HP 4208vl - Mac Authentifizierung

[bastian.will 10]

Hallo *,

 

ich habe bisher wenig Erfahrungen mit dem oben genannten Thema. Da wir gerade unser Netz in der Zentrale auf den oben genannten Switch umstellen, wollte ich die Chance nutzen und das Netz ein wenig sicherer machen.

 

Das Thema Mac Authentifizierug über Radius scheint mir hier die richtige Wahl zu sein. Unser Netz ist nicht so groß, dass wir komplexe VLAN Strukturen benötigen. Es gibt nur eine lockere Abteilungsstruktur und die Daten mit denen gearbeitet wird liegen zum größten Teil auf einem Fileserver. VLAN ist also nur ein Thema, wenn es für die Mac Authentifizierung benötigt wird.

 

Die Authentifizierung bei HP läuft ja über die Mac Adresse des Rechners mit der Mac Adresse als Kennwort gegen einen Radius Server. Da wir einen solchen unter Win2k3 bereits für die WLAN Authentifizierung nutzen, bietet sich das bei uns an. Allerdings haben wir auch viel Besucher die mal einen Internetzugang mit dem eigenen Gerät benötigen, daher möchte ich diese nicht komplett ausschliessen. Meine Vorstellung ist folgende:

 

- Bekannte Mac Adressen bekommen uneingeschränkten Zugriff

- Unbekannte Mac Adressen bekommen Zugriff auf ein seperates VLAN mit Zugriff auf seperate Schnittstelle am Proxy

 

Kann mir jemand von Euch ggf. helfen, bzw. mich auf den richtigen Weg bringen?

 

Danke schon mal

Gruß

b.w

[bastian.will 10]

Hallo *,

 

schade, dass mich hier niemand unterstützen konnte oder wollte. Damit zumindest der "Nachwelt" geholfen ist, möchte ich die von mir umgesetzte Lösung zum Thema hier präsentieren.

 

Zusätzlich zum DEFAULT_VLAN habe ich 2 weitere ('unauth' VID 2, 'auth' VID 3) eingerichtet, dem VLAN unauth erstmal alle Ports untagged zugeordnet und für beide VLANs dem Switch eine IP gegeben und den Standard Gateway eingerichtet:

config term
vlan 2
name "unauth"
untag all
ip addr 192.168.3.2/24
vlan 3
name "auth"
ip addr 192.168.2.2/24
ip default-gateway 192.168.2.1
exit
write mem

 

Weiter gehts mit dem Radius Server samt Key:

config term
radius-server host 192.168.2.4 key secretkey
show radius <-- zur Kontrolle
exit
write mem

 

Da am Switch auch Server hängen habe ich die Ports A1 bis B20 fest mit dem VLAN 3 "auth" verbunden. Die Ports B21 und B22 kommen ins VLAN 2 "unauth":

 

config term
vlan 3
untag A1-A22
vlan 2
untag B21-B22
exit
write mem

 

Um die Authentifizierung zu sichern benötigt der Switch ein Manager User und ein Passwort. Weiterhin ist ein RSA Key zu generieren, damit der Zugriff auf den Radius Server klappt:

 

config term
passwort manager user-name admin 
New password for manager: bla
Retype: bla
krypto key gen cert 1024
exit
write mem

 

Nun ist die MAC basierte Authentifizierung für die Ports einzurichten und dem Ports mitzugeben, welche VLAN ID sie haben sollen, je nachdem wie die Authentifizierung ausfällt:

config term
aaa port-access mac-based C1-H24
aaa port-access mac-based C1-H24 auth-vid 3
aaa port-access mac-based C1-H24 unauth-vid 2
exit
mem write

 

Soweit die Konfiguration am Switch. Im Radius Server nun noch den Switch mit dem angegeben key als Client einrichten und MD5-Challenge zuordnen.

 

HP authentifiziert den Rechner über die MAC Adresse (Username und Passwort) gegen das ADs. Hierbei ist zu beachten, dass das Konto mit umgekehrtem Passwort zur Entschlüsselung gespeichert werden und die Einwahl für den Benutzer erlaubt ist.

 

Da MAC Adresse als Benutzer und(!) Passwort dient ist darauf zu achten, dass die Benutzer keine Rechte im ADs bekommen, also nicht Mitglied der Gruppe "Domänen-Benutzer" ist. Hier bietet es sich an, eine separate Sicherheitsgruppe ohne Rechte anzulegen.

 

In der Hoffnung, dass ich hiermit mal jemandem helfen kann möchte ich mich noch bei denen bedanken, die mir hätten helfen können und es nicht getan haben. DANKE! So hab ich bei einfachem RTFM vieles über meinen Switch lernen können. :cool:

 

Gruß

b.w