itgustel
Goto Top

AccessPoint an 802.1x Port

Hi,

eine Frage, ich lese mich gerade etwas in den 802.1X Standard ein. Folgende Frage kommt dir dazu:

Ich aktiviere an einem Port eines Switches "X". An diesem Port wird ein AP angeschlossen, der sich ein einem öffentlich zugänglichen Bereich befindet. Theoretisch könnte jemand mit einer Leiter den AP abstecken und einen Laptop an den Port hängen. Mit X sollte so ein Szenario eben verhindert werden (RADIUS Authentisierung).

Allerdings muss der AP ja an seinem Uplink ebenfalls X beherrschen? Oder liege ich hier falsch?
Also einerseits an seinem kabelgebundenen Uplink als auch an den SSIDs (z. B. mit WPA2/Enterprise Authentisierung)?

Bei vielen Access Points sehe ich die 802.1X Option allerdings nur in den SSID-Einstellungen. Nicht aber auf dem (kabelgebunden) Uplink-Port.

Content-ID: 572786

Url: https://administrator.de/contentid/572786

Ausgedruckt am: 21.11.2024 um 17:11 Uhr

142583
142583 18.05.2020 um 20:36:48 Uhr
Goto Top
Nein muss er nicht.
Technisch verhält sich der AP wie eine Bridge die forwarded.
tikayevent
tikayevent 18.05.2020 aktualisiert um 22:28:20 Uhr
Goto Top
Der Access Point muss es beherrschen, sonst klappt es nicht. Die EAP-Frames vom WLAN gehen an den Access Point, der die auswertet und nicht ins LAN dahinter. Der Access Point muss diese weiterverarbeiten und kann dann z.B. bei einem RADIUS-Server nachfragen, ob die Anmeldung in Ordnung geht.

Zudem hat der Access Point auch Managementfunktionen, die eine Verbindung benötigen, z.B. die Verbindung zum RADIUS-Server.

Bei 802.1X gibt es auch mehrere Varianten, bei der viele den Einsatz eines Access Points an dem Port unmöglich machen, weil z.B. neben dem Switchport auch noch die MAC-Adresse der Pakete überprüft wird.

Ich nehme jetzt einfach mal für die Bezeichnung die Cisco-Variante, weil jeder Hersteller es anders nennt. Für den Betrieb mit einem Access Point würde bei Cisco der sogenannte Multi-Host Mode zum Einsatz kommen, also ein Gerät, der Access Point, würde sich per 802.1X am Switch anmelden und alle weiteren Geräte, die über den Access Point verbunden sind, hätten dann auch Netzzugang. Es gibt dann u.a. noch den Multidomain Authentication Mode und den Multiauthentication Mode, bei denen sich jedes Gerät gesondert anmelden muss.
Diese beiden Modi würden mit einem Access Point nicht funktionieren, weil die kein EAP-Paket über den Access Point hinaus schicken können.

Rein theoretisch könnte man es auch mit einem Access Point machen, der kein 802.1X auf der LAN-Schnittstelle beherrscht, nur müsste man dann zwischen Switch und AP noch einen Switch packen und an dem Switch hängt dann ein Gerät, welches die Authentifizierung durchführt. Der Switch muss sein, um den Link zum 802.1X-Switch aktiv zu halten. Leider löst es dein Problem nicht, weil man dann einfach wieder den Anschluss aus dem AP ziehen und in sein Notebook stecken könnte, ohne dass eine Authentifizerung nötig ist.

Mit MAC-Bypass würde es auch gehen, aber wir wissen ja alle, dass eine MAC-Adresse keine Sicherheit bietet, daher hab ich diese Alternativvariante jetzt nicht weiter ausgeführt.
aqui
aqui 19.05.2020 aktualisiert um 17:45:33 Uhr
Goto Top
Allerdings muss der AP ja an seinem Uplink ebenfalls X beherrschen? Oder liege ich hier falsch?
Nein, da liegst du (fast) richtig !
Fast deshalb, weil es immer für solch passive Endgeräte, die keinen .1x Client an Bord haben die Switches die sog. Mac Passthrough Funktion benutzen.
Hier wird das Endgerät dann auf seine Mac Adresse am Radius authentisiert.
Guckst du auch hier:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
und
Cisco SG 350x Grundkonfiguration
usw.

Klar ist das nicht ganz so sicher wie .1x an sich, da man Mac Adressen überschreiben. Kann. Diese technische Hürde ist allerdings sehr hoch und ein Angreifer müsste sehr gute Kentnisse haben und darauf auch erst einmal kommen wenn der Switchport dicht ist. Dennoch ist es natürlich theoretisch möglich.

Um das sicher zu verhindern lässt man solche APs an öffentlichen Orten dann immer über einen Tunnel auf den WLAN Controller laufen. Die meisten der APs heutzutage wie z.B: Mikrotik oder Ruckus usw. supporten das Tunneling. Der komplette Traffic inkl. MSSID Tags lüft dann über einen verschlüsselten Tunnel und wird am Controller dann terminiert.
Auf dem Switchport arbeitet man dann mit Mac Passthrough und filtert zusätzlich und den Tunnelport. Das ist dann vollkommen wasserdicht und lässt Angreifern keinerlei Chance !