein Notebook oder whatever am LAN an dem Industrial AP ansteckt und im Netzwerk ist?


Mir wäre es Recht, wenn ich alles zentral über den Windows-NPS steuern könnte. Als letzte Möglichkeit sehe ich, die Zugriffskontrolle per MAC-Filter auf dem WLAN-Controller einzurichten und würde dies gerne vermeiden.


Danke.

Content-Key: 1715943737

Url: https://administrator.de/contentid/1715943737

Ausgedruckt am: 23.01.2022 um 21:01 Uhr

Mitglied: aqui
aqui 13.01.2022 aktualisiert um 09:48:32 Uhr
Goto Top
Für Geräte ohne WPA2 Enterprise kommt für mich dann letztendlich nur MAC-Filter in Frage.
Nein, das wäre in deinem Umfeld Frickelei. Alles was keinen .1x Client an Bord hat fackelst du mit MBP (Mac Bypass, Mac Authentisierung) ab über den Radius. Ist salopp gesagt quasi das Gleiche nur das als Username/Pass die Mac Adresse verwendet wird. So bringt man nicht .1x fähige Endgeräte in ein .1x gesichertes Netz wie deins.
Beispiele dazu findest du hier viele im Forum:
https://administrator.de/content/detail.php?id=503461&token=446#comm ...
https://administrator.de/content/detail.php?id=500006&token=166#comm ...
https://administrator.de/content/detail.php?id=621930&token=781#comm ...
usw. usw.
Ersteres nutzt eine Windows Client mit aktivem .1x Client. Wenn du dort WLAN Endgeräte ohne .1x assoziieren lässt dann sendet der Authenticator im AP die Mac Adresse (Mac Bypass).
Das solltest du dann in einer Radius Umgebung wie deiner immer nutzen statt der Fricklei mit Mac ACLs auf dem AP.
Die Antwort auf Frage 3. inkludiert das obige. Du machst ja dann über den Industrial AP der ja im Client Mode arbeitet dann eine MBP Authorisierung am AP wo dieser Client Mode AP assoziiert ist. Eine Laptop AP würde dann vom Radius abgewiesen weil der nur die Macs deiner Maschinen erlaubt.
Frage 3 ist leider etwas doppeldeutig. Wenn du es so meinst das diese Industrial APs als Infrastructure APs laufen (also kein Client Mode) sie aber keinen WPA Enterprise Mode supporten kannst du das dann nur über einen 802.1x Port Authentisierung mit MBP am Switchport lösen wo dieser AP angesteckt ist. Dann ist nicht der AP Authenticator sondern der Switch. Der AP arbeitet ja im simplen Bridge Mode so das alles MAC Adressen die zu authentisieren sind dann am Switchport anliegen.
Mitglied: westberliner
westberliner 13.01.2022 um 17:09:45 Uhr
Goto Top
Ich habe es versucht eben umzusetzen, allerdings ohne Erfolg.

1. Mac als AD Username und Passwort erzeugt aufgrund Komplexität der Domainpolicy ein Problem. (aber soweit bin ich nun nicht mal gekommen.
2. Die Anfrage sehe ich nicht mal am am NPS.
Am WLC sehe ich, dass der Client sich versucht zu verbinden und dann wieder getrennt wird.
log wlc

Die Einstellmöglichkeiten am WLC waren ja, wie oben aus dem Screenshot
bintec

An dem AP-Client-Mode-Gerät habe ich nur folgende Einstellmöglichkeiten:
dlink

Ich habe hier SSID und als Passphrase die WLAN-Mac von dem Gerät verwendet, aber das haut nicht hin. Auch komplett den Security Mode abschalten geht nicht.

Was mach ich falsch?
Mitglied: aqui
aqui 13.01.2022 um 19:27:32 Uhr
Goto Top
WPA2 Cipher sollte man niemals mehr auf TKIP Mischbetrieb setzen. Das ist ein Kardinalsfehler, denn TKIP limitiert die Bandbreite der Clients. Hier immer AES only setzen !!
TKIP ist schon seit Jahrzehnten tot und nutzt keiner mehr aus eben dem o.a. Grund und weil es massiv unsicher ist. Das nur einmal nebenbei...
Soweit sind die Settings aber OK.
Wenn du allerdings noch nicht einmal eigenheden Radius Requests siehst dann stimmt ja grundsätzlich etwas nicht an deinem Mac Bypass Setup.
Zumindestens das solltest du mit einem Wireshark, tcpdump oder dem Radius im Debug Mode sehen.
Mitglied: westberliner
westberliner 17.01.2022 um 16:43:24 Uhr
Goto Top
Wie bekomme ich denn den WLAN-Traffic mitgeschnitten? Dafür müsste ich ja im selben WLAN sein, wie der Client-AP oder?

Der Log-Level auf dem WLAN-Controller steht bereits auf DBUG, auch extra eingeschaltetes Logging direkt auf der Ethernetschnittstelle dort, brauchte mir keinen Aussagekräftigen Netzwerkdump raus.
Mitglied: aqui
aqui 17.01.2022 aktualisiert um 16:53:35 Uhr
Goto Top
Dafür müsste ich ja im selben WLAN sein, wie der Client-AP oder?
Nein, nicht zwingend. Im Promiscous Mode kannst du alles auch von außen mitschreiben. Nützt dir bei WLANs mit WPA2/WPA3 und dort assoziierten Clients aber nix weil ja verschlüsselt.
Steuerframes oder Beaconings, Probe Requests usw. kannst du aber auch immer im Klartext sehen.
Guckst du dazu auch hier:
https://administrator.de/tutorial/netzwerk-management-server-mit-raspber ...

Du hast das aber vermutlich miss- oder nicht verstanden. Die Radius Requests des APs sendet der ja immer über Kupfer zum Radius Server. Die Funkschnittstelle spielt keine Rolle. Der AP ist ja der Authenticator (Client ist der Supplicant).
Diese Kommunikation findet also immer Kupfer basierend statt und kann man mit dem Kabelhai oder tcpdump dann problemlos mitschneiden um zu sehen was da genau abgeht.
Heiß diskutierte Beiträge
question
Alternative für MS TeamsBlackDevilVor 1 TagFrageVideo & Streaming5 Kommentare

Servus Zusammen, ich arbeite eigentlich grundsätzlich remote, was eben auch Kundengespräche und -beratung inkludiert. Bisher mache ich das über MS Teams, was im Grundsatz auch ...

question
Analog Telefonanschluss aufs Netzwerk bringenpeter91gVor 1 TagFrageISDN & Analoganschlüsse13 Kommentare

Hallo zusammen, ich habe aktuell ein Router von meinem Provider welcher im Bridge-Modus geschalten ist. Dadurch kann ich die Festnetztelefonie nur über den Analog-Anschluss am ...

question
Verständnisproblem SubnettingKarolaVor 1 TagFrageNetzwerkgrundlagen7 Kommentare

Hallo, möchte mal nerven weil ich keine Antwort finde Ein Netzwerk 172.16.0.0 /16 besteht aus einem alten Router als 4 Port Switch und 4 Clients. ...

question
Syntax zum Mappen einer Freigabe auf einem RDSH gelöst mtcmtcVor 1 TagFrageNetzwerke14 Kommentare

Hallo zusammen, ich starte normalerweise eine rdp-Datei um mich vom HomeOffice auf meinen RDSH-Client in der Firma zu verbinden. -> also kein Problem Auf diesem ...

question
Apps mit riesigen Datenbank verbindenBella21Vor 1 TagFrageEntwicklung4 Kommentare

Hallo alle zusammen, ich suche nach einer Lösung für einen APP. Der Datenbank ist riesig mehr als 10GB, da die komplette Datenbank nicht auf das ...

question
Umgestaltung HeimnetzwerkPaulePilsVor 1 TagFrageNetzwerke1 Kommentar

Hallo zusammen, ich bin seit heute neu im Forum, deshalb hoffe ich, dass meine Beitrag an der richtigen Stelle platziert ist :-) Ich würde mich ...

question
Ist diese Hardware sinnvoll für privaten Haushalt?stonevVor 11 StundenFrageRouter & Routing4 Kommentare

Hallo erstmal :) Meine alte Fritzbox 7490 spinnt seit gestern. Ich gehe von Alterschwäche aus, es wird also Ersatz fällig. Zufrieden war ich mit ihr ...

question
Hyper V Maschine (Windows 10 Pro) auf Server2022 langsam gelöst factxyVor 1 TagFrageHyper-V6 Kommentare

Hallo, ich habe einen neuen Server2022 augesetzt und dort von einem 2016er Server eine Windows10 HyperV erst exportiert dann am 2022er importiert. Soweit mit gleicher ...