[MASOCH-L] Protocolo 802.1x com autenticação radius
Luiz Gustavo
luizgb at gmail.com
Tue Jul 7 20:02:40 -03 2009
Cassio, até onde eu sei, o método EAP a ser utilizado depende apenas de
configuração no servidor RADIUS. No switch você faz apenas a configuração do
802.1X, que irá apontar para o seu servidor RADIUS.
Respondendo a algumas perguntas:
5 - Na verdade, ao utilizar 802.1x, para você poder receber IP você precisa
estar autenticado.Se você tem um AD fica fácil pois ele tem recursos de
enviar o username juntamente com a senha no momento da autenticação para
fazer tanto autenticação no RADIUS quanto logon no domínio. Acredito que
seja mais fácil implementar isso usando o RADIUS da Microsoft (IAS).
6 - Até existe, mas todas as portas dele ficam condicionadas a uma única de
seu switch gerenciável.
7 - Em ambiente wireless funciona da mesma forma. Já utilizei 802.1X
utilizando autenticação EAP-TLS e EAP-PEAP em ambiente wireless. Se eu fosse
usar isso em uma rede cabeada, bastaria configurar os switches para eles
utilizarem a autenticação.
9 - Depende da configuração AAA do switch, mas normalmente cada sessão é
única e a autenticação da porta vale para aquele usuário/dispositivo e não
globalmente para determinada porta.
10 - Não precisa depender de MAC. Pode ser por usuário.
10 - Nao necessariamente.
12 - Voce pode configurar um reply no seu servidor RADIUS com um Filter-ID
contendo o PVID da VLAN que o usuário será conectado. Mas isso também
depende das configurações AAA do seu switch.
13 - Funciona sim, pois quem autentica é o servidor RADIUS
14 - Se ele estiver conectado em uma porta que nao exija autenticação, ele
estará conectado a rede diretamente. É possível que ele consiga capturar
alguns pacotes de autenticação. Se você usar EAP-MD5, fica mais vulnerável
pois as hashes trafegam sem criptografia pela rede.
Att.
Luiz Gustavo
2009/7/7 casfre at gmail.com <casfre at gmail.com>
> Olá,
>
> Também tenho interesse nisso e gostaria de acrescentar o seguinte:
>
> 1-Usando switches 3COM (3CBLSF50, 3C16476CS, 3C16475CS, 3CBLSG16), que
> suportam (nesses casos e até onde sei) apenas EAP-MD5 e com a senha
> armazenada de forma criptografada, de preferência usando LDAP como
> backend do Radius.
>
> Obrigado.
>
> Cássio
>
>
> 2009/7/7 davi peres <daviperes at gmail.com>:
> > Bom dia, estamos para implantar este sistema aqui na empresa e gostaria
> de
> > saber se alguem já o fez, pois muito ouço falar que existe mas ninguém
> que
> > tenha isto implantado em uma rede relativamente grande já em produção.
> Tenho
> > algumas perguntas básicas.
> >
> > 1- Alguém da lista ja pois isto em produção em redes com mais de 100
> > computadores e com mais de 8 switches?
> > 2- Alguma experiência traumática que possa vir ocorrer?
> > 3- Algum tipo de lentidao ou problemas com as portas dos switches?
> > 4- Todas as placas de rede são compatíveis?
> > 5- As máquinas estão no domínio, como o pc vai se autenticar sozinho no
> > protocolo para o usuario efetuar login no pc?
> > 6- Existe a possibilidade de ter um hub na rede em alguma porta do
> switch?
> > 7- Em ambientes wireless, algum problema?
> > 8- Em sistemas remotos firewall + vpn ( openvpn ) alguma regra para
> iptables
> > específica?
> > 9- Esta autenticação só ocorrem em primeiro caso depois qualquer pc que
> se
> > conectar ali ficará liberado?
> > 10- Deve ter configuração personalizada para cada estação de mac address
> por
> > porta no switch?
> > 11- Algum problema do tipo negação de serviço do rádius com milhões de
> > tentativas simultâneas?
> > 12- Existe possibilidade de vlan dinâmica após autenticação, é integrado?
> > 13- Switches de marcas diferentes em cascata para autenticação?
> > 14- Se um h4k3r tirar um switch da rede e plugar o notebook na porta da
> > cascata, somente existe segurança por mac address entre as cascatas ou os
> > switches possuem um cliente para autenticação radius tambem?
> >
> > Todas as experiencias são bem vindas. Obrigado.
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
More information about the masoch-l
mailing list