Hallo,
habe ein paar etwas seltsame Syslog-Meldungen in unserem Firmennetz im Zusammenhang mit L-54g's gefunden. Es hat jemand sehr oft versucht, sich in unser 11i-Enterprise Netzwerk reinzuhacken, und zwar immer abwechselnd an zwei APs (war wohl im Empfangsbereich von beiden), die am selben Switch (Cisco) hängen. Seltsamerweise hat der Cisco Switch(!) gemeckert, dass die MAC-Adresse des Clients immer wieder und zu oft an unterschiedlichen Ports auftaucht (Syslog-Nachrichten s.u.).
Das wundert mich allerdings ein bisschen... ein Access Point sollte doch angeschlossene Clients erst mit ihrer MAC-Adresse ausserhalb des AP kommunizieren lassen, nachdem sie sich erfolgreich authentifiziert haben. Vorher sollten sämtliche Pakete am AP abgefangen werden; EAPoL/EAPoW Pakete sollten vom AP in RADIUS-Pakete eingepackt werden und mit der MAC des AP weitergeschickt werden. Zu keinem Zeitpunkt sollte ein "upstream" Switch von diesem noch nicht eingeloggten Client was mitbekommen... oder sehe ich da was vollkommen falsch?
Grüße,
Stefan Winter
Cisco Switch Syslog:
May 8 20:28:43 sw-4 %RTD-1-ADDR_FLAP: FastEthernet0/2 relearning 6 addrs per min
May 8 20:29:43 sw-4 %RTD-1-ADDR_FLAP: FastEthernet0/4 relearning 7 addrs per min
May 8 20:31:23 sw-4 %RTD-1-ADDR_FLAP: FastEthernet0/2 relearning 6 addrs per min
Syslog von den APs (Ausschnitt, immer das selbe):
May 8 20:50:23 ap-3 CONN-LOGIN_INFO: [WLAN-1] Authenticated WLAN station 00:15:00:28:ee:0e []
May 8 20:50:23 ap-3 CONN-LOGIN_INFO: [WLAN-1] Associated WLAN station 00:15:00:28:ee:0e []
May 8 20:50:24 ap-3 CONN-LOGIN_INFO: [WLAN-1] Authenticated WLAN station 00:15:00:28:ee:0e []
May 8 20:50:24 ap-3 CONN-LOGIN_INFO: [WLAN-1] Deauthenticated WLAN station 00:15:00:28:ee:0e [] (Unspecified Reason)
May 8 20:50:24 ap-3 CONN-LOGIN_INFO: [WLAN-1] Authenticated WLAN station 00:15:00:28:ee:0e []
May 8 20:50:24 ap-3 CONN-LOGIN_INFO: [WLAN-1] Associated WLAN station 00:15:00:28:ee:0e []
May 8 20:50:24 ap-3 CONN-LOGIN_INFO: [WLAN-1] Authenticated WLAN station 00:15:00:28:ee:0e []
May 8 20:50:24 ap-3 CONN-LOGIN_INFO: [WLAN-1] Deauthenticated WLAN station 00:15:00:28:ee:0e [] (Unspecified Reason)
May 8 20:50:24 ap-3 CONN-LOGIN_INFO: [WLAN-1] Authenticated WLAN station 00:15:00:28:ee:0e []
May 8 20:50:24 ap-3 CONN-LOGIN_INFO: [WLAN-1] Associated WLAN station 00:15:00:28:ee:0e []
May 8 20:50:28 ap-3 CONN-LOGIN_INFO: [WLAN-1] Disassociated WLAN station 00:15:00:28:ee:0e [] due to station request (Unspecified Reason)
May 8 20:50:29 ap-4 CONN-LOGIN_INFO: [WLAN-1] Authenticated WLAN station 00:15:00:28:ee:0e []
May 8 20:50:29 ap-4 CONN-LOGIN_INFO: [WLAN-1] Associated WLAN station 00:15:00:28:ee:0e []
May 8 20:50:33 ap-4 CONN-LOGIN_INFO: [WLAN-1] Disassociated WLAN station 00:15:00:28:ee:0e [] due to station request (Unspecified Reason)
Propagierung von MAC Adressen vor 11i Authentifizierung?
Moderator: Lancom-Systems Moderatoren
-
stefan.winter
- Beiträge: 61
- Registriert: 21 Mär 2006, 13:34
Propagierung von MAC Adressen vor 11i Authentifizierung?
Weltweites Roaming für Forschung und Bildung
www.eduroam.org
www.eduroam.org
Moin,
ist auf den APs das IAPP-Protokoll zur Roaming-Unterstützung
aktiv? Wenn ja, ist die Ursache dort zu suchen.
Zu der Funktion von IAPP gehört, daß der AP nach
Anmeldung des Clients einen Dummy-Broadcast mit der
MAC-Adresse des Clients als Quelladresse verschickt.
Dieser dient dazu, daß im Netz installierte Switches die
neue 'Position' dieser MAC-Adresse im Netz lernen, so
daß an den Client gerichtete Pakete sofort den richtigen
Pfad nehmen und es zu so wenig Paketverlusten wie
möglich kommt.
Momentan ist es so, daß dieser Vorgang im AP angestoßen
wird, sobald eine Assoziierung erfolgreich durchgelaufen
ist, ein eventuell danach folgender WPA-Handshake mit
oder ohne 802.1x ist darin nicht berücksichtigt. Pakete vom
Client selber kommen in dieser Zwischenphase natürlich
noch nicht durch.
Schön ist das natürlich nicht, aber es stellt auch keine
Sicherheitslücke dar, es kommen ja keine Pakete vom
Client selber durch. Eine Änderung in dieser Hinsicht ist
u.U. etwas knifflig, von daher möchte ich in dieser Hinsicht
nichts zusagen.
Gruß Alfred
ist auf den APs das IAPP-Protokoll zur Roaming-Unterstützung
aktiv? Wenn ja, ist die Ursache dort zu suchen.
Zu der Funktion von IAPP gehört, daß der AP nach
Anmeldung des Clients einen Dummy-Broadcast mit der
MAC-Adresse des Clients als Quelladresse verschickt.
Dieser dient dazu, daß im Netz installierte Switches die
neue 'Position' dieser MAC-Adresse im Netz lernen, so
daß an den Client gerichtete Pakete sofort den richtigen
Pfad nehmen und es zu so wenig Paketverlusten wie
möglich kommt.
Momentan ist es so, daß dieser Vorgang im AP angestoßen
wird, sobald eine Assoziierung erfolgreich durchgelaufen
ist, ein eventuell danach folgender WPA-Handshake mit
oder ohne 802.1x ist darin nicht berücksichtigt. Pakete vom
Client selber kommen in dieser Zwischenphase natürlich
noch nicht durch.
Schön ist das natürlich nicht, aber es stellt auch keine
Sicherheitslücke dar, es kommen ja keine Pakete vom
Client selber durch. Eine Änderung in dieser Hinsicht ist
u.U. etwas knifflig, von daher möchte ich in dieser Hinsicht
nichts zusagen.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
stefan.winter
- Beiträge: 61
- Registriert: 21 Mär 2006, 13:34
Super, danke für die schnelle Antwort. Ja, IAPP ist aktiv. Das langt mir als Antwort, dann werd ich die Logs einfach ignorieren.
Grüße,
Stefan Winter
Grüße,
Stefan Winter
Weltweites Roaming für Forschung und Bildung
www.eduroam.org
www.eduroam.org
Moin,
ich habe das für die 6.10 geändert, da kommt der
Dummy-Broadcast erst, wenn der Client wirklich für
Datenverkehr freigegeben ist.
Der IAPP-Handover mit dem alten Access Point beginnt
weiterhin direkt nach der Assoziierung, was auch sinnvoll
ist, denn die Vewrbindung zum alten AP besteht ja schon
dann nicht mehr.
Gruß Alfred
ich habe das für die 6.10 geändert, da kommt der
Dummy-Broadcast erst, wenn der Client wirklich für
Datenverkehr freigegeben ist.
Der IAPP-Handover mit dem alten Access Point beginnt
weiterhin direkt nach der Assoziierung, was auch sinnvoll
ist, denn die Vewrbindung zum alten AP besteht ja schon
dann nicht mehr.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
stefan.winter
- Beiträge: 61
- Registriert: 21 Mär 2006, 13:34
Wow. Euer Support ist echt gut. Wenn jetzt noch die NUL-Termination aus RADIUS String-Attributen raus wäre... 
Weltweites Roaming für Forschung und Bildung
www.eduroam.org
www.eduroam.org