djfflow
Goto Top

802.1x mit Zertifikaten

Hallo,

wir setzen seit ein paar Jahren an den Switchen 802.1x mit Zertifikaten ein. Dies funktioniert auch alles wunderbar.
Seit ein paar Wochen gibt es aber Probleme bei allen Außenstellen. Diese sind per IPSec VPN an unser RZ angeschlossen und können sich nicht mehr authentifizieren.
Das kuriose ist, dass nur die Authentifizierung mit 802.1x mit Zertifikaten nicht klappt.
Per MAC-Adresse oder User + Passwort klappt die Authentifizierung.
Meine Vermutung ist, dass das Zertifikat unterwegs ausgetauscht oder die Kommunikation irgendwie anderweitig verändert wird. Aussage RZ: Nein, nur Verkehr zum Internet wird "aufgebrochen".

Meine Fragen sind:
1. Wird das Computerzertifikat vom Client an den Radius Server übertragen oder wird nur ein Hash oder was auch immer übertragen?
2. Wie kann der Radius Server prüfen, das der Client auch wirklich der Client ist?
3. Ich habe ein Wireshark Trace am Router der Außenstelle und dem Radius Server erstellt. Wie kann ich diese beiden Traces mit den jeweiligen Paketen am besten vergleichen um Unterschiede festzustellen?

Ich hoffe ihr könnt mir helfen.

LG

Content-ID: 21319986965

Url: https://administrator.de/contentid/21319986965

Ausgedruckt am: 24.11.2024 um 18:11 Uhr

aqui
aqui 15.11.2023 aktualisiert um 10:37:38 Uhr
Goto Top
1.)
Ja. Siehe: https://www.securew2.com/blog/802-1x-eap-tls-authentication-flow-explain ...
2.)
Das kannst du am Client prüfen lassen über das Radius Server Zertifikat. Die CA muss natürlich zusätzlich auch in den vertrauenswürden Stammzertifikaten liegen.
Freeradius Management mit WebGUI

Das Manipulationen auf dem Radius Transport passieren kann man wohl einigermaßen sicher ausschliessen. Bei Zertifikaten spielt die genaue Uhrzeit eine wichtige Rolle. Kannst du sicherstellen das diese bei allen Beteiligten korrekt gesetzt ist (NTP)?
djfflow
djfflow 15.11.2023 um 10:33:31 Uhr
Goto Top
Hallo,

ja das habe ich auch eingestellt mit der CA. Aber wie prüft der Radius Server das der Client A1 wirklich Client A1 ist und nicht nur vorgibt Client A1 zu sein.
Im Access-Request Paket sehe ich als Username host/ClientA1.domäneA
Wie kann der Radius Server nun prüfen, dass es sich wirklich um diesen Client aus DomäneA handelt und nicht um Client aus DomäneBösartig?
PS: wir nutzen den Windows NPS Server als Radius.
mayho33
mayho33 15.11.2023 um 15:44:51 Uhr
Goto Top
Ich bin ja fast sicher, dass das gecheckt wurde, frage aber trotzdem:

Kann es sein, dass das Zertifikalt abgelaufen ist?

Grüße!
aqui
aqui 26.11.2023 um 14:56:36 Uhr
Goto Top
Wenn es das denn nun war:
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen!