Hi, ich bin derzeit am planen meiner Technikerarbeit und würde gerne eure Meinung dazu hören und eventuell ein paar Tipps.


Also, ich habe mir als Abschlussarbeit mit einer lokalen Firma folgendes Ausgesucht.

In der Firma befindet sich ein Netzwerk mit ca 300 Client´s die unter XP/2000/NT4 und W95 laufen. Die Server laufen unter Debian Linux.
Die Firma möchte gerne ihr NEtz so absichern das keine Fremd-PC´s an das Netzwerk angeschlossen werden können.
Es soll ein Radius Server aufgesetzt werden welcher über dynamische Sicherheitszertifikate den Clients Zugriff aufs Netzwerk gibt. Es existiert ein LDAP Server mit Userdatenbank die eingebunden werden soll. Des weiteren wenn der Radius Dienst läuft sollen die einzelne CLients zu mehreren VLAN´s zusammengefasst werden.
So ich hoffe ich konnte mal kurz zusammenfassend erklären was gemacht werden soll.

Da diese Themengebiete (Radius/VLAN´s) für mich Neuland sind würde ich gerne von euch wissen welche Programme unter Debian dafür geeígnet sind (FreeRadius,OpenSSL,...??) diese Projekt zu verwirklichen. Und welche Aplikationen vor allem auch mit den oben genannten Clients funktionieren.


Ich würde mich über Meinungen und ein paar Tips zu dem Thema von euch freuen .

MFG

Armin

Hi,

nur so als kleine Information: Wie viele Monate hast Du Zeit?

Harry

Zum Thema VLAN und Linux:

Nach laden des Kernel-Moduls 8021q kannst du mit vconfig auf der Netzwerkkarte VLANs konfigurieren und so z.B. an einem Switchport unterschiedliche VLANs abgreifen.

Zum Rest kann man ganze Bücher schreiben.
(Ich nicht.)

wenn wirklich gar kein fremdpc ins netz kann (physikalisch) koenntest du noch n mac filter fuer einzelne switchports konfigurieren. aber wie man radius und vlan miteinander verbinden kann ist mir noch nicht klar.
was sind denn da deine weiteren gedanken?

aber super thema .. richtig anspruchsvoll, aber wenn du mit radius und vlan noch nicht so bewandert bist seh ich noch viele schlaflose naechte auf dich zukommen :D

freeradius is auf jeden fall ne schick, die anderen sind eher veraltet. vielleicht will sich die firma auch nen radiator leisten? da steckt dann ordentlich power dahinter :) ldap in freeradius einzubinden sollte auch kein problem darstellen.

Zeit für das Projekt ist so ne Sache... Kann die ganzen Sommerferien dransitzen und danach 2 Tage die Woche und nachmittags nach der Schule. Fertig sein sollte der Praxisteil bis sagen wir mal Dezember. Abgabe einschließlich der Doku ist Anfanf März`06. Meint ihr das reicht?? :) HAb extra frühzeitig angefangen damit ich nicht in Zeitnöte komme. Denke schon das es ein Anspruchsvolles Thema ist.Aber vor allem in der heutigen Zeit hochwichtig und auch interessant.
Versuche jetzt bis August so viel Info´s und Doku´swie möglich zu sammeln und dann im August loszulegen :D

Hoffe halt auf viele Hilfreiche Tipps zu den verschiedenen Programmen mit denen es laufen müsste damit ich mich bis August da einlesen kann und net unnötig mich mit Programmen befasse die für das gesteckte Ziel generell nicht geeignet sind.

Zu den VLAN´s:Also die VLAN Geschichte ist der 2te Teil des Projekts wenn die Radius Authentifizierung läuft und über die Zertifikate soll dann entschieden werden wer welchem VLAN zugeordnet ist.Aber wie man das MAcht habe ich bisher auch noch nicht herausgefunden. :(

Also schreibt alles was ihr zu dem Thema wisst damit ich Anhaltpunkte habe wo ich Anfangen kann und wie ich Schritt für Schritt das Projekt aufbauen kann.
Danke im Vorraus

MFG

Armin

ich versteh noch nicht ganz womit oder mit was sich der client anmelden soll.

also ich hab n laptop, fahr hoch, geb mir ne IP vom LAN und stecks in nen switchport. so, jetzt ist schon mal ein fremdpc am netz.
oder meinst du mit "netz absichern", den schutz vor angreifern uebers internet?

Hi,

soweit ich bisher aus den Anforderungen rauslese, wäre eine Kerberos-Umgebung vielleicht besser zur Umsetzung geeignet? Kerberos wurde ja mit dem Ziel entwickelt, alle Komponenten in einem lokalen Netzwerk (ok - innerhalb einer Realm) vertrauenswürdig gegeneinander zu authentifizieren.
Ist Radius dagegen nicht primär zur Authentifizierung von remote-Netzwerkteilnehmern konzipiert (über PPP/SLIP/etcpp.)?

Harry

Nein es geht bei der Firma darum das zum Beispiel keiner sein mitgebrachtes Laptop an ne LAN-Dose anstöpseln kann und dadurch Ungeziefer ins Firmennetzt bringt.Klar physikalisch verbinden geht schon aber das er erst Zugriff auf die Netzwerkdienste und Freigaben erhält sobals er sich am Radius angemeldet hat und dieser zustimmt.
Ich weiß noch nicht genau wie das funktionieren soll, kenne bisher nur das man sich (zb bei Novell Login Client) mit Username PW anmeldet und dann die Netzwerkdienste, Verzeichnisse/Berechtgungen entsprechend freigegeben werden.
Ich denke das auf dem Client ein Login Tool vorhanden sein muss das das Zertifikat mit dem Radius Server abgleicht und anschließende die Entsprechenden LAufwerke/Berechtigungen,etc vergeben werden und der Client dann in das entsprechende VLAN aufgenommen wird.
Bitte korrigiert mich wenn ich jetzt falsch liege ist für mich Neuland. :D

MFG
Armin

konzipiert nicht, aber da es primaer dafuer eingesetzt wird geht die weitere entwicklung in die richtung. kerberos wuerde sich da schon besser eignen.
aber die verbindung von VLAN und authentifizierung ist mir noch nicht klar. :confused:

Im Linux-Magazin oder in der c't war vor einiger zeit ein Artikel zum Thema.

Es wurde beschrieben wie man ein solches Szenario aufbaut:

Der Switch muß allerdings 802.1x tauglich sein - ist das der Fall?
Dann ist das ganze recht simpel...


mfg
cane

Muss ich mal Abklären es sind 48 Port Switches von Nortel aber muss mal anfragen was für Modelle. Oder können das inzwischen alle?
Also mir wurde eben vorgeschlagen das ganze über Radius zu lösen aber wenn es bessere Vorschläge gibt immer her damit noch ist alles in der Planungsphase*g*
War bisher auch der Meinung das Radius eher für Einwahlverbindungen von extern konzipiert ist. Und bei dem Vorhaben geht es ja nur um Authentifizierung der Kabelgebundenen Clients im Netz.
Welche CT war das wo der Bericht drin war? Würd ich mir mal durchlesen.

MFG

Armin

ne ... koennen nich alle ..

http://www.nortel.com/solutions/ethernet_switching/index.html

aber die klingen ganz lustig:

http://products.nortel.com/go/product_content.jsp?segId=0&parId=0&prod_id=25080&locale=en-US

War im Linux-Magazin oder in der c't. Die Lösung arbeitet mit 802.1x kompatiblen Switches die den benutzer am Radius authentifizieren...

mfg
cane

Hey die CT hab ich sogar war in der 18/04 habs grad mal rausgekramt und werds mir eut abend mal zu <gemüte führen könnte hilfreich sein wenn die Switches mitspielen.
MFG
Armin

hmm das thema is echt interessant .. letzterer link is recht informativ:

http://www.chip.de/artikel/c1_artikel_12819965.html
http://66.102.9.104/search?q=cache:pHf17fVtSv8J:wlan.informatik.uni-rostock.de/literatur/downloads/ps/nww_1401.ps+Switch+am+Radius+authentifizieren&hl=de
http://www.expansys.de/product.asp?code=107494
http://wlan.informatik.uni-rostock.de/literatur/downloads/pdf/nww_1401.pdf

Hi Wordoo,

konzipiert nicht, aber da es primaer dafuer eingesetzt wird geht die weitere entwicklung in die richtung. kerberos wuerde sich da schon besser eignen.
aber die verbindung von VLAN und authentifizierung ist mir noch nicht klar. :confused:
es wurde schon dafür konzipiert (ftp://ftp.rfc-editor.org/in-notes/rfc2138.txt) :D

Harry

du legst wohl alles auf die goldwaage :D

aber jetzt mal ehrlich was mir grad aufgefallen ist .. es heisst:
Remote Authentication Dial In User Service (RADIUS)

und das wort remote kommt im ganzen RFC nur 2 mal vor, davon 1 mal im topic und das andere mal im zusammenhang mit apple.

somit liegt der schwerpunkt fuer mich nicht auf remote einwahl. rfc hin oder her :D ;)

Nimm openvpn weil a) plattform independend b) kann man des dann auch für remote sachen nutzen c) ist es einfach zu konfiguriern d) für die ganz verrückten ist es komplett verschlüsselt und e) kannst du schön sauber mit iptables die sevrer absichern .. und wie du die einzelnen clients absicherst gegen viren absichterst is auch einfach du sicherst die portswitches mit mac addies ab .. so kann der potentielle laptop mit viren nicht ins netz und kann auch nicht über hintertürchen auf deine netzwerkresources zugreifen ,...
ich weiss nicht ob es nicht sogar bei windows möglich ist sämtlichen netzwerkverkehr von auserhalb des vpns zu verbieten ... einziger hacken an der sache : du musst 300 certs generierien ^^ und die dann auf jeden pc mit openvpn schieben ^^ aber dies is dann schon wieder reine übungssache .. desweiteren sehr wichtig schau das des erweiterte acl management von ntfs nutzt damit keiner des cert lesen kann auser administrator ... weil sonst könnte sich des ja einer ziehen und auf den lappi schieben ... auser du musst unbedingt an radiusserver aufsetzen ...

zum thema sicherheit sollte es gehen das man unter win den gesamten netzwerktraffic aufs openvpn schieben kann und den anderen blockt .. is im endeffekt nur ein rechner sichtbar und des is der openvpn server und der sollte so konfiguriert sein das nur die openvpn ports nach ausen (sprich netzwerk / inet) zu sehen sind .. weil alles andere geht dann übers vpn ,...
also ich hab des laufen über inet mit meiner techgroup funzt wunderbar ^^
aber des musst du wissen und es hängt türlich davon ab ob du unbedingt an radiussevrer aufsetzen musst

So, es bewegt sich was :-) Habe grade die Modellbezeichnungen der Switches bekommen:

bps 2000, baystack 470 und baystack 450 im verbund mit bps 2000

Laut Aussage der Firma sind die voll 802.1x fähig. In den Berichten die ich bis jett gelesen habe wurde das wenn man das über 802.1x macht mit nem Radius Dienst gemacht.


Gruß Armin

So, hab mir mal diverse Berichte über 802.1X Authentifizierung mit Radius und eap-tls durchgelesen. Der CT Bericht /18/04 ab Seite 192)ist dahigehend ziemlich Aufschlussreich.Also nach meinem angelesenen theoretischen Wissenstand müsste das das optimale für mein Projekt sein.MAc Adressen Filterung am Switch ist auch ne Möglichkeit welche ich auch schon mal umgsetzt habe aber das wäre ja zuuuuu einfach*g* UNd in der Firma wollen sie wenn das mit dem Projekt klappt auch über diesen 802.1X Dienst eventuell ein WLAN in Betrieb nehmen. Spätestens dann brauchen sie so ein System für ne gute Sicherheit.
Leider finde ich keine Antwort auf folgende Frage: In den Berichten geht es meistens um WLAN Netzwerke Absichern. In den Treibern der WLAN Karte ist die Funktion 802.1X Authentifizierung ja so gut wie immer vorhanden. Aber bei mir geht es ja um 100MBIT LAN Karten bzw LWL angebundene LAN-Karten(Elektsche Störeinflüsse in Produktionshalle). Wie sieht es bei den Karten aus mit 802.1X? Das einzige was ich auf die schnelle fan meiner Lappi-LAN KArte finden konnte war ein Protokoll Namens AEGIS Protokoll (IEE 802.1X) v3.1.6.0 . Aber ich konnte bis jetzt nirgends ne Möglichkeit finden wo ich da irgendwelche Parameter einstellen bzw Zertifikate angeben kann. Weiß jemand wo diese Funktionen verborgen sind oder ob das abhängig von der LAN Karte ist die ich verwende oder müsste das jede aktuelle Karte können?

Zum Thema OPENVPN muss ich mich noch bissl einlesen aber das wäre ja so wie ich das verstanden habe am ehesten für den 2.Teil des Projektes (VPN´s bilden) geeignet,oder?

MFG
Armin

also das windows xp hat auch bei normalen lan verbindungen die option sich mit ueber 802.1x bzw. EAP-TLS zu authentifizieren.

So, hab mit dem PRojekt begonnen und steh vor nem rießen Korb mit Fragezeichen :-) Aber momentan erstmal eine Frage: Bin derzeit an der Bildung der VLANs die Sich über 8 LAyer 2 Switches erstrecken. Die Packete müssen also getaggt werden. Die VLAN´s sollen nach einigen überlegungen nun warscheinlich auf Port Basis aufgesetzt werden da es Mac basiert nicht realisierbar ist. Meine Frage nun. Zu den VLAN´s kommt ja als Hauptteil ja der radius Server der die Authentifizierung der Clients über das 802.1x Protokoll übernehmen soll. Es ist soweit ich es bis jetzt Überblicke ja möglich über die Radius Authentifizierung dem Client einem VLAN zuzuordnen. Meine Frage: Ist es auch möglich den Client mehreren VLAN ID´s zuzuordnen so das der Client in mehreren VLANs gleichzeitig sein kann? Wenn man die VLAN zuornung direkt im Switch macht ist das möglich, nur ist das auch möglich über die dynamische Zuweisung über den Radius Dienst?
Gruß Armin

Hey Armin,
ich bin auch grade dabei eine Authentifizierung über 802.1x an einem RADIUS-Server in einer Firma durchzuführen. Im Moment hänge ich grad an der Anbindung von LDAP an RADIUS, bist du dort schon weiter und kannst mir vielleicht einige tips geben? :)
Im Moment kann sich ein Testuser am Netzwerk über 802.1x Authentifizieren anmelden, die Authentifizierungsdaten sind aber in einer RADIUS Datei gespeichert.
Ich habe schon einen Test User bei LDAP eingerichtet, mir ist aber nochnicht klar, wie ich es schaffe, dass RADIUS und LDAP zusammenarbeiten!?
lg Lena

Hallo Lena,

vieleicht hilft dir das weiter:

http://www.linuxhomenetworking.com/linux-adv/ldap.htm
http://www.linux.org/docs/ldp/howto/LDAP-Implementation-HOWTO/radius.html

mfg
cane

Hier noch ein link zu einem recht schönen openvpn tut
http://www.pronix.de/pronix-935.html

Hey,
vielen dank für die Links :) Die ersten beiden haben mir ganz gut weiter geholfen... nur leider habe ich das alles immernoch nicht so richtig hin bekommen :-( Die beschreibungen sind zwar ganz gut, aber richtig laufen tut LDAP noch nicht. Ich werde noch ein bisschen weiter probieren und vielleicht nochmal ein paar Fragen stellen :-)

Okay, hier mal mein aktueller Stand des Projektes.
Aufbau des Testnetzes vor dem Realbetrieb:

Nortel Baystack 470-48T Switch 802.1x fähig
1* FreeradiusServer unter Debian Sarge 2ter Server für Redundanz geplant
3* Client Windows XP, 2000 ist geplant
1* LDAP openldap unter Debian Sarge für Useraccounting über EAP-TLS Zertifikate

Derzeit läuft das Testnetz mit bis auf den LDAP Server (für welchen ich noch keine Zeit hatte und daher alternativ die lokale user Datei nutze) soweit schonmal mit normalen User basierten Zertifikaten die mit openssl erstellt wurden laut CT Bericht.
Mein Problem derzeit ist folgendes: Die Clients sollen sich anan einem PDC anmelden. Microsoft hat da aber einen Fallstrick eingebaut. Windows meldet sich erst an der Domäne an bevor es sich um eine Authetifizierung des Users und des Userzertifikates kümmert.Keine Authentifizierung ,kein freier Port, keine Domaänen-Anmeldung...toll!! Okay, das herauszufinden hat mich erstmal ne Weile aufgehalten. Es gibt eine Lösung: Mit einem Registry Patch kann man Windows so beeinflussen das es sich nicht mit Userzertifikaten anmeldet sondern mit dem Computeraccount und dem Zugehörigen Computerzertifikat. Genau da taucht das Problem auf. Wenn man das Zertifikat mit der mmc vom User zum Computeraccount verschiebt beginnt beim Domänen-Login die Authentifizierung aber bleibt dann hängen... Das gleiche Zertifikat als Userzertifikat und ohne Registry Patch und ohne Domäne fiunktioniert...??? Hänge mal unten noch die Ausgabe des Radius-Logs an bei der Computeraccount basierten Anmeldung villeicht hat jemand nen Tip an was das liegt...??? Wäre für jeden Tip dankbar.
Bezüglich den VLANs. Mit freeradius ist es möglich in der Request Antwort an den Switch gleich noch eine VLANID zu übergeben um den Port in das entsprechende portbasierte VLAN aufzunehmen. Leider ist es mit den Nortel Switches laut Aussage von Nortel nur möglich pro Port ein VLAN dynamisch über das EAPOL Protokoll zuzuweisen und nicht mehrere so wie ich es für meinen Aufbau benötigen würde... Mehrere VLANs pro Port geht derzeit nur Statisch auf dem Switch direkt...okay damit fällt in meinem Projekt die dynamische VLAn zuweisung flach, höchstens Nortel bringt ne neue Firmware raus die das unterstützt...soll was im anrollen sein aber wann und wie weiß bei denen keiner so genau...

@Murmel: LDAP hab ich noch net aufgesetzt aus Zeitgründen, kommt als nächstes sobald das obige Problem gelöst ist.

Guter Tip: Linuxmagazin 01/2005 st das ganze Szenario von einem Dr. Schwarzkopf beschrieben auch LDAP.
oder: http://www.linuxjournal.com/article/8095
hab noch nen adere Link bezüglich LDAP im Geschäft eiche ihn morgen nach. Die MAilingliste von freeradius und das Archiv ist ehr hilfreich in vielen Sachen.

Gruß Armin


rad_recv: Access-Request packet from host 10.40.0.254:1024, id=125, length=120
NAS-IP-Address = 10.40.0.254
NAS-Port-Type = Ethernet
Service-Type = Framed-User
Message-Authenticator = 0x75b32a36b118137416c352ac114ec00c
NAS-Port = 8
Framed-MTU = 1490
User-Name = "host/Client5"
Calling-Station-Id = "00-10-5A-F7-F0-BA"
EAP-Message = 0x02ff001101686f73742f436c69! 656e7435
Processing the authorize section of radiusd.conf
modcall: entering group authorize for request 0
modcall[authorize]: module "preprocess" returns ok for request 0
modcall[authorize]: module "chap" returns noop for request 0
modcall[authorize]: module "mschap" returns noop for request 0
rlm_realm: No '@' in User-Name = "host/Client5", looking up realm NULL
rlm_realm: No such realm "NULL"
modcall[authorize]: module "suffix" returns noop for request 0
rlm_eap: EAP packet type response id 255 length 17
rlm_eap: No EAP Start, assuming it's an on-going EAP conversation
modcall[authorize]: module "eap" returns updated for request 0
users: Matched entry DEFAULT at line 181
users: Matched entry DEFAULT at line 200
modcall[authorize]: module "files" returns ok for request 0!
modcall: group authorize returns updated for request 0
r ad_check_password: Found Auth-Type EAP
auth: type "EAP"
Processing the authenticate section of radiusd.conf
modcall: entering group authenticate for request 0
rlm_eap: EAP Identity
rlm_eap: processing type tls
rlm_eap_tls: Requiring client certificate
rlm_eap_tls: Initiate
rlm_eap_tls: Start returned 1
modcall[authenticate]: module "eap" returns handled for request 0
modcall: group authenticate returns handled for request 0
Sending Access-Challenge of id 125 to 10.40.0.254:1024
Framed-IP-Address = 255.255.255.254
Framed-MTU = 576
Service-Type = Framed-User
EAP-Message = 0x010000060d20
Message-Authenticator = 0x00000000000000000000000000000000
State = 0x3409168c713d79e19e09bf2f2ab092c9
Finished request 0
Going to the next request
--- Walking the entire request list ---
Waking up in 6 seconds...
--- Walking the entire reque! st list ---
Cleaning up request 0 ID 125 with timestamp 430c8459
Nothing to do. Sleeping until we see a request.

@Murmel

Wenn Du noch Fragen zu deinem problem hast mach doch bitte einen eigenen Topic auf - wird sonst auf dauer schwer den Überblick zu behalten. :)

@Mysterious

Dein Problem ist komplex und ich hab noch nicht mal Kaffee getrunken - schaus mir später mal genauer an...

mfg
cane

Danke... da waren wieder ein paar interessante Links, die mich auch weiter gebracht haben, dabei :) Ich denke, jetzt sind meine Fragen erst mal geklärt - falls aber wieder welche auftreten sollten werde ich einen eigenen Topic aufmachen...
Eine Frage habe ich aber noch, wie gut ist den der Artikel in dem Linuxmagazin 01/05? Denn ich finde kein Angebot, wo ich das Heft bebraucht kaufen kann und wenn ich es mir beim Linuxmagazin bestelle ist es doch ziemlich teuer!? Nur wenn der Artikel gut und hilfreich ist wäre es mir das Geld schon wert :) Ist dort auch beschrieben wie ich RADIUS und LDAP kombiniere?

Der Bericht bezüglich LDAP hat als Quellenagabe http://doris.name/radius welcher ausführlich das Zusammenspiel erklärt.