hambuergaer
Goto Top

Cisco Switch 3750 Stack und DHCP über Radius

Hallo zusammen,

ich sitze gerade in meiner Firma und konfiguriere unseren neuen Cisco Stack, bestehend aus 4x 3750 12-Port LWL und 3x 3750 24 Port Kupfer. Ich habe verschiedene VLANS eingerichtet und das Routing funktioniert. Unsere DHCP-Server verteilen auch fleißig Adressen für die neuen VLANS. Wie bekomme ich es nun hin, dass die DHCP-Adressen nur vergeben werden, wenn ein Rechner mit bestimmter Mac-Adresse im Radius-Server gepflegt wird? Ich möchte damit vermeiden, dass jeder eine Adresse bekommt, der sich bei uns mit seinem Rechner ins Netz hängt.

Viele Grüße

Content-ID: 97875

Url: https://administrator.de/forum/cisco-switch-3750-stack-und-dhcp-ueber-radius-97875.html

Ausgedruckt am: 24.12.2024 um 02:12 Uhr

spacyfreak
spacyfreak 25.09.2008 um 21:11:18 Uhr
Goto Top
Da gibz verschiedene Möglichkeiten.

Entweder port-security, da kannst pro Port erlaubte MACs am Switch selber eintragen, und nur die kommen ins Netz.

Oder 802.1X, das ist die gängige "richtige" Variante da sie besser skaliert und eben schwer zu umgehen ist.

Ich würds wohl über Active Directory Computerkonto/Benutzerkonto und IAS machen, das skaliert am besten und funktioniert ganz gut. Sicherheit auf MAC-Basis ist eh zu leicht zu umgehen als dass sich der Aufwand lohnen würde meines Erachtens.

Wenn du es jedoch per MAC und DHCP machen willst - dann verwende doch DHCP Reservierungen und trag im DHCP zu jeder IP die entsprechene MAC ein, so dass kein Rechner der sich ans Netz hängt und keine Reservierung hat eine IP bekommt. Dazu brauchst du auch keinen Radiusserver!
Doch die Sicherheit ist ein Witz - jeder der sich statisch ne IP setzt die grade frei ist kommt rein...
hambuergaer
hambuergaer 25.09.2008 um 21:47:27 Uhr
Goto Top
Ok, muss ich dafür 802.1x auf dem Stack aktivieren, wenn ich es, wie von Dir empfohlen, mit Active Directory Computerkonto/Benutzerkonto und IAS mache? Oder ist es vielleicht sogar sinnvoll, per Port-Security auf dem Switch direkt zu arbeiten? Oder gar beides zusammen?
spacyfreak
spacyfreak 25.09.2008 um 22:22:02 Uhr
Goto Top
Ja da musst dot1x auf dem Switch aktivieren, das sind ne Handvoll Befehle, kein Hexenwerk.
Bei der IAS Config musst geschickt sein- der soll auf Computerkonto UND auf Benutzerkonto prüfen sonst gehn keine Mashinepolicies beim Booten des Clients und mit Loginscripten gibz Probleme. Jaja, alles nit so einfach.
VLAN mässig musst guggen nicht mit Quarantäne VLAN zu arbeiten da es da (zumindest bei meinen Versuchen) Probleme gab - der "authetnisierte Client" bekommt sein "richtiges" VLAN zugewiesen, doch blöderweise sondert er kein DHCP Discover aus und bekommt ergo auch keine Ip, jedenfalls sollte man es möglichst flach und einfach halten, sonst rennt man nur clientproblemen hinterher, ein hoher preis für "mehr sicherheit".

Der DHCP wird in Zusammenhang mit dot1x ganz normal betrieben völlig unabhängig von der Radius- und switch config.
Sobald der User per 802.1X authentisiert ist, hat er Netzzugang, er s.c.h.e.i.s.s.t nen DHCP Discover Broadcast ins Netz und der DHCP (der ganricht wissen muss was dot1x ist) rückt mit ner IP raus.

Zusätzlich Portsecurity würd ich eventuell verwenden - doch in anderem Zusammenhang.
Beides zusammen geht wohl - doch wozu der Aufwand. Man sollte es auch nicht übertreiben, ausser man hat nen masochistischen Praktikanten zu hand.
Die Ports wo die User dranhängen, mit 802.1X absichern.
Die Ports wo Drucker, Scanner oder USB-Dildos hängen, mit port-security sichern.

Ferner kann man mit port-security die Anzahl von MACs,die ein Port lernen dürfen soll begrenzen, z.B. auf EINS.
Damit kann man verhindern dass Leute eigene Switches ans LAN hängen, was oft nicht gewünscht ist.

Ferner wäre Spanning Tree kein Fehler. Da muss ein Hampel-User nur im Eifer des Nichtwissens oder weil er zwei linke füsse hat zwei LAN Dosen im Büro mit Kupferkabel kurzschliessen - und dein ganzes Netz steht aufgrund des Broadcaststurms binnen weniger Sekunden. Da braucht man kein Hacker sein um dat hinzukriegen!
Den Fehler bzw. bösen Puben zu finden ist eine hohe Kunst, vor allem wenn man auf die Switches garnicht mehr draufkommt da die CPU auf 100% Auslastung läuft.
Daher lieber von vornherien verhindern. Oder Turnschuhe und Baldrian bereithalten.

Ach ja - DHCP Snooping würd ich auch mal googeln.
Und http abschalten oder mit access-liste absichern, sonst kann jeder User der weiss wie u. U. binnen 5 Minuten dein Switchpasswort ermitteln.

no ip http server
aqui
aqui 26.09.2008 um 18:51:30 Uhr
Goto Top
Es gäbe aber noch eine einfachere Variante:

Mac Authentisierung am Port !
Auch das kann man mit Cisco problemlos machen und das ist erheblich einfacher zu implementieren und erfordert auch nicht zwingend einen .1x Client am Endgerät.

Du nimmst einfach alle Macs in die Datenbank des Radius Servers auf und authentisierst halt damit.
Je nach MAC Adresse kannst du dann auch ein VLAN dynnamisch zuordnen sofern du das willst.
Alle MAC Adressen die er nicht kennt wie z.B. Gäste oder Besucher landen dann in einem "Quarantäne VLAN" das du auf dem Switch NICHT routest (kein VLAN Interface konfigurieren !) und z.B. mit einer kleinen Firewall und einem Captive Portal wie diesem:


ins Internet Segment bei dir bringst mit entsprechenden Restriktionen.
Deine bekannten MAC Adressen kannst du dann zusätzlich im DHCP Server noch fest auf IP Adressen binden wenn du zum Gürtel auch noch den (Security) Hosenträger benötigst...
hambuergaer
hambuergaer 29.09.2008 um 10:59:57 Uhr
Goto Top
Hallo aqui,

danke für die Antwort. Genau so habe ich mir das vorgestellt face-smile Kann ich die Authentifizierung gegen den Radius für jedes VLAN konfigurieren, oder geht das nur global? Und wie trage ich dann die Clients im Internetauthentifizierungsdienst ein? Direkt unter RADIUS-Clients? Ich kann hier allerdings leider den Client nur über die IP auflösen und keine Mac-Adresse angeben, die zum Client gecheckt werden soll.

Ich habe zukünftig in jeder Etage einen Cisco 2960 48 Port stehen, der per LWL mit vier Ports auf den Stack geht. Muss ich dann die Clientauthentifizierung für jede Etage auf dem Stack oder auf den 2960ern konfigurieren?

Viele Grüße
aqui
aqui 29.09.2008 um 12:01:14 Uhr
Goto Top
Doch das geht auch ! Du trägst als Username und als Passwort dafür die MAC Adresse des Clients ein.

Man kann sogar dynmaisch ein VLAN zuordnen in das der Client dann automatisch plaziert wird.

Hier ist die Cisco Doku dazu was du auf dem Switch machen musst:

http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/rele ...

Was man genau im IAS machen musst musst du mal nachsehen im IAS Helpfile.
Auf einem Freeradius sieht es wenigstens so aus damit es anstandslos funktioniert:
(Printout der Datei USERS)
#
# MAC Authentifizierung
001234fc9933 Service-Type == Framed-User, User-Password == "001234fc9933"  
    
#In diesem Beispiel hat MAC Addresse “001234fc9934” Zugang ohne andere Optionen !
#
# MAC Auth. und dyn. VLAN Zuweisung in VLAN Nr. 10
#
001234fc9935 Service-Type == Framed-User, User-Password == "001234fc9935"  
    Tunnel-Type = 13,
    Tunnel-Medium-Type = 6,
    Tunnel-Private-Group-Id = 10     
#

Beim IAS funktioniert das aber analog !
hambuergaer
hambuergaer 29.09.2008 um 12:14:32 Uhr
Goto Top
Ok, super! Danke für den Hinweis!!! Ich verstehe es richtig, dass ich "IEEE 802.1x Authentication with MAC Authentication Bypass" auf dem Stack konfiguriere für die Server, die direkt auf die Kupferports gehen und auf den 2960ern in den Etagen ebenfalls?

Muss ich bei dieser Methode auf den Clients irgend etwas beachten?
aqui
aqui 30.09.2008 um 11:55:31 Uhr
Goto Top
Bei den Servern willst du ja sicher KEINE Port Authentifizierung, oder ???

Dort lässt du diese Konfig also besser weg und nimmst die Ports aus der Port Authentifizierung raus um dir da nicht Probleme einzufangen, denn so wird auch die Server MAC überprüft was ja eigentlich Unsinn ist, da Server ja immer statische Ports haben auf einem Switch !!!

Die Server beheimaten ja nur den Radius Server und andere Dienste im Netz. Der Radius ist derjenige der vom Switch gefragt wird ob eine User (Mac Adresse) auf den Switch darf oder nicht !!
Wenn der Radius dem Switch sagt: "Ja" wird diese MAC auf dem entspr. Switch in die CAM Tabelle übertragen und ist damit erreichbar.
Wenn nicht dann eben nicht und dann ist der PC am Port isoliert und kann nix machen....
Es sei denn du verfrachtest ihn per Konfig dann in ein sog. Quarantäne VLAN wo alle nicht authentisierten Clients im Netz landen.

Im Access Bereich musst du es aber natürlich auf allen Client Ports einschalten, denn die willst du ja schliesslich überwachen !!!
hambuergaer
hambuergaer 09.10.2008 um 13:25:37 Uhr
Goto Top
So, ich habe den Kram nun so am Laufen, wie ich es haben wollte! Ein hilfreicher Link ist dieser hier:

http://www.foundrynet.com/pdf/wp-deploying-mac-with-ias.pdf

Gruß