Zabezpieczenie sieci przed nieautoryzowanym dostępem za pomocą protokołu 802.1x

VIRL, Dynamips, Boson NetSim, Packet Tracert, Olive, UNL, EVE-NG

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba

Wiadomość
Autor
turbokrecik
member
member
Posty: 34
Rejestracja: 31 lip 2017, 15:35

Zabezpieczenie sieci przed nieautoryzowanym dostępem za pomocą protokołu 802.1x

#1

#1 Post autor: turbokrecik » 06 mar 2018, 22:25

Panowie wykonałem krok po kroku scenariusz przedstawiony w tym poradniku:

http://slow7.pl/server-2003-2008/item/1 ... iem-802-1x

Jedyną różnicą jest serwer - zamiast 2008 to 2016. Na potrzeby wdrożenia rozwiązania z tego tutoriala nie powinno jednak mieć to znaczenia. Wszystkie operacje wykonuje się tak samo. Całe środowisko oparłem o GNS3:

Windows_7 <---> Switch_L2 <---> Windows Server 2016

Jako obraz Switcha wykorzystałem ten z VIRL-a (vios_l2-adventerprisek9-m.vmdk.SSA.152-4.0.55.E)

Uruchamiając Wiresharka widzę, że jak Windows wysyła pakiet EAPOL, rozumiem że kolejnym krokiem powinna być odpowiedź switcha?
Wireshark wskazuje że switch milczy, pomiędzy switchem a serwerem również cisza. (oczywiście szukam tam RADIUSA i EAPOL, jakiś inny ruch jest)

Polecenia jakie wydałem na switchu to kolejno:
-aaa new-model
-aaa authentication dot1x default group radius
-aaa authorization network default group radius [edit]
-radius-server host <adres_IP> auth-port <numer_portu> acct-port <numer_portu> key <klucz>

Na docelowym interf:
-swichport mode access
-dot1x port-control auto

Wykonałem mały troubleshooting wydając komendy:
show radius statistic - same zera
show dot1x all - same zera

Windows, przy normalnej konfiguracji portu, bez dot1x normalnie pinguje przełącznik i serwer.
Dziękuje za udzielone wskazówki. Jutro będę dalej szukał problemu jak na razie widzę że switch po prostu nie chce współpracować.


edit:
komenda dot1x port-control auto działa na przełączniku, jednak przy naciśnięciu tab nie jest ona automatycznie podpowiadana (tak jakby switch jej nie znał)
Ostatnio zmieniony 07 mar 2018, 14:10 przez turbokrecik, łącznie zmieniany 2 razy.

kurđ
wannabe
wannabe
Posty: 215
Rejestracja: 13 kwie 2005, 07:15
Lokalizacja: München
Kontakt:

Re: Zabezpieczenie sieci przed nieautoryzowanym dostępem za pomocą protokołu 802.1x

#2

#2 Post autor: kurđ » 06 mar 2018, 23:47

No jeśli na switchu wykonałes tylko polecenia, które podałeś wyżej, to radzę przeczytać jeszcze raz ten tutorial.

Klatapat

MfG
Kurđ
[CCNA+W][CCNP][MCSE 2000/2003+M+S][MCTS][MCITP Ex2010]
Windowsinfo

Awatar użytkownika
polak
wannabe
wannabe
Posty: 233
Rejestracja: 20 mar 2005, 14:23
Lokalizacja: Bruksela

Re: Zabezpieczenie sieci przed nieautoryzowanym dostępem za pomocą protokołu 802.1x

#3

#3 Post autor: polak » 07 mar 2018, 11:45

802.1x na tym virtualnym switchu/sofcie nie działa (przynajmniej u mnie, po wielu probach itp, nawet najprostsze scenariusze), polecam fizyczny switch podłączony do gns itp
King Kong ain't got shit on me!

turbokrecik
member
member
Posty: 34
Rejestracja: 31 lip 2017, 15:35

Re: Zabezpieczenie sieci przed nieautoryzowanym dostępem za pomocą protokołu 802.1x

#4

#4 Post autor: turbokrecik » 07 mar 2018, 14:12

kurđ pisze:
06 mar 2018, 23:47
No jeśli na switchu wykonałes tylko polecenia, które podałeś wyżej, to radzę przeczytać jeszcze raz ten tutorial.

Klatapat

Tak, racja zapomniałem jednej komendy. aaa authorization network default group radius
Scenariusz powtarzałem kilkakrotnie i wcześniej z pełnym zestawem komend też nie działało.


polak pisze:
07 mar 2018, 11:45
802.1x na tym virtualnym switchu/sofcie nie działa (przynajmniej u mnie, po wielu probach itp, nawet najprostsze scenariusze), polecam fizyczny switch podłączony do gns itp
No i tu chyba jest pies pogrzebany :mrgreen:

Pisze prace inżynierską na temat możliwości emulacji sieci, w której mam wykazać czy da się przenieść realną sieć do wirtualnej 1:1.
Teraz wszystko wskazuje na to że: NIE DA SIĘ

Poczekam jeszcze, może ktoś z forumowiczów próbował robić dot1x na wirtualnym sofcie i działało?
Ostatnio zmieniony 07 mar 2018, 14:18 przez turbokrecik, łącznie zmieniany 1 raz.

Kyniu
wannabe
wannabe
Posty: 3424
Rejestracja: 04 lis 2006, 16:23

Re: Zabezpieczenie sieci przed nieautoryzowanym dostępem za pomocą protokołu 802.1x

#5

#5 Post autor: Kyniu » 07 mar 2018, 14:16

turbokrecik pisze:
07 mar 2018, 14:12
Pisze prace inżynierską na temat możliwości emulacji sieci, w której mam wykazać czy da się przenieść realną sieć do wirtualnej 1:1.
Teraz mam podane na tacy: NIE DA SIĘ
Źle postawione pytanie. Błędne wnioski. U mnie byś nie zaliczył.
Always start with why do you need this?, not how will we do it?.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure.

Awatar użytkownika
polak
wannabe
wannabe
Posty: 233
Rejestracja: 20 mar 2005, 14:23
Lokalizacja: Bruksela

Re: Zabezpieczenie sieci przed nieautoryzowanym dostępem za pomocą protokołu 802.1x

#6

#6 Post autor: polak » 07 mar 2018, 15:57

Usera, telefon itp i tak trzeba podpiąć do fizycznego switcha, dalej w głąb sieci wiekszość można zwirtualizować
King Kong ain't got shit on me!

turbokrecik
member
member
Posty: 34
Rejestracja: 31 lip 2017, 15:35

Re: Zabezpieczenie sieci przed nieautoryzowanym dostępem za pomocą protokołu 802.1x

#7

#7 Post autor: turbokrecik » 07 mar 2018, 21:22

Wszystko działa!

"...dot1x port-control auto is replaced with dot1x pae autheticator.
Same goes to radius-server is replaced with radius server NAME...."

ODPOWIEDZ