WLAN AP und 802.1x am Switch

[ua]

Tach Zusammen,

folgende Herausforderung habe ich immer noch (siehe auch http://www.lancom-forum.de/alles-zum-la ... 14180.html):
Die LAN-Dose eines aussenliegenden AP kann baulich nicht 100% geschützt werden, daher muss sich das Netz selber schützen.

Meine erste Quick&Dirty Lösung war diese:
1) Tunnel für die SSID einschalten;
2) MAC-Security auf dem Switch (GS2326P) einschalten und auf eine MAC-Adresse beschränken.
Ergebnis: Geht manchmal, manchmal nicht (der AP sendet unmotiviert manchmal mehr als eine MAC und sperrt damit den Port, hatte noch keine Muß mal den Verkehr zu sniffen, um zu sehen welche es sind).

Nun muß was anderes her: Andere Hersteller können ja 802.1x, dann sollte LC es auch können...
In den Einstellungen habe ich nicht gefunden, in der KB gibt es folgenden Artikel: https://www2.lancom.de/kb.nsf/fe78f8220 ... enDocument Leider fehlt hier die angesprochene Konfiguration des AP (oder ich bin zu doof zum lesen)?

Lösung 3 habe ich auf Catalysten realisiert: Sobald ein bestimmter Port auf "shut" geht, bemerkt das ein Script (überwacht das Log) auf dem Switch und setzt den Port "manuell" auf shut. Aber Scripts laufen wohl nicht auf LC Switchen.

Daher mal eine Bitte an die Kundigen aus Kanzler-werden-will-Town und natürlich alle Anderen ob 802.1x überhaupt unterstützt wird, als Supplikant am NAS.

Viele Grüße aus OBC

Udo

[Jirka]

Hallo Udo,

man kann den AP in ein VLAN-getaggtes Admin-Netz stecken, wo Firewall-technisch dann anschließend nichts erlaubt ist oder nur eingeschränkt was erlaubt ist. Aus einem Verwaltungs-Netz oder Intranet kommt man dann ins Admin-Netz, aber vom Admin-Netz natürlich nicht ins Intranet/Verwaltungsnetz.

Viele Grüße,
Jirka

[Cytor]

Hi,

du könntest den einen LAN-Port des AP als als 802.1X-Authenticator konfigurieren, dann kommt ohne Anmeldung keiner mehr rein.
Den Uplink-Port zum Switch dann als Supplicant, so dass der AP sich am Switch anmelden muss. Sonst könnte ja jemand den AP abklemmen und hätte über das Uplink-Kabel einen Zugang zum Netz.

Konfig geht unter /Setup/LAN/IEEE802.1x.

[alf29]

Den Uplink-Port zum Switch dann als Supplicant, so dass der AP sich am Switch anmelden muss. Sonst könnte ja jemand den AP abklemmen und hätte über das Uplink-Kabel einen Zugang zum Netz.

Wer das kann, kann auch den AP abklemmen, einen kleinen Hub/Switch zwischen AP und Netzwerkdose hängen und abwarten, bis der AP per 1X den Uplink-Port öffnet. 1X auf dem LAN ist leider nicht so 'stark' wie auf dem WLAN, weil es nicht mit Verschlüsselung bzw. kryptographischer Authentisierung der Frames verbunden ist. Selbst wenn man das auf eine MAC-Adresse beschränkt, kann ein Angreifer die MAC-Adresse des APs fälschen. Meist hat man noch nicht einmal das, weil man will, daß der AP weiter transparent aufs LAN bridged, d.h. man stellt den Switch-Port so ein, daß eine 1X-Authentisierung (die durch den AP) den Port für alle MAC-Adressen öffnet. Das wird vermutlich erst mit MacSec besser, aber das scheint sich schon seit Jahren nicht durchzusetzen...ich kenne nicht viele Kunden, die 1X auf dem LAN einsetzen, die Kunden, die das im Jahr nachfragen, kann ich bequem an einer Hand abzählen. Vermutlich deswegen sind die Menüs im LANconfig nicht drin.

Gruß Alfred

[Christoph_vW]

Das wird vermutlich erst mit MacSec besser, aber das scheint sich schon seit Jahren nicht durchzusetzen...

Alle Switches die ich in letzter Zeit gekauft habe, können MacSec.... (zumindest HP, Cisco und Juniper unterstützen das)
Jetzt fehlt mir nur noch die Unterstützung bei LANCOM...

[alf29]

Moin,

also hier in der Entwicklung ist bezüglich MacSec noch nichts an Wünschen aufgeschlagen. Das wird ohne Hardware-Unterstützung auch nicht wirklich gut funktionieren, die Ver/Entschlüsselung muß direkt von der Ethernet-Hardware gemacht werden, ähnlich wie beim WLAN. Selbst der VPN-Hardware-Beschleuniger dürfte ein Problem bekommen, mit GBit-Speed die Daten fürs Ethernet durchzuschieben...

Gruß Alfred

[ua]

Hallo Zusammen,

Konfig geht unter /Setup/LAN/IEEE802.1x.

Genau das habe ich gesucht, Danke!
Werde mal testen und berichten (kann aber etwas dauern).

An sich sollte es so laufen:
1) AP authentifiziert sich am Switch
2) AP sendet alles per CAPWAP
Ergo sollte am Switch nur EINE MAC zu sehen sein, allerdings zeigen die AP (wie oben beschrieben) schon mal seltsame Verhaltensmuster beim booten ...

Mit 802.1x auf den LC-Switchen habe ich noch keine Erfahrung, jedoch kann ich z.B. bei Cisco folgendes konfigurieren: 802.1x hat authentifiziert und Port ist offen für n*MAC, sobald de Port auf Shut geht (der "Böse" hat den Stecker gezogen) muß neu authentifiziert werden, diesmal erfolglos.

Wer das kann, kann auch den AP abklemmen, einen kleinen Hub/Switch zwischen AP und Netzwerkdose hängen und abwarten, bis der AP per 1X den Uplink-Port öffnet.

Stimmt auch, m.E. kommt allerdings auch auf die Implementierung auf dem Switch an. Normalerweise bildet der Switch immer ein Pärchen aus MAC-Adresse und Auth.Verfahren/ID. Somit kommt der erste Request von der MAC-Adresse des zusätzlichen Switches, dieser wird abgelehnt, da keine Authentifizierung stattfindet, somit dürfte keine weitere Auth-Session für die "echte" Adresse gestartet werden, allerdings hängt dies auch von der SW-Firmware ab. Werde mal ein bißchen testen.

Die Lösung von Jirka ist auch eine Überlegung wert, an sich ist die Lösung einfach genial: AP-Netz mit DHCP-Reservierung und Zugriff nur auf den WLC (per FW-ACL).

Aber vielleicht kann Alf ja noch etwas zu dem oben beschriebenen CAPWAP-Phänomän ausspeichern

Viele Grüße

Udo

Tante Edit: Auf Zitate geantwortet geantwortet

[Christoph_vW]

Moin,

also hier in der Entwicklung ist bezüglich MacSec noch nichts an Wünschen aufgeschlagen. Das wird ohne Hardware-Unterstützung auch nicht wirklich gut funktionieren, die Ver/Entschlüsselung muß direkt von der Ethernet-Hardware gemacht werden, ähnlich wie beim WLAN. Selbst der VPN-Hardware-Beschleuniger dürfte ein Problem bekommen, mit GBit-Speed die Daten fürs Ethernet durchzuschieben...

Gruß Alfred

Danke für den Hinweis - habe es gerade als Feature Wunsch an den Support geschickt.