2020. március 28., szombat

Gyorskeresés

802.1X-es hitelesítés Windows szerverrel és Cisco kapcsolóval

Írta: |

[ ÚJ BEJEGYZÉS ]

A minap kitaláltam, hogy milyen király lenne megnézni, hogy hogyan lehet a korábbiakhoz erősebben szabályozni, hogy kik férhetnek hozzá a vállalati hálózathoz. Ugye van a Cisco kapcsolókban alapvető portbiztonság, de egyrészről a MAC-cím hamisítható, másrészről meg ugye porthoz kötött, ami nem túl kényelmes megoldás.

A probléma megoldásához a 802.1X-es authentikáció pont kézen fekvő volt, azt leszámítva persze, hogy nincsenek "step-by-step" leírások a témához (szóval fellapoztam az MSDN-t meg a Cisco-nak a dokumentációit). Meg persze a Packet Tracer sehol nem ismeri ezt a technológiát, szóval kérdés nélkül a GNS3 mellett döntöttem.

Lássuk a teszthálót:

Hogyan hitelesítek? Vagy a kliens tanúsítványával, vagy a MAC-címmel, a kapcsoló adott portjának beállításainak megfelelően. Feltehetőleg a holnapi nap feladat lesz egységesíteni a portok beállításait, és megadni, hogy a 802.1X sikertelensége után mehet a MAC-alapú hitelesítés. A tanusítványt egyébként a Windows szervertől kapják a kliensek AD (tartomány) segítségével.

A két kliens közül a felső Windows 10 Enterprise-t (1709), az alsó Windows XP Professional-t, a szerver pedig egy Windows Server 2016 Standard rendszert futtat. Az útválasztó egy Cisco 7200-es (15.3-as IOS-szel), a kapcsoló pedig egy Layer 2-es IOU típus (15.2-es IOS-szel).

Az útválasztó DHCP-n kap címet az Internettől, amit porttúlterheléses módszerrel NAT-ol mindkét privát alhálózat felé. A DNS-szerver funkciókat a Windows szerver látja el (nyilván az AD miatt, és forward-ol is), a DHCP-szerver az útválasztó lesz.

Beállítások
A szerveren nagy vonalakban a következőket végeztem el: szervertelepítés (és alapvető beállítások), AD telepítése és tartományba léptetése, DNS konfigurálása (forwarding), AD CS telepítése és konfigurálása (új Enterprise CA), NPAS telepítése, konfigurálása (pl.: a kapcsoló felvétele a RADIUS kliensekhez) és a házirendek létrehozása illetve a csoportházirend beállítása (a tartományi gépek auto. kérnek maguknak tanúsítványt illetve a 802.1X-es beállítások).

Mindkét kliensen be kellett kapcsolnom a DOT3SVC szolgáltatást (így egyszerűbb keresni is, mert a magyar és angol Windows-ok rendre más séma alapján nevezik ezt is), az XP-n viszont még be kellett állítanom, hogy használja a 802.1X-es authentikációt, és ezt PEAP módszerrel tegye.

Az útválasztón az alap beállítások megadása után a NAT-ot és az alapértelmezett útvonalat kellett csak állítanunk.

A kapcsolón (szintén az alap beállítások megadása után) be kellett állítani a RADIUS-szerver címét (ez lesz ugye a Windows szerver címe), engedélyezni a dot1x-et globálisan és megadni, hogy a hitelesítéshez a RADIUS-szervert használja, majd portonként egyesével beállítani, hogy melyik porton legyen kényszerítve a kliens hitelesítésre (vagy 802.1x tanúsítvánnyal vagy MAC-címmel).

Képernyőkép az útválasztóról, kapcsolóról és a Windows 10-es kliensről:


A kapcsoló és a szerver is megerősíti, hogy a 802.1X-es hitelesítés megtörtént

Illetve képernyőkép a szerverről:


A módosított (alapért.) csoportházirend, és az NPAS házirendjei

A Windows XP-s kliens ilyen beállításokkal megy:


Az engedélyezett szolgáltatás és a manuálisan megadott 802.1X-es beállítások (az XP nem része a tartománynak)

Gondolkodom/gondolkodtam rajta, hogy kéne-e erről egy tartalmasabb címlapos írást közölnöm, de szerintem ez annyira rétegtudás, hogy nagy igény nem igazán lenne rá. Viszont adok pár linket, ha valaki követne engem:

- How to use 802.1x/mac-auth and dynamic VLAN assignment (a Windows-os része használható)
- Checklist: Configure NPS for 802.1X Authenticating Switch Access (az előző leírást egészíti ki, nagyon hasznos)
- 802.1X Authentication Services Configuration Guide, Cisco IOS XE Release 3SE (Catalyst 3850 Switches) (irgalmatlan hosszú, de a parancsokat itt találhatjuk majd meg)
- A simple wired 802.1X lab (step-by-step leírás a 802.1X egyszerűbb formájáról, hasznos lehet)

Ha minden igaz, a napokban még visszanézek, és kiegészítem ezt a bejegyzést pár tippel, paranccsal esetleg linkkel. :R

Hozzászólások

(#1) btz


btz
(addikt)
LOGOUT blog

Most volt szó a Linuxakadémián erről a 802.1x-ről. Tényleg nagyon hasznos, hogy nem dugdoshat akárki akármit a portokba. Ha foglalkozol a témával, tényleg hasznos lenne egy címlapos cikk a 802.1x-ről vagy kompletten a hálózat határvédelméről egy tartalmas cikk.

ⓑⓣⓩ

(#2) kraftxld


kraftxld
(nagyúr)

Mi az a kapcsoló?

🇳🇿 | MCSE+M/S, MCITP, VCP6.5-DCV - ''Soha ne becsüld le az autópályán száguldó DAT kazettákkal megrakott teherautó sávszélességét''

(#3) btz válasza kraftxld (#2) üzenetére


btz
(addikt)
LOGOUT blog

Szerintem a switch-et magyarosította :)

ⓑⓣⓩ

(#4) mbalint987 válasza btz (#1) üzenetére


mbalint987
(aktív tag)
LOGOUT blog

Igen, tényleg hasznos, bár ugye a MAC-alapú portbiztonságnál sem tudsz akármit akárhova dugdosni. Ennek az egésznek az az elképesztő nagy előnye, hogy egy központi szerveren tudod menedzselni az engedélyezett kliensek listáját, a másik pedig hogy nem vagy portokhoz kötve.

(#2) kraftxld: A switch magyarul. Őszinte leszek, azt gondolom, hogy ha már Magyarországon vagyunk és magyar nyelvet beszélünk, használjunk magyar szavakat, ha tudunk (a suliban is így szoktuk amúgy).

„Így száll hát sírba a szabadság... tapsvihar közepette.” /Star Wars Episode III/

(#5) kmisi99 válasza mbalint987 (#4) üzenetére


kmisi99
(addikt)

Az iskolában a tanárok elég viccesen mondják sokszor a neveket, én csak kienvettem őket. Nem mindig jó erőltetni a magyar szavakat. George Bush se Bokor György nek hívjuk. Amúgy is angol a szakma nyelve. Másik az hogy jobb esetben kienvetnek maid a kollégák vagy rosszabb esetben nem fogják majd érteni.

(#6) mbalint987 válasza kmisi99 (#5) üzenetére


mbalint987
(aktív tag)
LOGOUT blog

"George Bush se Bokor György nek hívjuk."
Azért a Switch <-> kapcsoló és George Bush <-> Bokor György esetek nem hasonlíthatóak össze. :)

Aki meg egy útválasztó (emlékezzünk, hogy a Microsoft szoftverek is rendre így nevezik a routereket) vagy egy kapcsoló (a CCNA R&S anyagok mindegyike ezt a szót használja) kifejezés miatt kinevet (vagy nem érti) azzal nincs dolgom. Ezek a fogalmak az IT alapok részét képzik, én ezeket kilencedikesként már tanultam.

„Így száll hát sírba a szabadság... tapsvihar közepette.” /Star Wars Episode III/

(#7) razorbenke92 válasza kmisi99 (#5) üzenetére

Elég szar helyeken fordulhattál meg, ha a kollégák kinevetnek. Jobb helyeken az embert kisegítik, ha valamit rosszul tud, de jelen esetben még ez sem állja meg a helyét, ugyanis ahogy már szó volt róla, a terminológia általánosan elfogadott szakfordításokban is, nem pedig erőltetett magyarság.

Nem mellesleg én köszönöm a cikket. Saját környezetben hosszú ideje küzdünk azzal, hogy 802.1X + RADIUS kombós hitelesítéssel a Windows eszközökön PEAP - MSCHAPv2 mellett a Win valamiért mindig elcseszi a hitelesítést Windows7-től újabb rendszereknél.

Értsd:
- XY először felcsatlakozik a wifire, semmi probléma
- Másodjára akar csatlakozni, nem is ugyan az a form fogadja, mint az első alkalommal, és akár hányszor írja be az adatokat, nem segít
- Kitörli az ismert hálózatot, és nulláról újracsatlakozik, akkor jó megint.

A lényeg, hogy ebből lesz olvasnivaló.

Mások számára a kondi fáradós, nekem farad-os...

(#8) kraftxld válasza mbalint987 (#6) üzenetére


kraftxld
(nagyúr)

Oké, majd átprogramozom az alapvető kiviteli és beviteli egységem, kirakok egy fingós postot, akarom mondani postát az arckönyvre, aztán hátha megértem a kapcsolót, ami az egész világon a hálózatos körökben switch :)

A CCNA/P vizsgán is majd felteszed a kezed és kijössz, mert nem kapcsoló van hanem switch? :)

[ Szerkesztve ]

🇳🇿 | MCSE+M/S, MCITP, VCP6.5-DCV - ''Soha ne becsüld le az autópályán száguldó DAT kazettákkal megrakott teherautó sávszélességét''

(#9) Bozodi János válasza mbalint987 (#4) üzenetére


Bozodi János
(aktív tag)

Tudom, hogy nem ez a lényeg, de szerintem se erőltesd a fordítást, senki se fogja érteni, ha nekiállsz kapcsolókat meg útválasztókat emlegetni. Switch, router, kész. Így ismeri az igazi szakma.

Tűzoltósááág!

(#10) mbalint987 válasza kraftxld (#8) üzenetére


mbalint987
(aktív tag)
LOGOUT blog

A kapcsoló egy abszolút korrekt fordítása a switch szónak, ezt kár lenne tagadnod. Ha akarod, nem használod, attól függetlenül mind a switch mind a kapcsoló szó használata korrekt.

Ezt a stílust pedig kár lenne erőltetned... :N

„Így száll hát sírba a szabadság... tapsvihar közepette.” /Star Wars Episode III/

További hozzászólások megtekintése...
Copyright © 2000-2020 PROHARDVER Informatikai Kft.