802.1X
Hva er 802.1X - EAPoL? Velkjent autentisering og sikkerhetsmekanisme på trådløst - «WPAenterprise» Porten sperret for annet enn EAPOL-trafikk inntil autentisering. Porten åpnes for generell trafikk etter autentisering
Hvorfor 802.1X? Flytter autentisering til kanten Økt sikkerhet: Lag2 kontra lag3+ Muligheter for dynamisk Vlan-tildeling Mulighet for karantenenett Mulighet for klientsjekk Ressurseffektivt Fleksibelt
UiO og 802.1X Redundant FreeRadius-løsning Catalyst 2950 og 2960 primært. Dynamisk Vlan-tildeling Støtter PEAP/TTLS Maskinautentisering via samba (Kerberos) Brukerautentisering ved å hente ut NTLMhash fra LDAP.
UiO og 802.1X 6700 porter på studentbyene 5000 unike innlogginger i uken Lokal brukerdatabase + LDAP Kun brukerautentisering. Åpne punkter på lesesalsplasser, bibliotek, møterom og lignende. CIENS: Dynamisk vlan-tildeling, proxy til hver vertsinstitusjon. Ymse autentiseringsmekanismer (TLS/PEAP) om hverandre.
Klient svitsj radiustjener Innebygget klientstøtte på alle moderne operativsystem. Variabel kvalitet på supplikanten. De fleste (alle?) moderne administrerbare svitsjer har 802.1X, men noen har mer funksjonalitet enn andre. Alle moderne RADIUS-tjenere har muligheten for 802.1X
RADIUS 802.1X benytter RADIUS for autentisering Fleksibelt og velkjent Dette muliggjør: Dynamisk VLAN-tildeling Tilkobling mot AD, LDAP, NIS, lokal brukerdatabase, etc, etc. RADIUS-proxy med hierarkiløsninger som EduRoam Autorisering (hvem kan logge inn fra hvor)
Urfordringer på klientsiden Hvilke OS støtter du? Apple: 10.4, 10.5, 10.6. Oppsett av autentisering er forskjellig. Windows: XP, Vista, Win 7. Oppsett av autentisering er forskjellig. Linux/FreeBSD (NetworkManager) / Wpa_supplicant Kompetanse hos brukerstøtte
Windows: Dokumentasjon på forskjellige språk. Tjenesten Wired AutoConfig som tar seg av trådfast 1X-autentisering heter ikke det samme i forskjellige språkversjoner. Denne tjenesten må manuelt startes før autentisering kan finne sted Vanskelig åfeilsøke når det ikke virker. Reinst ofte enkleste løsningen. Profiler lagres i registreret (XP/Vista) klønete å fjerne. For åskru av maskinautentisering påvista mådu også inn i registeret.
Windows.. Overivrige brannmurer har tidvis skapt problemer. Tar autentiseringen så langt tid at DHCPforespørselen har tidsavbrutt såblir maskinen stående med en 169.254 adresse selvom maskinen er på nett. Dårlig med alternative gratis supplikanter etter at SecureW2 begynte å koste penger. For årestarte autentisering, ta nettverkskabel inn og ut
Windows.. Drivere har skapt problemer. Vlan-tagging, flytkontroll, Cisco-svitsjer er ikke glad i 00:00:00:00:00:00 som MAC-adresse. Win7 fikser mye av problemene i tidligere versjoner. Faktisk blitt ganske bra.
Apple Fåproblemer. Kan hende at man mårydde litt i KeyChain.
Linux - NetworkManager/WPA-supp Få problemer, enkel konfigurasjon. Klienten som er enklest å feilsøke. Authentication failed er en generell feilmelding for alt av problemer i NM. Wpa_supp dd gir uhorvelig mye (nyttig) info. Nyttig i feilsøking av generelle problemer. Logger til syslog
Maskiner uten støtte for 802.1X Netbooks med egne Linux-løsninger hvor wpa_supplicant er kompilert uten støtte for Dwired. Netbooks med XP hvor Wired AutoConfig er fjernet. Må reinstallere sørvispakke 3 (tar tid) Sære operativsystemer (OpenBSD/Solaris)
Fleksibilitet på svitsjsiden. IP-telefoner og lignende kan settes påvoice VLAN uten autentisering. Kjente MAC-adresser kan slippe unna autentisering (med det sikkerhetshullet det medfører..) Gjestenett for klienter som ikke snakker 802.1X Periodisk reautentisering Kan støtte flere autentiserte maskiner pr. port Eller at en autentisert maskin åpner for flere MAC-adresser. Webauth påc2960 >= 12.2.50
Brukerautentisering For privateide maskiner og andre maskiner hvor man ikke ønsker at maskinen skal være meldt inn i et sentralt driftsopplegg Kan autentisere mot samme radius-instans som maskinautentisering, failover er brukerautentisering. Her kommer problemet med konfigurasjon av maskinen.
Maskinautentisering Maskin, ikke bruker autentiserer. Maskin er tilkoblet nett og kan motta oppdateringer/fjernadministreres etc. Autentisering via sertifikat eller shared secret ( brukernavn/passord). Kerberos. Kan la bruker autentisere i domenet etter innlogging.
Feilsøking Klientside: Pakkesniffer/supplikant. Supplikant stort sett håpløst. Sniffing gir deg lite. Påsvitsjen (debug dot1x events). Mye støy avhengig av aktivitet på svitsjen. Påradiustjeneren (radiusd X) ekstremt mye støy, kun i testmiljø. Wpa_supplicant overlegen for generell feilsøking av systemet.
Klientsjekk Kjent som Network (Access Admission) Control / Network Access Protection. Network admission Control -> Cisco (ACS) Network Access Protection -> Microsoft. 1X kan integreres med klientsjekk slik at klienter uten antivirus/oppdateringer etc kan plasseres på eget nett / sperres ute. Forutsetter tredjepartsprogramvare installert på hver maskin. Ressurskrevende. FreeRADIUS får støtte for Microsoft Statement of Health.
802.1X og logging. 1X gir et bra grunnlag for åspore opp IP -> brukernavn. Men fremdeles bare en lag2-protokoll, limet mot IP må håndteres påannet vis. Eksempelvis med DHCP snooping i kombinasjon med arp inspection og ip verify source.
Generelle problemer Ymse mini-svitsjer videresender ikke EAPOL-trafikk Authentication mac-move permit. En MACadresse kan ikke være autentisert påto porter på samme svitsj samtidig. Mangler svitsj uplink såvil bruker fortsette å autentisere.
Spørsmål?