802.1x mit Zertifikaten
Hallo,
wir setzen seit ein paar Jahren an den Switchen 802.1x mit Zertifikaten ein. Dies funktioniert auch alles wunderbar.
Seit ein paar Wochen gibt es aber Probleme bei allen Außenstellen. Diese sind per IPSec VPN an unser RZ angeschlossen und können sich nicht mehr authentifizieren.
Das kuriose ist, dass nur die Authentifizierung mit 802.1x mit Zertifikaten nicht klappt.
Per MAC-Adresse oder User + Passwort klappt die Authentifizierung.
Meine Vermutung ist, dass das Zertifikat unterwegs ausgetauscht oder die Kommunikation irgendwie anderweitig verändert wird. Aussage RZ: Nein, nur Verkehr zum Internet wird "aufgebrochen".
Meine Fragen sind:
1. Wird das Computerzertifikat vom Client an den Radius Server übertragen oder wird nur ein Hash oder was auch immer übertragen?
2. Wie kann der Radius Server prüfen, das der Client auch wirklich der Client ist?
3. Ich habe ein Wireshark Trace am Router der Außenstelle und dem Radius Server erstellt. Wie kann ich diese beiden Traces mit den jeweiligen Paketen am besten vergleichen um Unterschiede festzustellen?
Ich hoffe ihr könnt mir helfen.
LG
wir setzen seit ein paar Jahren an den Switchen 802.1x mit Zertifikaten ein. Dies funktioniert auch alles wunderbar.
Seit ein paar Wochen gibt es aber Probleme bei allen Außenstellen. Diese sind per IPSec VPN an unser RZ angeschlossen und können sich nicht mehr authentifizieren.
Das kuriose ist, dass nur die Authentifizierung mit 802.1x mit Zertifikaten nicht klappt.
Per MAC-Adresse oder User + Passwort klappt die Authentifizierung.
Meine Vermutung ist, dass das Zertifikat unterwegs ausgetauscht oder die Kommunikation irgendwie anderweitig verändert wird. Aussage RZ: Nein, nur Verkehr zum Internet wird "aufgebrochen".
Meine Fragen sind:
1. Wird das Computerzertifikat vom Client an den Radius Server übertragen oder wird nur ein Hash oder was auch immer übertragen?
2. Wie kann der Radius Server prüfen, das der Client auch wirklich der Client ist?
3. Ich habe ein Wireshark Trace am Router der Außenstelle und dem Radius Server erstellt. Wie kann ich diese beiden Traces mit den jeweiligen Paketen am besten vergleichen um Unterschiede festzustellen?
Ich hoffe ihr könnt mir helfen.
LG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 21319986965
Url: https://administrator.de/contentid/21319986965
Ausgedruckt am: 24.11.2024 um 18:11 Uhr
4 Kommentare
Neuester Kommentar
1.)
Ja. Siehe: https://www.securew2.com/blog/802-1x-eap-tls-authentication-flow-explain ...
2.)
Das kannst du am Client prüfen lassen über das Radius Server Zertifikat. Die CA muss natürlich zusätzlich auch in den vertrauenswürden Stammzertifikaten liegen.
Freeradius Management mit WebGUI
Das Manipulationen auf dem Radius Transport passieren kann man wohl einigermaßen sicher ausschliessen. Bei Zertifikaten spielt die genaue Uhrzeit eine wichtige Rolle. Kannst du sicherstellen das diese bei allen Beteiligten korrekt gesetzt ist (NTP)?
Ja. Siehe: https://www.securew2.com/blog/802-1x-eap-tls-authentication-flow-explain ...
2.)
Das kannst du am Client prüfen lassen über das Radius Server Zertifikat. Die CA muss natürlich zusätzlich auch in den vertrauenswürden Stammzertifikaten liegen.
Freeradius Management mit WebGUI
Das Manipulationen auf dem Radius Transport passieren kann man wohl einigermaßen sicher ausschliessen. Bei Zertifikaten spielt die genaue Uhrzeit eine wichtige Rolle. Kannst du sicherstellen das diese bei allen Beteiligten korrekt gesetzt ist (NTP)?