SKFREE :: View topic - centralne overovanie MAC adries

SKFREE

Troubleshooting - centralne overovanie MAC adries

Smith - 24.03.2011 - 09:31
Post subject: centralne overovanie MAC adries

Zdravim. Z uvodu popisem situaciu.
V skole mame 8 pristupovych bodov (klasicke lacne APcka nakupene kym som tu ja nepracoval) linuxovy router, windowsovy server a jeden MK RB750 L4. Potreboval by som nejako rozbehnut centralne overovanie MAC adries (ak je to mozne), aby som kazdu jednu MAC adresu nemusel povolovat v kazdom AP osobitne. Vsetky pristupove body podporuju funkciu 802.1X, ktora by nieco takehoto mala umoznovat. Avsak vsetky moje pokusy stroskotali. Viete mi niekto poradit, ako tuto situaciu vyriesit?

Vopred diky

midnight_man - 24.03.2011 - 09:35
Post subject:

cez tie AP to podla mna nepojde, jedine urobit routing cez ten MK, a pridelovat IP na MAC adr sietoviek. Èim zlozitejsie tym horsie, u nas v skole je nejaky hyper super linux stroj, clovek tu potrebujem milon 20 certifikatov na instalovat do PC aby ho to pustilo na wifi. Poviem ti, to nie je použitelná školská wifina....Ja by som to pozamykal na MAC, dal DHCP staticke pridelenie IP len tomu koho MAC napises do routra...

Smith - 24.03.2011 - 09:45
Post subject:

nad tymto som uvazoval.. len neviem ako na mikrotiku nastavim DHCP aby pridelovalo len ludom, co su v Lease liste a ostatnym nie. Avsak dalsia vec je, ze ked si clovek nastavi na notebooku alebo inom zariadeni staticku IP a spravnu branu a dns, tak sa do siete dostane taktiez bez overenia na dhcp

midnight_man - 24.03.2011 - 09:49
Post subject:

nedostane, pretoze ked trafi IP niekoho ineho, tak staticky ARP ho nepusti do siete pretoze v staticom ARP bude pridelena ina MAC na tu danu IP. + vo FW nebude jeho MAC povolená tj mu to nepojde. Jediny pripad, kedy sa to da o.... je ze odpises MAC a IP z ineho zariadenia, ktore si povolil.

midnight_man - 24.03.2011 - 09:50
Post subject:

to DHCP sa to tam dá niekde nastavi myslím, že pridelit IP len static leases, davnejšie som sa s tým hral....

/// a vlastne to možeš spravi tak, že ak máš samostatne tie AP pripojene do portov mikrotiku, možes routova na kazdom AP iny rozsah a tj pridelit ziakom pristup len k tomu AP kde to budu vyuzivat...bude v tom troška poriadok.

Smith - 24.03.2011 - 10:04
Post subject:

práveže mikrotik mam pri routri, do MK idu kable z jednotlivych tried a pavilonov skoly cize na samotny port APcka nedostanem ani keby som sa rozhrajal.. jedna moznost je VLAN len to by som ku kazdemu APcku musel pripojit este dalsi MK ktory by traffic zabalil do VLAN. Skusim to poriesit s tym DHCP a ARP

midnight_man - 24.03.2011 - 10:10
Post subject:

tak poom by som kombinoval staticky ARP, DHCP a FW. Takto som to riešil aj pri bytovkách....staticky ARP a DHCP...odpadaju servisne vyjazdy nastatovania IP do PC Smile

Smith - 24.03.2011 - 10:59
Post subject:

no len staticke ARP moc pouzit nemozem z dovodu ze kazdy comp aby trvalo mal rezervovanu jednu IP adresu je z mojho pohladu velmi zbytocne. Skusim pouzit zapis do ARP z DHCP co to urobi

midnight_man - 24.03.2011 - 11:03
Post subject:

no sak jasne nie? tak ako bude mat kazdy PC rezervovanú MAC adresu.Uz potom zalezi na tom o akom poète PC sa bavime Smile

Smith - 24.03.2011 - 11:34
Post subject:

na DHCP zhruba 50 pocitacov, na statickych pocitacovh okolo 120. Kym zapisem vsetky adresy tak asi aj infarkt chytim Very Happy

midnight_man - 24.03.2011 - 11:41
Post subject:

uf...dal by som 2 rozsahy....

andreas4all - 24.03.2011 - 11:42
Post subject:

zapni si pool, cas na 3 alebo aj viac dni, z dynamickych spravis staticke a zmenis to potom na static only.

midnight_man - 24.03.2011 - 11:45
Post subject:

no presne, to je ono..static only. Smile

pixall - 24.03.2011 - 19:54
Post subject:

kua chlapi, dajte do googla RADIUS a nevymyslajte tu taketo kokotiny. preco asi taky Tcom nerobi na svojej sieti staticky ARP ked je to take skvele. keby som bol student ktory chce ist na net, tak ma so statickym ARPom a MAC filtrami zdrzite na 10 minut. maximalne.

midnight_man - 24.03.2011 - 19:56
Post subject:

ešte že takých študentov ako ty je málo Very Happy

eXplorer - 24.03.2011 - 20:16
Post subject:

midnightman: nie je ich malo akurat su ticho, boli by blbi keby sa ozyvali Very Happy

Smith: pixall ma pravdu, prestuduj si napr toto http://tldp.org/HOWTO/html_single/8021X-HOWTO/

Smith - 25.03.2011 - 10:55
Post subject:

chvalabohu na nasej skole su pomerne vymlete mozgy ale najdu sa dvaja traja co sa sparaju kde pride. RADIUS som uz pozeral avsak nepaci sa mi tam instalovanie autorizacnych certifikatov priamo do klientskych zariadeni.. Blizi sa vikend, vytlacim si tu stranku s radiusom a skusim si to po veceroch dokladne pozriet. Zatial som zacal riesit spominane DHCP s ARP. Pre nasich ziakov je to dost velka zabrana, oni vedia tak maximalne spustit NHL, FIFU a Counter Strike (niektori si nevedia ani pustit Word Shocked

) Tak zatial diky a keby niekoho napadlo dalsie univerzalne riesenie, bol by som vdacny

midnight_man - 25.03.2011 - 12:02
Post subject:

presne to, je u nas..tie certifikaty...je to na nerva.To tu ani nemusia robi.

eXplorer - 25.03.2011 - 20:56
Post subject:

Smith wrote: › RADIUS som uz pozeral avsak nepaci sa mi tam instalovanie autorizacnych certifikatov priamo do klientskych zariadeni..

necitali ste pozorne chlapci Smile

RADIUS podporuje viac autentifikacnych metod, metody EAP-TLS a EAP-TTLS vyzaduju instalaciu certifikatov na klietske zariadenia ALE metoda PEAP (Protected EAP) nic take nevyzaduje ! certifikat sa nainstaluje len na RADIUS server a na klientov nic. Treba ale vypnut kontrolu certifikatu servera na strane klienta - jedno "zaskrtavacie" policko treba zrusit. Ak nechcete riesie vobec ziadne certifikaty zvolte metodu EAP-MD5, ale tato sa da lahsie zlomit (hash MD5 bola prekonana).

sogi - 25.03.2011 - 23:47
Post subject:

PEAP nepodporuju niektore zariadenia...
apropos certifikaty k EAP-TLS - ak si kupite za par korun zaruceny certifikat od certifikacnej autority tak sa instalacia certifikatu root-autority (to je ten "certifikat" o ktorom hovorite) mozete vyhnut...

eXplorer - 26.03.2011 - 01:41
Post subject:

sogi wrote: ›PEAP nepodporuju niektore zariadenia...
apropos certifikaty k EAP-TLS - ak si kupite za par korun zaruceny certifikat od certifikacnej autority tak sa instalacia certifikatu root-autority (to je ten "certifikat" o ktorom hovorite) mozete vyhnut...

Zariadenie ktore nevie PEAP bude mat problem aj s EAP-TLS a povedal by som ze este vacsi. RADIUS metoda nezavisi od autentifikatora cize APcka, je to end-to-end zalezitost medzi RADIUS serverom a klientom, APcko data len prenasa, presnejsie bali L2 ramce EAPoL (EAP over LAN) protokolu do UDP aby to bolo routovatelne.

Pri EAP-TLS potrebujes certifikat pre kazdeho klienta vzdy, klient sa v tomto pripade neoveruje menom a heslom ale svojim vlastnym certifikatom, takze nakup zaruceneho certifikatu nic nevyriesi, pretoze aj tak budes musiet vygenerovat a nainstalovat klientske certifikaty na vsetkych klientov.

Narozdiel od PEAP metody, ktora pouziva meno/heslo pricom spojenie je sifrovane resp chranene SSL-kom, preto nazov P-EAP cize Protected-EAP. Pri PEAP teda staci mat certifikat na RADIUSe (aby bolo mozne nadviazat SSL session), pricom moze byt aj ne-zaruceny (potom treba vypnut kontrolu na klientoch) alebo zaruceny a klient uz nemusi menit prakticky nic. Na zadanie mena/hesla bude vyzvany. Potom este existuje aj metoda EAP-TTLS (nemylit si s EAP-TLS), ktora tiez nevyzaduje klientske certifikaty ale pokial viem je to proprietarna vec od firmy Funk software.

Obrovska vyhoda (nezavisle na pouzitej metode) je ze WPA kluc ktorym sa sifruju data je jednorazovy, akonahle sa uzivatel odpoji kluc je neplatny a pri novom pripojeni dostane novy kluc - vsetko na pozadi, uzivatel nemusi nic nastavovat ani menit.