Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst MAC Authentication Bypass bei 802.1x im LAN

Mitglied: Inqui

Inqui (Level 1) - Jetzt verbinden

23.05.2006, aktualisiert 10.01.2009, 19101 Aufrufe, 14 Kommentare

Hallo,

habe folgendes Problem: Ich habe eine Testumgebung aufgebaut in der eine 802.1x basierte Authentifizierung im LAN mit EAP-TLS stattfindet. Als Access-Switch kommt ein Cisco 3550 zum Einsatz und als RADIUS Server der IAS von Microsoft.
Nun wollte ich MAC Authentication Bypass einschalten, damit auch User ohne gültiges Zertifikat bzw. Drucker auf das Netzwerk zugreifen können. Leider finde ich hierzu bei Microsoft so gut wie keine Informationen was dabei einzustellen ist. Der Switch ist für MAC Authentication auf dem 802.1x Port konfiguriert. Aus einem Microsoft Dokument konnte ich entnehmen dass ein User mit Username = [MAC des Clients] im Active Directory vorhanden sein muss und dessen Passwort das Shared Secret zwischen Switch und IAS sein muss. Nur leider funktioniert dies bei mir nicht und in den Logs steht als Fehlermeldung: Authentication was not successful because an unknown user name or incorrect password was used.
Weiß jemand von euch wie der Client Zugriff auf das Netzwerk erhalten kann bzw. was ich einstellen muss dass es funktioniert?

Gruß

Inqui
Mitglied: Inqui
31.05.2006 um 10:04 Uhr
Ok, hat sich erledigt.

Das Passwort darf nicht das Shared Secret zwischen Switch und IAS, sondern gleich dem Usernamen sein.
Bitte warten ..
Mitglied: 33531
07.08.2006 um 10:37 Uhr
Heisst das, Ihr habt einen Weg gefunden, den IAS zur MAB-Authentisierung zu nutzen?

Wie sieht die dazu benötigte IAS-Regel und der Benutzeraccount aus?

Was sendet Cisco an dieser Stelle als Passwort-Hash, oder spielt das keine Rolle?

Gruss

Gerd Schelbert
Bitte warten ..
Mitglied: DerTester
23.09.2008 um 14:43 Uhr
Hi Leute,

ich stehe vor etwa dem selben problem.

Ich habe einen Cisco 6509 als Authenticator und für
dot1x mac-auth-bypass eap konfiguriert.

Das Device (Thin-Client ohne 802.1x unterstützung, windows CE) habe ich als Benutzer angelegt mit der MAC-Adresse als Username=Passwort.

also die verbindung via 802.1x auf zertifikatsbasis wird nicht funktionieren da ich kein zertifikat auf dem thin client installieren kann.

also was müsste ich noch machen um das gerät ans netz zu bringen??

Kann mir da jemand einen tip geben? wäre dankbar.
Bitte warten ..
Mitglied: 33531
23.09.2008 um 14:58 Uhr
Hallo.

MAC-Auth-Bypass ist grundsätzlich nur als Ersatzmethode zu 802.1x-EAP-Auth gedacht.
Bin mir gerade nicht sicher, ob MAB auch ohne dot1x-settings funktioniert.

Ansonsten wären dazu die Grundkonfigurationen für dot1x notwendig:

dot1x Global einschalten
RADIUS-Server definieren

An der Interface-Konfiguration:

dot1x port-control auto
dot1x mac-auth-bypass

Welcher RADIUS-Server wird genutzt?
Wie ist der konfiguriert?
Bitte warten ..
Mitglied: DerTester
23.09.2008 um 15:04 Uhr
hi,

also der switch ist global für dot1x konfiguriert.

mit clients die 802.1x unterstützen (z.B. Notebook mit xp-profesional) läuft die sache.

am interface habe ich die Zeilen wie du sie geschrieben hast auch drinne.
(also
dot1x port-control auto
dot1x mac-auth-bypass
)

nur für geräte die ich nur auf mac ebene authentifizieren kann, wie zum beispiel drucker und thin clients muss ich nun was machen.

IAS ist mein Radius Server.
Benutzer sind in AD. Richtlinien und gruppen wurden definiert.
Ich hab nun einen thin client als benutzer angelegt mit der MAC-Adresse als benutzernamen = Passwort.
Bitte warten ..
Mitglied: DerTester
23.09.2008 um 15:10 Uhr
MAB ohne dot1x settings ist also missverständnis...falls du es so verstanden hast so tut es mir leid

ich habe dot1x settings.

meine supplicanten wie beispielsweise drucker oder thin clients unterstützen aber kein dot1x, daher muss ich über MAB einen alternativen weg nutzen um diese geräte ans netz anschliesen zu können.

der switch ist soweit fertig konfiguriert und funktioniert.
der Radius-Server (IAS) denke ich auch.
(evtl. muss ich was an den richtlinien ändern) ??

ich habe die MAC-Adresse eines thin clients als benutzer angelegt mit der selbigen MAC adresse als Passwort.

soweit bin ich jetzt gekommen und nun häng ich.

was müsste ich noch machen?
Bitte warten ..
Mitglied: 33531
30.09.2008 um 14:07 Uhr
Also:

mac-auth-bypass sollte aktiviert sein mit dem interface-cli-befehl:

dot1x mac-auth-bypass

ohne abschliessendes "eap".

MAB wird nach Ablauf der eap-timout * (eap-retry+1)-Zeit einen Radius-Request absenden,
authentication-type ist PAP, eap-Methode ist EAP-MD5. Bei einem Cisco-Switch vergehen nach dem Link-Up also per Default mindestens 180 Sekunden (retry-timer 60 sek. und 2 retries) bis zur MAC-Authentifizierung.

Dazu passend muss eine Regel im IAS definiert werden. Ich nehme die MAC-Adress-Benutzereinträge i.d.R. in eine eigene Windows-Benutzergruppe auf, damit ich die Nutzung der MAB-Netzwerkrichtlinie entsprechend auf die Mitglieder dieser Gruppe eingrenzen kann und stelle die Regel ganz nach oben.

Um das Ganze besser eingrenzen zu können, am besten mal im Eventlog des IAS nach passenden Einträgen suchen.

Im Übrigen:

Falls der IAS ein NPS ist (Windows Server 2008) muss zunächst noch EAP-MD5 wieder freigeschaltet werden. Sthet per Default nicht mehr zur Verfügung.

Gruß

Gerd Schelbert
Bitte warten ..
Mitglied: DerTester
30.09.2008 um 15:13 Uhr
Hallo Gerd,

danke !
mein aufrichtgen dank für deine mühe.

ich werde es morgen so versuchen wie du es beschrieben hast.

kannst du mir kurz aber nochmal schreiben wie die richtlinien für die MAB-benutzergruppe sein muss?

ich muss nun los werde aber morgen wieder da sein.

Ich danke dir sehr Gerd für deine Beschreibung.

ps.: falls du eine doku haben solltest wäre das vielleicht anschaulicher für mich.
Bitte warten ..
Mitglied: 33531
30.09.2008 um 15:28 Uhr
Also:

Einrichten einer neuen "Remote Access Policy", Name z.B. "wired_dot1x_mab"
Im Reiter Settings unter Policy Conditions: NAS-PORT-TYPE matches "Ethernet" AND Windows-Groups matches "Domäne\Gruppenname".

Danach unter dem Button Edit Profile - Reiter Authentication - Button EAP-Methods: Auswahl von MD5-Challenge.

Und zusätzlich im Reiter Authentication ein Haken bei "Unencrypted Authentication (PAP, SPAP).

Das Ganze möglichst ganz nach oben, dann sollte das funktionieren.

Wichtig ist m.E. die Abprüfung der Gruppenzugehörigkeit zum Eindeutigen Matchen der Regel nur bei MAC-Auth.

Die "MAC-Benutzer"-AD-Einträge habe ich einer Global-Security-Gruppe zugeschlagen, die ich in der IAS-Regel entsprechend abprüfe.

Gruß

Gerd
Bitte warten ..
Mitglied: DerTester
01.10.2008 um 18:05 Uhr
Hi Gerd,

also ich habe nun eine neue benutzergruppe erzeugt im AD.
die MAC-Benutzer dieser grupper zugewiesen.

anschliessend eine neue richtlinie für diese benutzergruppe nach deinen anweisungen erzeugt.

auf dem cisco habe ich nun das "eap" aus der befehlszeile dot1x mac-auth-bypass entfernt.
also es steht da nunmehr dot1x mac-auth-bypass.

uuuuuuund eeeeeess klaaaaaaapt

DANKE DANKE DANKE GERD

wenn du hier wärst hättest du ein geschenk bekommen ICH GLAUBS NICHT da steht im wireshark ein "ACCEPT"

GEIL
Bitte warten ..
Mitglied: DerTester
01.10.2008 um 18:07 Uhr
ich pinge grad hin und her


geeeeeil

danke danke danke gerd!
Bitte warten ..
Mitglied: DerTester
01.10.2008 um 18:21 Uhr
eine frage habe ich noch

woher weisst du das alles ??

hast du ne doku wo das beschrieben ist?

also ich war ja auch dran ne eigene richtlinie für die zu erzeugen mittels md5...aber war mir dabei unsicher.

falls du so eine doku haben solltest würde ich da auch mal gerne reinschauen.

aber auch falls du nicht solche eine doku haben solltest danke ich dir gerd!

ich kann dir nicht genug danken!
Bitte warten ..
Mitglied: 33531
02.10.2008 um 09:02 Uhr
Hi, Tester.

Nein, eine vernünftige Doku dazu habe ich leider auch nicht gefunden. Cisco schreibt seine HowTos in der Regel für die Nutzung mit dem ACS, nicht dem IAS.

Aber als IT-Security-Consultant beschäftige ich mich mit Port-Auth und allen dranhängenden Technologien wie NAC/NAP... seit ca. 2004.

Gruß

Gerd Schelbert
Bitte warten ..
Mitglied: DerTester
02.10.2008 um 13:44 Uhr
Hi Gerd,

ich danke dir nochmals.

Bis zur nächsten Frage,

adé.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

802.1x Authentifizierung - NPS - RADIUS MAC

gelöst Frage von LKaderavekLAN, WAN, Wireless4 Kommentare

Hallo, ich erstelle gerade eine WiFi Lösung mit XIRRUS Access Points, die ich in der Cloud verwalte. Als Authentifizierungsmethode ...

LAN, WAN, Wireless

802.1X-Authentifizierung

gelöst Frage von Alex29LAN, WAN, Wireless25 Kommentare

Hallo in die Runde, ich bin Hobby-Admin und würde in meinem Netzwerk gern eine 802.1X-Authentifizierung einrichten. Dazu habe ich ...

Server

EIgenschaften IEEE 802.1X

Frage von 133808Server11 Kommentare

Moinsen, welche Eigenschaften würdet ihr dem IEEE 802.1 X Standard zusprechen? Viele Grüße

Google Android

FRP Schutz Bypass oder Deaktivierung

Frage von CaptainRubikGoogle Android

Hallo liebes Forum, hat jemand von euch evtl schon Erfahrung beim zurücketzten der FRP eines Samsung Galaxy A5 SM-A520F ...

Neue Wissensbeiträge
Microsoft
SMB Compression: Deflate your IO
Ticker von Dani vor 1 TagMicrosoft

Hi folks, Ned Pyle guest-posting today about SMB Compression, a long-awaited option coming to Windows, Windows Server, and Azure. ...

Virtualisierung

Citrix end of availability (EOA) of perpetual licenses for the on-prem Workspace products

Ticker von Dani vor 1 TagVirtualisierung

Moin, der nächste Marktführer steigt von Kaufen auf Mietzwang um :-( What did Citrix announce on July 1, 2020? ...

Festplatten, SSD, Raid
Stop Error 0x0000007B (INACCESSIBLE BOOT DEVICE)
Anleitung von evinben vor 2 TagenFestplatten, SSD, Raid

Systemstand Windows 7, 64-Bit, einschließlich allen Updates bis 10.09.2020 DELL Latitude E6330 PCI-Bus IRQ-Kanal 19: Standard AHCI 1.0 Serieller-ATA-Controller IRQ-Kanal ...

Sicherheit
NSA: UEFI und Secure Boot einsetzen
Ticker von sabines vor 3 TagenSicherheit3 Kommentare

Hilfreicher Heise Artikel zu UEFI und Secure Boot Tipps der NSA Näheres hier: NSA Bericht

Heiß diskutierte Inhalte
Sicherheits-Tools
Passwortmanager Vorschläge
Frage von BelmontSicherheits-Tools20 Kommentare

Servus, Ich bin aktuell auf der Suche nach einem cloudbasiertem Passwortmanager mit bestimmten Features: 1. LDAP-Anbindung bzw. Azure AD ...

Windows Server
Server zum üben
Frage von m.sunguralpWindows Server13 Kommentare

Guten Tag, ich würde mir gerne einen Server einrichten, in dem ich einfach rumtesten kann und Wissensstand erweitern kann. ...

Windows Server
RDP zeigt nur blauer Bildschirm nach der Anmeldung!?
Frage von babyloniaWindows Server10 Kommentare

Hi, seit gestern, kommt nur die Start-Seite nach der Anmeldung an Windows 2012 Terminal Server per RDP!! Hat jemand ...

Windows Server
AD Userkennwörter per Mail versenden
Frage von xoxoonexWindows Server7 Kommentare

Guten Tag Admins, ich suche eine Möglichkeit welche anhand einer CSV in welcher die Anmeldedaten + Mail und weitere ...

Administrator Magazin
09 | 2020 Ein Internetauftritt ist für Firmen heute eine Selbstverständlichkeit, doch gilt es beim Betrieb der entsprechenden Server einiges zu beachten. Im September beleuchtet das IT-Administrator Magazin deshalb das Schwerpunktthema "Webdienste und -server". Darin lesen Sie unter anderem, wie Sie Webapplikationen sinnvoll überwachen und welche Open-Source-Managementtools ...
Best VPN