802.1x Authentifizierung am Switch

[LL0rd]

Hallo,

ich würde gerne die 802.1x Authentifizierung bei uns im Netzwerk einsetzen. Okay, bei Mac/Windows/Linux Geräten am Switch ist das alles auch kein Problem. Aber wie ist es bei anderen Geräten? Ich habe jetzt z.B. ein Lancom l-321agn Accesspoint und bei diesem habe ich keine Funktion gefunden, wie sich das AP am Switch anmelden könnte.

Oder habe ich da einen falschen Denkansatz?

[ardcore]

Klick mich

[netzwerker]

dot1X nutzt man normalerweise zur Authentifizierung von Endgeräten am Switchport. Ein WLAN-AP würde ich an einen Switchport ohne dot1X hängen.

Mirko

[LL0rd]

Ja, okay, ich kann 802.1x an bestimmten Ports abschalten bzw. MAC Adressen freigeben. Aber was habe ich dadurch erreicht? Ich habe einen sehr hohen Implementierungsaufwand für 802.1x und auf der anderen Seite sehr wenig Sicherheitsgewinn.

Was sollte denn jemanden daran hindern, einfach das Kabel eines APs oder Druckers abzuziehen und an einem offenen Switch Port den Zugriff auf das Netzwerk erhalten. Mit dem MAC Schutz sieht es nicht anders aus, denn eine MAC Adresse kann ich absolut ohne Probleme spoofen.

[netzwerker]

Ich bin jetzt von einem "gesicherten" AP ausgegangen. Kabel / Ports die irgendwie in den Zugriff von Usern kommen, sollten gesichert sein.

Mirko

[LL0rd]

Ich bin jetzt von einem "gesicherten" AP ausgegangen. Kabel / Ports die irgendwie in den Zugriff von Usern kommen, sollten gesichert sein.

Ja, aber wie stellt man das in der Praxis an? Wie kann ich denn verhindern, dass jemand an ein AP oder einen Drucker geht, ein Netzwerkkabel abzieht und es an ein Notebook steckt.

[ardcore]

Ja, okay, ich kann 802.1x an bestimmten Ports abschalten bzw. MAC Adressen freigeben. Aber was habe ich dadurch erreicht? Ich habe einen sehr hohen Implementierungsaufwand für 802.1x und auf der anderen Seite sehr wenig Sicherheitsgewinn.

Was sollte denn jemanden daran hindern, einfach das Kabel eines APs oder Druckers abzuziehen und an einem offenen Switch Port den Zugriff auf das Netzwerk erhalten. Mit dem MAC Schutz sieht es nicht anders aus, denn eine MAC Adresse kann ich absolut ohne Probleme spoofen.

Das höchste der Gefühle ist bei Geräten die kein 802.1x unterstützen Mac Authentication Bypass. Entweder du wirfst alle nicht 802.1x fähigen Geräte raus oder lebst mit dem Security-Defizit. Wenn du ganz paranoid bist, kannst du an die Ports die nur durch Mac Authentication Bypass gesichert sind auch noch eine ACL binden.

[LL0rd]

Entweder du wirfst alle nicht 802.1x fähigen Geräte raus oder lebst mit dem Security-Defizit.

Ich weiß nicht, Lancom APs sind z.B. mit Cisco Aironet in meinen Augen Professionelle APs. Und bei dem Lancom 321agn wüsste ich jetzt wirklich nicht, wie man dem Ding beibringen könnte, sich per 802.1x am Netzwerk zu authentifizieren.

Eine andere Frage wäre auch, wie weit 802.1x am Switch geht. Angenommen ich habe jetzt ein AP an einem 802.1x gesicherten Port. Ich würde das Ding so einstellen, dass es in einem "unsicheren" VLAN landet. Nun, am AP nutze ich auch 802.1x Authentifizierung und weise so einem User ein VLAN zu. Könnte der User dann aus dem VLAN des Switches ausbrechen?