Trace für 802.1x und MAB

[ua]

Moin,

wie trace ich denn 802.1x auf dem Router?
Finde dazu keine Funktion?

Hintergrund:
Die LAN-Ports auf dem Router sollen abgesichert werden.
User/Pass via 802.1x funktioniert einwandfrei, da sehe ich auch alles mit den Radius-Traces.
Aber: MAB (für Clients, die kein 802.1x können) funktioniert nicht, da sehe ich auch keine Anfragen in den Radius-Traces.

VG

[rotwang]

Wie lange hast Du denn gewartet? Wenn der Bypass nicht auf 'immediate' steht, dann wartet der 1X-Authenticator so lange auf einen Identity Response, wie durch die Timeouts unter /Setup/IEEE802.1x/Ports definiert ist. Das sind im Default anderthalb bis zwei Minuten.

Eine Meldung "Start MAC-based authentication..." kommt im EAP-Trace, aber eben erst nach Ablauf der oben genannten Frist, wenn der Client nicht auf die EAP-Pakete vom LANCOM antwortet. Außer Du hast den Bypass auf 'Immediate' gestellt, aber das macht man nur dann, wenn man gar kein 1X und nur MAC-based nutzen will.

[ua]

Moin,
die 90'' hatte ich abgewartet.
Hier der Radius Request nach 90'':

Code: Alles auswählen

[RADIUS-Client] 2024/10/09 12:21:24,823  Devicetime: 2024/10/09 12:21:24,233
Send RADIUS Authentication Request Id 44 to 127.0.0.1:1812 Backup-Step 1
  Authenticator       : 4e 27 33 39 bc de 6f 97 N'39..o.
                        eb 55 8a 45 82 41 00 80 .U.E.A..
  Message-Authenticator: 99 9d 32 0d f3 aa 95 5b ..2....[
                        63 bb 69 8f 5e 67 9b b0 c.i.^g..
  User-Name           :  
  User-Password       :  
  NAS-IP-Address      : 127.0.0.1

[RADIUS-Server] 2024/10/09 12:23:24,811  Devicetime: 2024/10/09 12:23:24,236
Received RADIUS Authentication Request request 46 from client 127.0.0.1:12243[#Loopback]:
-->found client in dynamic table
-->known attributes of request:
   User-Name           :  
   User-Password       :  
   NAS-IP-Address      : 127.0.0.1
   Message-Authenticator: f1 cf 36 96 87 7b b7 d5 ..6..{..
                         05 8f 8c b6 f5 dd 79 de ......y.
-->user name contains no realm, using empty realm
-->realm of user is ''
-->authenticating locally
-->did not find user ' ' in database(s)
--> user not found in database and no EAP, rejecting
-->response to access request via non-secure transport, enforce message authenticator
-->response type is Reject, response attributes:
   Message-Authenticator: dd a9 d6 72 86 2b 58 d5 ...r.+X.
                         51 e1 3b 82 d7 af 8b 44 Q.;....D
   (Message-Authenticator is at front of attribute list)
-->sending response

M.E. müsste doch als user/pass jetzt die MAC-Adresse kommen?
Eingeschaltet ist es:

Screenshot 2024-10-09 122722.png

VG

Tante Edit sagt: Auch mit der Einstellung "unverzüglich" ist das Verhalten gleich.

IM EAP Trace ist nur "delete all sessions .." zu sehen.

[rotwang]

Code: Alles auswählen

User-Name           :  
User-Password       : 

Leerer Benutzername und Passwort? Was steht denn bei Dir unter

Code: Alles auswählen

/Setup/LAN/IEEE802.1x/Username-Attribute-Format

? Das ist ein Formatstring, wie Benutzername und Passwort aus der MAC-Adresse gebaut werden. Konfig-Default ist '%a%b%c%d%e%f', d.h. aus der MAC-Adresse 00:a0:57:11:22:33 wird ein '00a057112233'. Du hast den Formatstring nicht evtl. irgendwie gelöscht?

[ua]

Code: Alles auswählen

root@AEF-WWRT-Rem2:/Setup/LAN/IEEE802.1x
> ls

Authenticator-Ifc-Setup    TABLE:   6 x [Ifc,Operating,Mode,..]
Supplicant-Ifc-Setup       TABLE:   5 x [Ifc,Port-Control,Method,..]
Username-Attribute-Format  VALUE:   %a%b%c%d%e%f

root@AEF-WWRT-Rem2:/Setup/LAN/IEEE802.1x
>

is drinn

Die leeren user/pass Felder irritieren mich ja auch, selbst wenn Smörebröt drin stände, hätte ich ja einen Packan...
Hoffentlich nicht schon wieder ein Bug, der nach mir benannt wird

[rotwang]

Dann weiss ich's im Moment leider auch nicht, was bei Dir ist.

Und bei näherer Betrachtung kann dieser RADIUS-Request nicht vom MAB kommen. Der schreibt in den Request noch deutlich mehr Attribute rein, als Nutzername, Passwort und NAS-IP-Address. Zum Beispiel NAS-Port, Service-Typ, Called/Calling-Station-Id...

Welche LCOS-Version benutzt Du? Kommt überhaupt irgend etwas im EAP-Trace?

[ua]

Hi,
habe mehre Versionen ab 10.72 bis 10.80.742 erfolglos probiert.
EAP Pakete werden auf einem anderem Port (der mit dem AP und user/pass) im Trace angezeigt (an ETH-1 wird MAB getestet).

Screenshot 2024-10-09 152900.png

Soll ich mal ein Ticket aufmachen?
Viel mehr kann ich an sich nicht mehr einstellen?

[rotwang]

Soll ich mal ein Ticket aufmachen?

Dann landet's auch nur wieder bei mir, hat aber ein Ticket gekostet

EAP Pakete werden auf einem anderem Port (der mit dem AP und user/pass) im Trace angezeigt (an ETH-1 wird MAB getestet).

Ich meine den EAP-Trace, nicht den Ethernet-Trace auf EAP-Pakete eingeschränkt.

Ich habe das hier eben mal eingeschaltet und das sieht so aus:

Code: Alles auswählen

root@:/Setup/RADIUS/Server
> l /Setup/IEEE802.1x/RADIUS-Server/

Name              Host-Name                                                         Port                Secret                               
                             Loopback-Addr.               Protocol                Attribute-Values                                           
                                                                                                                                             
                                                     Sup.-Profile  Backup          
==================---------------------------------------------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------------------------------------------------------------
-----------------------------------------------------------------------------------
LOCAL             127.0.0.1                                                         1812                                                     
                                                          RADIUS                                                                             
                                                                                                                                             
root@:/Setup/RADIUS/Server
> l /Setup/LAN/IEEE802.1x/Authenticator-Ifc-Setup/eth-2

Ifc                 Operating   Mode                  Single-Host-Violation-Block         Violation-Block-Time   Use-Multicast       MAC-Auth
.-Bypass    RADIUS-Server     Bypass-RADIUS-Server   
====================-------------------------------------------------------------------------------------------------------------------------
-----------------------------------------------------
ETH-2               Yes         Single-Host           No                                  0                      No                  Yes     
                                                     

Mehr hab ich nicht konfiguriert...

Code: Alles auswählen

root@:/Setup/RADIUS/Server
> tr # radius eap
RADIUS-Client              ON 
RADIUS-Server              ON 
RADSEC                     ON 
RADIUS-Dyn.-Peer-Disc.     ON 
EAP                        ON 

root@:/Setup/RADIUS/Server
> 
[EAP] 1900/01/01 04:41:53,306
EAP: Create station 54:ee:75:1a:30:91

Los geht's - der Authenticator hat gemerkt, dass da jemand anklopft...

Code: Alles auswählen

[RADIUS-Server] 1900/01/01 04:42:01,436
Checking for dead accounting sessions:


[EAP] 1900/01/01 04:42:22,428
EAP: TX -> 54:ee:75:1a:30:91 - sending EAPOL frame to supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 5
EAP:     Code        = 1 (Request)
EAP:     Ident       = 1
EAP:     Length      = 5
EAP:       Type      = 1 (Identity)


[RADIUS-Server] 1900/01/01 04:42:31,436
Checking for dead accounting sessions:


[EAP] 1900/01/01 04:42:52,428
EAP: TX -> 54:ee:75:1a:30:91 - sending EAPOL frame to supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 5
EAP:     Code        = 1 (Request)
EAP:     Ident       = 1
EAP:     Length      = 5
EAP:       Type      = 1 (Identity)


[RADIUS-Server] 1900/01/01 04:43:01,436
Checking for dead accounting sessions:


[EAP] 1900/01/01 04:43:22,428
EAP: TX -> 54:ee:75:1a:30:91 - sending EAPOL frame to supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 5
EAP:     Code        = 1 (Request)
EAP:     Ident       = 1
EAP:     Length      = 5
EAP:       Type      = 1 (Identity)


[EAP] 1900/01/01 04:43:22,428
EAP: TX -> 54:ee:75:1a:30:91 - sending EAPOL frame to supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 4
EAP:     Code        = 4 (Failure)
EAP:     Ident       = 1
EAP:     Length      = 4


[EAP] 1900/01/01 04:43:22,428
EAP: TX -> 54:ee:75:1a:30:91 - sending EAPOL frame to supplicant
EAP:   Packet Type   = 0 (EAP-Packet)
EAP:   Packet Length = 5
EAP:     Code        = 1 (Request)
EAP:     Ident       = 2
EAP:     Length      = 5
EAP:       Type      = 1 (Identity)

Ein paar Versuche, 1X zu verhandeln...

Code: Alles auswählen

[EAP] 1900/01/01 04:43:22,428
ETH-2: Start MAC-based authentication for 54:ee:75:1a:30:91

Dann eben nicht...

Code: Alles auswählen

[RADIUS-Client] 1900/01/01 04:43:22,429
RADIUS-Client: register UDP listener(s) for responses
-> port is 14726


[RADIUS-Client] 1900/01/01 04:43:22,429
Send RADIUS Authentication Request Id 4 to 127.0.0.1:1812 Backup-Step 1
  Authenticator       : 8a c5 c2 61 10 88 44 22 ...a..D"
                        11 28 94 4a 25 32 99 ec .(.J%2..
  Message-Authenticator: 0a 4b 2c 85 dd 5a b9 f7 .K,..Z..
                        36 98 96 96 c0 ca c3 93 6.......
  User-Name           : 54ee751a3091
  User-Password       : 54ee751a3091
  NAS-IP-Address      : 127.0.0.1
  NAS-Port            : 1
  Service-Type        : Framed
  Called-Station-Id   : 00-A0-57-3A-B3-04
  Calling-Station-Id  : 54-EE-75-1A-30-91
  NAS-Port-Type       : Ethernet


[EAP] 1900/01/01 04:43:22,430
EAP: Delete station 54:ee:75:1a:30:91


[RADIUS-Server] 1900/01/01 04:43:22,430
Received RADIUS Authentication Request request 4 from client 127.0.0.1:14726[#Loopback]:
-->found client in dynamic table, secret is 'Xna53JMU6Uze/TVkGnKFQCZ5KhBonWbt3+k3ukPoGDEW+hZdodqsW32lIIcZpYU'
-->known attributes of request:
   User-Name           : 54ee751a3091
   User-Password       : 54ee751a3091
   Service-Type        : Framed
   NAS-IP-Address      : 127.0.0.1
   NAS-Port            : 1
   NAS-Port-Type       : Ethernet
   Called-Station-Id   : 00-A0-57-3A-B3-04
   Calling-Station-Id  : 54-EE-75-1A-30-91
   Message-Authenticator: 0a 4b 2c 85 dd 5a b9 f7 .K,..Z..
                         36 98 96 96 c0 ca c3 93 6.......
-->user name contains no realm, using empty realm
-->realm of user is ''
-->authenticating locally
-->did not find user '54ee751a3091' in database(s)
--> user not found in database and no EAP, rejecting
-->response to access request via non-secure transport, enforce message authenticator
-->response type is Reject, response attributes:
   Message-Authenticator: 23 24 26 b1 9e 1c d0 2e #$&.....
                         04 f9 15 da 44 12 02 44 ....D..D
   (Message-Authenticator is at front of attribute list)
-->sending response


[RADIUS-Client] 1900/01/01 04:43:22,431
Received RADIUS Reject Id 4 from 127.0.0.1 on Port 14726
-->found corr. request 4 to 127.0.0.1:1812, secret <Xna53JMU6Uze/TVkGnKFQCZ5KhBonWbt3+k3ukPoGDEW+hZdodqsW32lIIcZpYU>
  Message-Authenticator: 23 24 26 b1 9e 1c d0 2e #$&.....
                        04 f9 15 da 44 12 02 44 ....D..D
-->trigger requester

Einmal RADIUS und zurück...

Code: Alles auswählen

[EAP] 1900/01/01 04:43:22,432
ETH-2: LAN station 54:ee:75:1a:30:91 failed MAC bypass

[RADIUS-Client] 1900/01/01 04:43:22,432
RADIUS-Client:
  deregister UDP listener for responses on port 14726


[EAP] 1900/01/01 04:43:22,528
EAP: Create station 54:ee:75:1a:30:91

Dann auch so nicht...und es geht wieder von vorn los...

[sebsch134]

Ich sehe nur einen Unterschied zwischen dem Modus "mehrere Hosts" und "einzelner host". Werde aber heute keine LANCOM Debug Session mehr starten.

[ua]

Hi,

@sebsch134:

Ich sehe nur einen Unterschied zwischen dem Modus "mehrere Hosts" und "einzelner host". Werde aber heute keine LANCOM Debug Session mehr starten.

Das war/ist es!

Bei den Einstellungen "einzelner Host" und "mehrere Authentifizierung" wird EAP gestartet:

Code: Alles auswählen

[EAP] 2024/10/09 18:54:41,666
EAP: Create station 00:xx:xx:xx:14:ef

Bei der Einstellung "mehrere Host" dagegen nicht?

Da ich die Konfiguration universell verwenden wollte (auch für APs), standen die Ports auf "mehrere Hosts".
Meinem Verständnis nach hätte es auch so funktionieren sollen?

Jetzt die große Frage:
"Works as designed" oder Bug?

Vielen Dank auch an @rotwang für die Mühe. Habe zum Schluss auch erfolgreich (!) mit einem frisch blondiertem Gerät getestet, bei den Deltas fielen dann obige Einstellungen auf.

Ergänzung: Unter /Status/IEEE802.1x/Station-Table sind die per user/pass angemeldeten Stationen aufgeführt, die per MAB angemeldeten finde ich jedoch nicht unter /Status?

Viele Grüße

[rotwang]

Bei der Einstellung "mehrere Host" dagegen nicht?

Da ich die Konfiguration universell verwenden wollte (auch für APs), standen die Ports auf "mehrere Hosts".
Meinem Verständnis nach hätte es auch so funktionieren sollen?

Jetzt die große Frage:
"Works as designed" oder Bug?

Aktuell ist das 'works as designed'. Im Multiple-Host Modus werden im nicht autorisierten Zustand alle nicht-1X-Pakete verworfen. Das ist deswegen so, weil der 1X-Authenticator die 'authentisierende MAC' irgendwie erkennen muss.

Den MAB halte ich im Zusammenhang mit Multiple-Host, also dem 'AP-Szenario', aber nicht für allzu sinnvoll. Da soll ja der AP mit seiner MAC den Port für alle Adressen öffnen. Wenn man jetzt aber einen AP hat, der kein 1X spricht und auf den MAB setzt, dann ist es reine Glückssache, ob der 1X-Authenticator die MAC des APs als erste sieht. Im Extremfall ist so ein AP auf seinem Management-Interface komplett still und man sieht nur die MAC-Adressen der dort angemeldeten Clients. Aber die will man ja nicht alle im RADIUS eintragen, für den Fall der Fälle.

Ergänzung: Unter /Status/IEEE802.1x/Station-Table sind die per user/pass angemeldeten Stationen aufgeführt, die per MAB angemeldeten finde ich jedoch nicht unter /Status?

Korrekt, in der 1X-Statustabelle stehen nur Clients, die auch eine 1X-Verhandlung durchlaufen haben. Das ist nicht anders als im WLAN. WLAN-Clients, die PSK und kein 1X gemacht haben, sieht man ja auch nicht unter /Status/IEEE802.1X/Station-Table. Die MAB-Clients dort mit reinzurühren, macht m.E. keinen Sinn. Da fehlt eher das Ethernet-Äquivalent der WLAN-Stationstabelle. Das würde aber auch nur in der Betriebsart 'Multiple-Host' wirklich gebraucht, wo mehrere Clients an einem Port sich unabhängig voneinander authentisieren. In den beiden anderen Betriebsarten gibt es ja nur jeweils eine Adresse, die sich authentisiert, und die steht unter Status/LAN/IEEE802.1X/Authenticator/Interface-Status.

[ua]

Moin,

vielen Dank für die Info, wieder viel gelernt!
Die "nicht Sicherheit" von MAB ist mir schon bewusst, es geht hier um Testszenario.

Werde es jetzt mit verschiedenen Portkonfiguration realisieren:

• AP: 802.1x, ohne MAB

• IOT: MAB und eingeschränkter Konnektivität

Viele Grüße

PS Jetz fehlt nur noch die dynamische Zuweisung von VLANs per Radius auf den LCOS-LAN-Ports ....

[rotwang]

Die "nicht Sicherheit" von MAB ist mir schon bewusst, es geht hier um Testszenario.

802.1X auf dem Ethernet ohne MAB ist auch nicht wirklich 'sicher'. Denn die Zugangssteuerung hängt ja nur an der Quell-MAC-Adresse in den Paketen, und die ist kryptografisch nicht gesichert und kann gefaked werden. Auf dem WLAN ist das anders, da ist WPA-Enterprise ja mit Verschlüsselung und kryptographischer Prüfsumme über den MAC-Header.

Auf dem Ethernet gibt es im Prinzip MacSec, aber das scheint seit vielen Jahren niemanden zu interessieren.

PS Jetz fehlt nur noch die dynamische Zuweisung von VLANs per Radius auf den LCOS-LAN-Ports ....

LCOS 10.90. Wie gut das dann klappt, wird man dann sehen. Da sind dann so fiese Details drin, dass man bei einem Hardware-Switch dynamisch Portseparierung machen muss, obwohl alle ETH-x in einem LAN-1 hängen...

[ua]

802.1X auf dem Ethernet ohne MAB ist auch nicht wirklich 'sicher'. Denn die Zugangssteuerung hängt ja nur an der Quell-MAC-Adresse in den Paketen,

Aber immer noch besser als ein ganz offener Port, zumindest das "mal eben" ist etwas eingeschränkt (nicht jeder hat immer einen Switch mit ).
MacSec habe ich auch wenig im Einsatz, meist wollen es nur die Öffentlichen auch nur auf den Trunks zwischen den Switchen, den anderen ist zu kompliziert/spooky.