6
Debugging von IEEE 802.1X
Hallo zusammen,
Aufgrund einiger Probleme mit der 802.1X Umsetzung (sowohl WLAN wie auch LAN) versuche ich herauszubekommen, wie ich den Problemen auf die Spur kommen kann.
In den Wikipedia und den RFCs komme ich nicht so richtig weiter. Ich verstehe insbesondere die Einordnung im Schichtmodell nicht so richtig. Z.B. verweist rfc 3748 auf "lower layers":
siehe https://tools.ietf.org/html/rfc3748
Mein Ziel ist es, den Datenverkehr nach Möglichkeit auf Paketebene zu Debuggen. Das geht natürlich für die Verbindung WLAN-Accesspoint nicht, wohl aber im verkabelten Bereich. Und da wäre die Frage, ob den entsprechenden Datenverkehr überhaupt mitlesen kann. Immerhin passiert die Authentifizierung ja, bevor eine "richtige" IP-Verbindung zustande kommt. Meine Frage wäre daher ob z.B: mit Wireshark hier was zu erreichen wäre? Oder ist lower-layer so niedrig oder hardwarebasiert, dass es nicht transparent für Wireshark ist?
Grüße
lcer
Aufgrund einiger Probleme mit der 802.1X Umsetzung (sowohl WLAN wie auch LAN) versuche ich herauszubekommen, wie ich den Problemen auf die Spur kommen kann.
In den Wikipedia und den RFCs komme ich nicht so richtig weiter. Ich verstehe insbesondere die Einordnung im Schichtmodell nicht so richtig. Z.B. verweist rfc 3748 auf "lower layers":
siehe https://tools.ietf.org/html/rfc3748
+-+-+-+-+-+-+ +-+-+-+-+-+-+
| | | |
|EAP method | |EAP method |
| V | | ^ |
+-+-+-!-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+ +-+-+-!-+-+-+
| ! | |EAP | EAP | | | ! |
| ! | |Peer | Auth.| EAP Auth. | | ! |
|EAP ! peer| | | +-----------+ | |EAP !Auth.|
| ! | | | ! | ! | | ! |
+-+-+-!-+-+-+ +-+-+-+-!-+-+-+-+-+-!-+-+-+-+ +-+-+-!-+-+-+
| ! | | ! | ! | | ! |
|EAP !layer| | EAP !layer| EAP !layer | |EAP !layer|
| ! | | ! | ! | | ! |
+-+-+-!-+-+-+ +-+-+-+-!-+-+-+-+-+-!-+-+-+-+ +-+-+-!-+-+-+
| ! | | ! | ! | | ! |
|Lower!layer| | Lower!layer| AAA ! /IP | | AAA ! /IP |
| ! | | ! | ! | | ! |
+-+-+-!-+-+-+ +-+-+-+-!-+-+-+-+-+-!-+-+-+-+ +-+-+-!-+-+-+
! ! ! !
! ! ! !
+-------->--------+ +--------->-------+Mein Ziel ist es, den Datenverkehr nach Möglichkeit auf Paketebene zu Debuggen. Das geht natürlich für die Verbindung WLAN-Accesspoint nicht, wohl aber im verkabelten Bereich. Und da wäre die Frage, ob den entsprechenden Datenverkehr überhaupt mitlesen kann. Immerhin passiert die Authentifizierung ja, bevor eine "richtige" IP-Verbindung zustande kommt. Meine Frage wäre daher ob z.B: mit Wireshark hier was zu erreichen wäre? Oder ist lower-layer so niedrig oder hardwarebasiert, dass es nicht transparent für Wireshark ist?
Grüße
lcer
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 387776
Url: https://administrator.de/contentid/387776
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
6 Kommentare
Neuester Kommentar
Das geht natürlich für die Verbindung WLAN-Accesspoint nicht
Wie kommst du auf sowas ??Der Wireshark kann auch problemlos auf dem WLAN Interface eines Rechners sniffern !!
Dort kann man problemlos diesen Traffic mitschneiden. Deine (falschen) Mutmaßungen zeigen das du es noch nicht einmal probiert hast.
Der englische Wikipedia Artikel erklärt es übrigens besser als der Deutsche so das man einfacher versteht worum es geht:
https://en.wikipedia.org/wiki/IEEE_802.1X
Hallo
ja, der ist etwas besser:
Dann liest man unter: https://de.wikipedia.org/wiki/OSI-Modell#Schicht_2_–_Sicherungssch ...
Dann stelle ich meine Frage anders - ist vielleicht auch doof gefragt:
- sehe ich in Wireshark alle Layer 2 Frames und
- ist IEEE 802.1X ausschließlich auf Layer 2 oder höher implementiert?
kann. Wenn ich mit einem Messinstrument keine gesuchten Messwerte finde kann das 2 Gründe haben:
1) Das Messgerät ist nicht geeignet.
2) Die Messwerte werden nicht angezeigt, weil sie (z.B: wegen einer fehlerhaften Netzwerkkonfiguration des PCs) nicht existieren.
Wenn 1) zutrifft, bräuchte ich nicht anfangen.
Grüße
lcer
Zitat von @aqui:
Sorry, habe nicht so weit ausgeholt, wie vielleicht erforderlich. Das WLAN-Problem betrifft hier vor allem die Apfel-Mobiltelefone am WLAN-AP. Die PCs (WLAN-Laptop, WLAN-Tablet) zeigen hier keine Auffälligkeiten. Bezüglich verkabeltem PC mit Portautorisierung am Switch kann ich den traffic mitschneiden: Einmal am PC selbst mit Wireshark, zum anderen am duplizierten Switchport.Das geht natürlich für die Verbindung WLAN-Accesspoint nicht
Wie kommst du auf sowas ??Der englische Wikipedia Artikel erklärt es übrigens besser als der Deutsche so das man einfacher versteht worum es geht:
https://en.wikipedia.org/wiki/IEEE_802.1X
https://en.wikipedia.org/wiki/IEEE_802.1X
ja, der ist etwas besser:
To initiate authentication the authenticator will periodically transmit EAP-Request Identity frames to a special Layer 2 address (01:80:C2:00:00:03) on the local network segment.Dann liest man unter: https://de.wikipedia.org/wiki/OSI-Modell#Schicht_2_–_Sicherungssch ...
Das Ethernet-Protokoll beschreibt sowohl Schicht 1 als auch Schicht 2, wobei auf dieser als Zugriffskontrolle CSMA/CD zum Einsatz kommt.
Protokolle und Normen, die auf anderen Schicht-2-Protokollen und -Normen aufsetzen: HDLC, SDLC, DDCMP, IEEE 802.2 (LLC), RLC, PDCP, ARP, RARP, STP, Shortest Path Bridging
Protokolle und Normen, die direkt auf Schicht 1 aufsetzen: IEEE 802.11 (WLAN), IEEE 802.4 (Token Bus), IEEE 802.5 (Token Ring), FDDI Dann stelle ich meine Frage anders - ist vielleicht auch doof gefragt:
- sehe ich in Wireshark alle Layer 2 Frames und
- ist IEEE 802.1X ausschließlich auf Layer 2 oder höher implementiert?
Dort kann man problemlos diesen Traffic mitschneiden. Deine (falschen) Mutmaßungen zeigen das du es noch nicht einmal probiert hast.
Na ja, probiert habe ich es zumindest beim WLAN tatsächlich noch nicht. Aber bevor ich irgendwas probiere, wollte ich klären, was ich erwartenkann. Wenn ich mit einem Messinstrument keine gesuchten Messwerte finde kann das 2 Gründe haben:
1) Das Messgerät ist nicht geeignet.
2) Die Messwerte werden nicht angezeigt, weil sie (z.B: wegen einer fehlerhaften Netzwerkkonfiguration des PCs) nicht existieren.
Wenn 1) zutrifft, bräuchte ich nicht anfangen.
Grüße
lcer
Nachtrag:
Das Problem stritt sporadisch auf. Meistens funktioniert die Authentifizierung fehlerfrei. Daher gehe ich nicht von einer grundsätzlichen Fehlkonfiguration (z.B. Zertifikate fehlerhaft) aus.
Grüße
lcer
Das Problem stritt sporadisch auf. Meistens funktioniert die Authentifizierung fehlerfrei. Daher gehe ich nicht von einer grundsätzlichen Fehlkonfiguration (z.B. Zertifikate fehlerhaft) aus.
Grüße
lcer
sehe ich in Wireshark alle Layer 2 Frames und
Jau, die siehst du natürlich !ist IEEE 802.1X ausschließlich auf Layer 2 oder höher implementiert?
Das ist nur L2. Denk mal nach...ist doch auch logisch, denn ohne Authentisierung bekommst du keinen Zugriff aufs Netz und damit auch keine IP Adresse via DHCP, denn DHCP nutzt was...??? UDP und dafür braucht es wieder eine IP.Also cool bleiben und immer mal in Ruhe nachdenken
Das Problem stritt sporadisch auf. Meistens funktioniert die Authentifizierung fehlerfrei.
Das ist richtig. Ist dann vermutlich eine Treiber Geschichte (aktuellster) oder manchmal auch Firmware.
Problem in 2 Teilen gelöst:
Die WLAN-Probleme waren dann gelöst, als ich feststellte, dass meine Uhrzeitsynchronisation fehlerhaft war. Access-Point, (WLAN)Handy und Radius-Server hatten abweichende Uhrzeiten. Das habe ich korrigiert und seitdem läuft es fehlerfrei. Ob das aber wirklich das Problem war, kann ich nicht sicher sagen.
Das 802.1X - VerkabeltProblem war simpel. Die Logs liegen da wo man es im NPS-Server einstellt, normalerweise Windows\system32\LogFiles
Die muss man nur lesen! Die Lesehilfe für das NPS / IAS-Legacy-Format gab es hier
Der Fehler war, dass ich in den Authentifizierungseinstellungen der Netzwerkkarte unter Authentifizierungsmodus Benutzer- oder Computerauthentifizierung eingestellt hatte. Im NPS-Log konnte man sehen dass der Der Radius-Client versucht, den Benutzer zu authentifizieren. das wurde aber abgelehnt, da ich nur den COmputer und nicht den Benutzer zugelassen hatte.
man kann das Verhalten nachlesen unter hier
Fazit:
Cisco SG300 als Radius-Client Windows 2012R2 NPS als Radius-Server und Windows als PC funktioniert jetzt. Warum auch nicht.
Grüße
lcer
Die WLAN-Probleme waren dann gelöst, als ich feststellte, dass meine Uhrzeitsynchronisation fehlerhaft war. Access-Point, (WLAN)Handy und Radius-Server hatten abweichende Uhrzeiten. Das habe ich korrigiert und seitdem läuft es fehlerfrei. Ob das aber wirklich das Problem war, kann ich nicht sicher sagen.
Das 802.1X - VerkabeltProblem war simpel. Die Logs liegen da wo man es im NPS-Server einstellt, normalerweise Windows\system32\LogFiles
Die muss man nur lesen! Die Lesehilfe für das NPS / IAS-Legacy-Format gab es hier
Der Fehler war, dass ich in den Authentifizierungseinstellungen der Netzwerkkarte unter Authentifizierungsmodus Benutzer- oder Computerauthentifizierung eingestellt hatte. Im NPS-Log konnte man sehen dass der Der Radius-Client versucht, den Benutzer zu authentifizieren. das wurde aber abgelehnt, da ich nur den COmputer und nicht den Benutzer zugelassen hatte.
man kann das Verhalten nachlesen unter hier
- machineOrUser - Use machine or user credentials. When a user is logged on, the user's credentials are used for authentication. When no user is logged on, machine credentials are used.
- machine - Use machine credentials only.
- user - Use user credentials only.
- guest - Use guest (empty) credentials only.
Fazit:
Cisco SG300 als Radius-Client Windows 2012R2 NPS als Radius-Server und Windows als PC funktioniert jetzt. Warum auch nicht.
Grüße
lcer
Dein geposteter Windows Link ergibt einen "Page 404 not found" Error !!
(Vermutlich die falsche Klammer am Schluß ?!)
(Vermutlich die falsche Klammer am Schluß ?!)
