none
802.1x - autentizace pres dalsi switch

    Dotaz

  • Testuji nasazeni 802.1x, konfigurace je takova, ze jsou overovany stanice pomoci certifikatu vydaneho interni CA. RADIUS server je realizovan na Win Srv 2008R2 sluzbou NPS. Vsechny stanice jsou Win Vista nebo Win 7.

    Overovani protokolem 802.1x jako takove funguje, ale pri testovani me prekvapila jedna vec:

    1. Mejme sitovou zasuvku pripojenou do portu switche, na kterem je vyzadovano overovani 802.1x.

    2. Pripojme do teto zasuvky stanici, ktera ma pravo autentizovat se. Autentizace se provede, vse je tedy (zatim) OK.

    3. Odpojme od teto zasuvky tuto stanici a pripojme jinou, ktera nema pravo autentizovat se. Tato stanice s enepripoji. Vse je tedy (zatim) take OK.

    4. Odpojme od zasuvky tuto stanici a pripojme do ni "hloupy" switch. Do tohoto "hloupeho" switche pripojme stanici s pravem se autentizovat. Autentizace se provede a stanice se pripoji k siti.

    5. Nyni k "hloupemu" switchi pripojme jeste tu druhou stanici, ktera nema pravo autentizace. Tato stanice se ovsem nyni take pripoji k siti.

    To je ovsem spatne a IMHO to popira smysl 802.1x. Vypada to, ze mam neco spatne nastavene, neporadite nekdo?


    BB

    středa 7. listopadu 2012 15:50

Odpovědi

  • JJ, napsal. Ale ja si musel sam prijit na to, jak to nastavit. :o))

    Me na tom nejvice zarazi, ze tohle je defaultni konfigurace 802.1x na switchi. Mozna ne na vsech, ale zase to asi nebude takova vyjimka. Pritom to jak je to standardne nastavene vlastne do jiste miry popira smysl toho protokolu.

    Ja bych za rozumnejsi povazoval defaultni konfiguraci takovou, ktera umozni pripojit jen jedno zarizeni. A pokud nekdo potrebuje vice zarizeni na jednom portu, pak ma mit moznost to nastavit. Ale asi toho chci moc. :o)

    Diky za pomoc.


    BB

    pátek 9. listopadu 2012 7:41

Všechny reakce

  • ahoj,

    prvne bych se zeptal, co je u tebe "hloupy" switch?

    U me je "hloupy" switch ten, ktery nepodporuje 802.1x a tim padem by se spravne stanice ani ten switch nemely pripojit (pokud nepouzivas MAC Authentication Bypass (a presne tak se mi to chovalo i v me siti, nez jsem takove switche nahradil)).

    čtvrtek 8. listopadu 2012 9:33
  • Ahoj,

    diky za odpoved.

    Hloupym switchem rozumim switch bez moznosti managementu a samozrejme nepodporujici 802.1x.

    Ja vim, ze by se stanice ani ten switch nemely pripojit, jenomze se pripoji. Proto se ptam.

    Na MAC Authentication Bypass se podivam.


    BB


    čtvrtek 8. listopadu 2012 9:39
  • To je zajimave ;)

    A co je v logu? Jako co je to overilo? Nemas tam nahodou nastaveno na tom portu FA?

    čtvrtek 8. listopadu 2012 9:43
  • Co myslis tim "FA"?

    BB

    čtvrtek 8. listopadu 2012 9:51
  • Force Authorized - muze tam jakykoli zarizeni bez nutnosti overovani
    čtvrtek 8. listopadu 2012 9:55
  • Ne, Force Authorized na testovanem portu samozrejme nastaveno nemam. Ostatne to vyplyva i z popisu chovani - bod 3:

    "3. Odpojme od teto zasuvky tuto stanici a pripojme jinou, ktera nema pravo autentizovat se. Tato stanice se nepripoji. Vse je tedy (zatim) take OK."

    Proste port na switchi se chova tak jak ma, pokud je k nemu suplicant pripojen primo. Jakmile je suplicant pripojen pres jiny switch, pak to dela psi kusy.

    Ja si to chovani vysvetluji tak, ze pokud pripojim pres ten "hloupy" switch zarizeni, ktere ma pravo se autnetizovat, tak se port na 802.1x switchi otevre. A Kdyz dale pripojuji zarizeni ke "hloupemu" switchi", tak zustava otevreny, i kdyz tato zarizeni pravo autentizace nemaji.

    Äle jak jsem pochopil protokol 802.1x, tak by se spravne pres "hloupy" switch nemelo pripojit ani koncove zarizeni s pravem autentizovat se. Proste mam neco spatne, ale co? :o)


    BB

    čtvrtek 8. listopadu 2012 10:03
  • vim, ze jsi to psal, jen jsem se ptal pro jistotu, nekolikrat se mi totiz stalo, ze se mi na prvku port samovolne prepl na neco jineho (hlavne na starsich nortelech)

    pokud je pravda to co pises, tak si na prvku zkus nastavit, aby se ti to overovalo pokazde, kdyz se neco pripoji, pak si to zadne overeni drzet nebude...

    kazdopadne tohle nebude nastaveni na serveru, tohle bude neco o prvcich...co pouzivas za switche?

    čtvrtek 8. listopadu 2012 10:08
  • JJ, je mi jasne, ze to je vec nastaveni switchu. Taky proto jsem ten prispevek nedal do severoveho tematu. :o)

    Pouzivam dva switche: 3Com Baseline Switch 2948-SFP Plus a HP ProCurve Switch 2510-48.

    Testovano na obou, vsude se chova stejne.


    BB

    čtvrtek 8. listopadu 2012 10:13
  • zkus tam zapnout, aby se to reauthenticovalo

    ted me jeste tak napada, my mame vsude nastaveno, aby se na ten port mohl pripojit soucasne jen jeden klient (pokud to neni port, ktery vede do dalsich prvku nebo do AP)...tim bys zamezil tomu, ze se ti tam nikdo nevlomi i kdyz by tam ten switch dal, ale problem to samozrejme neresi, jen me momentalne nic jineho nenapada....

    nemuzes zapnout nejaky logovani toho portu, co tam probiha za komunikaci?


    čtvrtek 8. listopadu 2012 10:37
  • Tak uz jsem na to prisel. Tedy prozatim u toho HP ProCurve Switche, takze problem vyresen na 50% :o).

    Jde o to, ze jsem mel na switchi zapnutou volbu "port-access authenticator", ktera vyzaduje autentizaci pripojeneho zarizeni, ale chova se tak jak jsem popsal v prvnim prispevku. Tedy pokud je port otevren jednim autorizovanym zarizenim, pak pres nejaky dlasi switch/hub je otevren i pro jakakoliv dalsi zarizeni (byt neautorizovana).

    Aby se to chovalo tak jak ma, tedy skutecne povolovalo pristup jen autorizovanym zarizenim, pak je treba pouzit volbu "port-access authenticator <cislo portu> client-limit 1, kde "client-limit" urcuje maximalni pocet soucasne pripojenych zarizeni k otevrenemu portu. Je-li nastavena hodnota 1, pak je mozno pripojit jen autorizovane zarizeni, zadne dalsi se nepripoji.

    Ted to jeste musim vyresit pro ten 3Com . . . :o)


    BB

    čtvrtek 8. listopadu 2012 14:44
  • ne ze bych to nepsal ;)))

    nicmene na tom 3comu to bude hodne podobne

    pátek 9. listopadu 2012 7:34
  • JJ, napsal. Ale ja si musel sam prijit na to, jak to nastavit. :o))

    Me na tom nejvice zarazi, ze tohle je defaultni konfigurace 802.1x na switchi. Mozna ne na vsech, ale zase to asi nebude takova vyjimka. Pritom to jak je to standardne nastavene vlastne do jiste miry popira smysl toho protokolu.

    Ja bych za rozumnejsi povazoval defaultni konfiguraci takovou, ktera umozni pripojit jen jedno zarizeni. A pokud nekdo potrebuje vice zarizeni na jednom portu, pak ma mit moznost to nastavit. Ale asi toho chci moc. :o)

    Diky za pomoc.


    BB

    pátek 9. listopadu 2012 7:41
  • nojo, asi je to tak schvalne, aby byly vsechny defaultni hodnoty nastaveny tak, aby to jelo za kazdych podminek

    me treba strasne dlouho trvalo, nez jsem prisel na to, ze u nekterych switchu je zaply spanning tree protokol a diky tomu (doted nevim proc) w7 necekaji na sit a tim padem se neoveri (pokud budes overovat pc i uzivatele)...takze bylo potreba se odhlasit a znovu prihlasit

    pátek 9. listopadu 2012 8:04