Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wie funktioniert EAP-TLS Authentication des PCs im 802.1x netz über RADIUS?

Mitglied: icegod

icegod (Level 1) - Jetzt verbinden

20.04.2006, aktualisiert 08.01.2009, 9167 Aufrufe, 3 Kommentare

hi,also habe folgendes Problem.Bin Praktikant bei ner firma die sich für die umsetzung des 802.1x standards interessiert.
Es gibt eine test PKI, als verzeichnisdienst NDS.mir geht es jetzt speziell um den RADIUS.

Wer sich mit dem Thema beschäftigt hat, weis das jeder PC ein von einer CA signiertes Zertifikat braucht,dieses während des EAP-TLS Handshakes an den RADIUS sendet, dieser es überprüft und nach Erfolg des gesamten Hshakes ein Success paket zum switch sendet,dieser den Port für den PC öffnet,fertig.So weit so gut.Aber in keiner Literatur habe ich nähere angaben wie genau der RADIUS die Prüfung mit seinem dahinterliegendem Verzeichnisdienst (sei es nun Windows ADS oder Novells NDS) macht.

Ich nehme an die NDS oder ADS muß ein Schema zur Erstellung von Maschinenaccounts besitzen, in dem bestimmte Zertifikat attribute abgelegt werden .
Aber wie ist der Prüfvorgang für den RADIUS?
Kann man bei dem angeben wie intensiv das Zert. geprüft werden soll, also welche Zert.attribute oder läßt er in der NDS den PC suchen und prüft dort nach allen auffindbaren einträgen?

habe nie mit einem RADIUS gearbeitet.Bevor ich mir einen bestimmten SERVER für unser Problem aussuchen kann,muß ich erst mal die allg. Arbeitsweise verstehen.

ZIEL des Projektes soll sein, daß die Switchports nun geöffnet oder gesperrt sein sollen.
dafür soll nur das Zertifikat des PCs entscheident sein.Die entscheidung,ob sich ein nutzer nun in die NDS einloggen will oder nicht,soll unabhängig von der Maschine bleiben.Relevant ist nur Port offen oder nicht.

Ich hoffe mir kann jemand einen roten faden spannen,an dem ich mich entlanghangeln kann.danke im voraus.
Mitglied: 25059
28.04.2006 um 07:32 Uhr
hi,

hab gerade eine 802.1x implementation hinter mir.
hab 2 issuing cas + nen redundanten radius + z.b. ciscos >2950.
zuerst muss jeder switch mit eap usw. erstmal klarkommen, z.b. ciscos >2950.
die pkis stellen für jedes computerkonto in der domäne ein zertifikat bereit.

die IAS config schaut bei mir wie folgt aus:

Remote Access Policies:
Name:802.1x Authentication RAP
Order: 1 - matched zuerst

Policy conditions:NAS-Port-Type matches "Ethernet"

Unter Authentication alles ausschalten.

EAP-Methods: Smart Card or other certificate wählen - hier steht dann die PKI drin.

If a connectionr equest matches the specified conditions:
Grant remote Access Permission


Connection Request Policies:
Name:802.1x Authentication RAP
Procession Order: 1
Policy conditions: NAS-Port-Type matches "Ethernet"


Zum nachschauen ob auf dem Radius was ankommt empfehl ich dir den IAS Log Viewer: http://www.deepsoftware.com/iasviewer/ ist trial und reicht völlig aus.

Wakeup on LAN funktioniert nach 802.1x weiterhin, nur wird dir ein pxeboot nicht mehr möglich sein... Hierzu gibt es jedoch noch die möglichkeit die switchports nicht zu downen, sondern die switche so zu konfigurieren dass diese clients ohne zertifikat in ein guestvlan fallen, welches z.b. nur auf einen server sprechen darf, der für die OS verteilung zuständig ist. z.b. ein ris oder so.

ich würde den radius auf jedenfall noch redundant auslegen und beide in die switchconfig eintragen. denn sobald dieser ausfällt wird wohl kein port mehr erwachen. man könnte zwar dann an nem ungeschützten port die config (nur ein paar zeilen auf dem siwtchport) wieder runternehmen, jedoch wenn man sich auch am switch per radius einloggen muss und dieser down ist hilft meist nur noch ein fallback-konzept.

eine schwachstelle ist bei 802.1x u.a. auch wenn dir ein user an seinem client das lankabel rauszieht und dann dort nen kleinen hub dranhängt, dann wird der switchport von seinem pc geöffnet und am hub ist auch alles frei fürs private notebook... hier hilft warscheinlich nur die portsecurity auf eine mac runterzustellen...

radius allgemeines...
http://www.microsoft.com/germany/technet/datenbank/articles/900172.mspx
http://www.tecchannel.de/sicherheit/grundlagen/402082/index18.html
http://www-wlan.uni-regensburg.de/8021x.html
http://de.wikipedia.org/wiki/RADIUS

schwierig wird das ganze noch bei den ports an denen die drucker hängen. hier kämpfe ich zur zeit. die drucker können wohl zertifikate, jedoch ich weiss noch nicht genau wie die die eap requests beantworten sollen... bin da zurzeit noch am testen. falls hier noch jemand eine idee hat.... ich bin für jeden tipp dankbar.

hier noch wie du deinen radius redundant bekommst:

1.
richte auf dem sourceradius einen timedtask ein, welcher alle 30minuten läuft und dies unter einem user, welcher sein passwort nie ändert. z.b. ein spezieller user hierfür, welcher sich nur auf diesem rechner und dem zielrechner einloggen darf.
auszuführender befehl:
netsh aaaa show config >\\ZIELSERVER\C$\radiusconfig.txt

2. richte auf dem zielserver einen timedtask ein, welcher alle 30minuten läuft und dies unter einem user, welcher sein passwort nie ändert. z.b. ein spezieller user hierfür, welcher sich nur auf diesem rechner und dem zielrechner einloggen darf.
auszuführender befehl:
netsh exec c:\radiusconfig.txt

somit wird spätestens nach 30minuten die radiusconfig automatisch in eine andere machine importiert. dies geschieht im livebetrieb und mann muss hierzu den radiusdienst nicht neustarten.

man beachte:
man darf in zukunft nur noch auf dem sourceserver die konfigurationd es radius ändern, da diese auf die anderen übertragen wird. ändert man auf einem anderen die config, so wird diese spätestens nach 30minuten überschrieben.

um das ganze überwachen zu können, kann man mom von microsoft benutzen oder ein tracking auf die radiusconfig.txt machen, ob diese auch alle 30minuten geändert wird (zeitstempel der datei).

ps: die lösung ist zwar nicht die schönste, jedoch sie funktioniert und ich habe bis jetzt noch keine andere möglichkeit gefunden die radiusconfig auf einem anderen weg in den anderen ias zu bekommen.

gruß
wolfgang
Bitte warten ..
Mitglied: icegod
08.05.2006 um 11:46 Uhr
Danke, für die Infos.
Die werden mir noch an mancher Stelle hilfreich sein.
Bitte warten ..
Mitglied: Inqui
11.05.2006 um 09:41 Uhr
Hallo Icegod,

ich bin auch gerade dabei ein Testumgebung für das Testen von 802.1x im LAN aufzubauen. Hab mir für die Installation bzw. Konfiguration erstmal folgendes Whitepaper von MS zu Gemüte geführt:
http://www.microsoft.com/downloads/details.aspx?familyid=05951071-6b20- ...
Wahrscheinlich hast du dieses auch schon gelesen; falls jedoch nicht ist es sicherlich an manchen Stellen Hilfreich.

MfG
Inqui
Bitte warten ..
Ähnliche Inhalte
Firewall
PfSense: Freeradius, NUR EAP-TLS
Frage von mrserious73Firewall

Hallo zusammen, gibt's eine Möglichkeit, den Radiusserver in pfSense wirklich NUR EAP-TLS machen zu lassen? Man kann die restlichen ...

Windows Server

802.1x - Radius - kann Client ins Netz wenn es hakt?

Frage von 1410640014Windows Server

Hallo, wir wollen in einer kleineren Firma 802.1x - Radius Authentifizierung mit 2012R2-Servern implementieren (auf Computer-Zertifikatsbasis) Problem: Die Zweigstellen ...

Windows Netzwerk

RADIUS 802.1x Geräte Authentifizierung

gelöst Frage von CloudyWindows Netzwerk3 Kommentare

Hallo, Ich habe hier ein kleines Problem bei der Konfiguration meines neuen RADIUS Servers. Ich möchte, dass sich alle ...

Windows Server

802.1x und NAP - Funktionsweise EAP-Quarantäneerzwingungsclient

gelöst Frage von cuilsterWindows Server4 Kommentare

Hallo, zum Bergfest wieder mal ne harte Nuss Ich versuche es mal zu Formulieren. Basis ist eine 802.1x-Infrastruktur mit ...

Neue Wissensbeiträge
Humor (lol)
Administrator.de Perlen
Tipp von DerWindowsFreak2 vor 1 TagHumor (lol)2 Kommentare

Hallo, Heute beim stöbern auf dieser Seite bin auf folgenden Thread aus dem Jahre 2006 gestossen: Was meint ihr? ...

Erkennung und -Abwehr
OpenSSH-Backdoor Malware erkennen
Tipp von Frank vor 2 TagenErkennung und -Abwehr

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf ...

iOS
WatchChat für Whatsapp
Tipp von Criemo vor 5 TageniOS5 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor!
Tipp von Criemo vor 5 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
SSD zeigt falsche Werte
Frage von karl2014Festplatten, SSD, Raid25 Kommentare

Ich habe ein Problem mit der SSD in meinem Laptop mit Windows 10. Es ist eine 1Tb Platte die ...

Windows 10
Windows Enterprise 1809 Eval nicht bootbar
Frage von Sunny89Windows 1022 Kommentare

Hallo zusammen, bevor ich mich jetzt noch stundenlang rumärger wollte ich euch fragen, ob Ihr die gleichen Probleme habt ...

Ubuntu
Installation freerdp 2.0.0-rc4
Frage von kristovUbuntu20 Kommentare

Hallo, möchte freerdp 2.0.0-rc4 auf linux mint 18.3 installieren, habe aber keine Ahnung, wie das funktioniert. freerdp 1.1 ist ...

Router & Routing
VPN u. WLAN Router für Reisen
Frage von stephan902Router & Routing17 Kommentare

Hallo, ich bin auf der Suche nach einem VPN/WLAN-Router für unterwegs. Und zwar möchte ich auf Reisen einfach den ...