autenticazione eap rete wireless

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
network_bo
Cisco fan
Messaggi: 34
Iscritto il: ven 22 ago , 2008 10:06 am

Ciao, avrei bisogno di qualche consiglio per mettere in sicurezza la rete wireless dell'azienda in cui lavoro.
Escludo la possibilità di utilizzare una password salvata nei pc.

Quello che vorrei è che l'utente utilizzase le credenziali di dominio per
potersi collegare alla rete senza dover installare un certificato sui pc client.

Mi pare che l'autenticazione eap potrebbe fare al caso mio, ma sono ancora un po' inesperto. Qualcuno potrebbe darmi qualche dritta?

L'autenticazione avverrebbe su un server windows con servizio IAS.
Gli AP sono dei Cisco serie 1200.
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

http://articles.techrepublic.com.com/51 ... 48579.html

ho usato gli spunti di quest'articolo per farlo con AP Linksys e Win Server 2003 SBS....

Senza fare polemica,quel link l'ho trovato con una ricerca di 2 sec su San Google......
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
network_bo
Cisco fan
Messaggi: 34
Iscritto il: ven 22 ago , 2008 10:06 am

Hai ragione, alla fine anch'io ho trovato un articolo su technet.

Ho quindi provato ma è sorto un problema.
Sul server dove c'è l'ias arriva la richiesta, viene dato il permesso, ma poi il meccanismo si interrompe.
Ho provato a capire se il problema verificando il log dell'AP senza grande successo.
Ecco il log (non riesco ad allegare il file di testo):
ar 13 09:50:39 10.15.1.14 2370: *Mar 1 19:24:18.889: dot11_auth_dot1x_start: in the dot11_auth_dot1x_start
Mar 13 09:50:39 10.15.1.14 2371: *Mar 1 19:24:18.890: dot11_auth_dot1x_send_id_req_to_client: Sending identity request to 001a.73ff.a214
Mar 13 09:50:39 10.15.1.14 2372: *Mar 1 19:24:18.890: dot11_auth_dot1x_send_id_req_to_client: Client 001a.73ff.a214 timer started for 30 seconds
Mar 13 09:51:03 10.15.1.14 2373: *Mar 1 19:24:43.549: dot11_auth_parse_client_pak: Received EAPOL packet from 001a.73ff.a214
Mar 13 09:51:03 10.15.1.14 2374: *Mar 1 19:24:43.549: dot11_auth_dot1x_run_rfsm: Executing Action(CLIENT_WAIT,EAP_START) for 001a.73ff.a214
Mar 13 09:51:03 10.15.1.14 2375: *Mar 1 19:24:43.549: dot11_auth_dot1x_send_id_req_to_client: Sending identity request to 001a.73ff.a214
Mar 13 09:51:03 10.15.1.14 2376: *Mar 1 19:24:43.550: dot11_auth_dot1x_send_id_req_to_client: Client 001a.73ff.a214 timer started for 30 seconds
Mar 13 09:51:03 10.15.1.14 2377: *Mar 1 19:24:43.554: dot11_auth_parse_client_pak: Received EAPOL packet from 001a.73ff.a214
Mar 13 09:51:03 10.15.1.14 2378: *Mar 1 19:24:43.554: dot11_auth_dot1x_run_rfsm: Executing Action(CLIENT_WAIT,CLIENT_REPLY) for 001a.73ff.a214
Mar 13 09:51:04 10.15.1.14 2379: *Mar 1 19:24:43.554: dot11_auth_dot1x_send_response_to_server: Sending client 001a.73ff.a214 data to server
Mar 13 09:51:04 10.15.1.14 2380: *Mar 1 19:24:43.554: AAA/AUTHEN/PPP (00000159): Pick method list 'eap_methods'
Mar 13 09:51:04 10.15.1.14 2381: *Mar 1 19:24:43.554: dot11_auth_dot1x_send_response_to_server: Started timer server_timeout 60 seconds
Mar 13 09:51:25 10.15.1.14 2382: *Mar 1 19:25:05.371: dot11_auth_dot1x_parse_aaa_resp: Received server response: FAIL
Mar 13 09:51:25 10.15.1.14 2383: *Mar 1 19:25:05.371: dot11_auth_dot1x_parse_aaa_resp: found eap pak in server response
Mar 13 09:51:25 10.15.1.14 2384: *Mar 1 19:25:05.372: Client 001a.73ff.a214 failed: EAP reason 1
Mar 13 09:51:25 10.15.1.14 2385: *Mar 1 19:25:05.372: dot11_auth_dot1x_parse_aaa_resp: Failed client 001a.73ff.a214 with aaa_req_status_detail 1
Mar 13 09:51:25 10.15.1.14 2386: *Mar 1 19:25:05.372: dot11_auth_dot1x_run_rfsm: Executing Action(SERVER_WAIT,SERVER_FAIL) for 001a.73ff.a214
Mar 13 09:51:25 10.15.1.14 2387: *Mar 1 19:25:05.372: dot11_auth_dot1x_send_response_to_client: Forwarding server message to client 001a.73ff.a214
Mar 13 09:51:25 10.15.1.14 2388: *Mar 1 19:25:05.373: dot11_auth_dot1x_send_response_to_client: Started timer client_timeout 30 seconds
Mar 13 09:51:26 10.15.1.14 2389: *Mar 1 19:25:05.373: dot11_auth_dot1x_send_client_fail: Authentication failed for 001a.73ff.a214
Mar 13 09:51:26 10.15.1.14 2390: *Mar 1 19:25:05.373: %DOT11-7-AUTH_FAILED: Station 001a.73ff.a214 Authentication failed
Mar 13 09:51:27 10.15.1.14 2391: *Mar 1 19:25:06.611: AAA/BIND(0000015A): Bind i/f

Riesci a darmi qualche dritta?
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

Hai aggiunto l'AP come client radius sul server IAS?
Posta anche i log di IAS che sono molto più dettagliati e comprensibili.
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
network_bo
Cisco fan
Messaggi: 34
Iscritto il: ven 22 ago , 2008 10:06 am

L'AP è tra i radius clients, la pwd è uguale da entrambe le parti.
Questo è il log dell'IAS.
Forse non devono esserci tutti gli "undetermined" alla fine?
Event Type: Information
Event Source: IAS
Event Category: None
Event ID: 1
Date: 3/23/2009
Time: 10:02:24 AM
User: N/A
Computer: GDBO01RAD1T
Description:
User nikos was granted access.
Fully-Qualified-User-Name = <undetermined>
NAS-IP-Address = 10.15.1.14
NAS-Identifier = AP-14
Client-Friendly-Name = AP14
Client-IP-Address = 10.15.1.14
Calling-Station-Identifier = 001a.73ff.a214
NAS-Port-Type = Wireless - IEEE 802.11
NAS-Port = 2427
Proxy-Policy-Name = wireless_req_policy
Authentication-Provider = <none>
Authentication-Server = <undetermined>
Policy-Name = <undetermined>
Authentication-Type = <undetermined>
EAP-Type = <undetermined>

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 00 00 00 00 ....

Grazie per l'aiuto!
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

Codice: Seleziona tutto

EAP-Type = <undetermined>
Controlla la regola wireless_req_policy
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
network_bo
Cisco fan
Messaggi: 34
Iscritto il: ven 22 ago , 2008 10:06 am

In effetti avevo impostato nella wireless_req_policy (che è una Connection Request Policy) di accettare le richieste senza validare le credenziali, il problema ora è che , impostando di validare sul server dell'ias, non vedo più le richieste nell' Event Viewer ed il log dell'AP non è cambiato.

Ma sul client devo importare un qualche certificato client?
Sto provando il peap proprio per evitarlo.
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

http://technet.microsoft.com/it-it/libr ... 57996.aspx

Spiega tutto per bene..devi cmq almeno crearti un certificato per il server che deve essere confermato dai client(a meno che non te lo fai firmare da un autorità di certificazione in combutta con microzz).
Il primo link che ti ho riportato spiega anche come farti un certificato a mano....
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

Se vuio approfondire ti consiglio questa lettura : http://www.gpaterno.com/pubblicazioni/s ... eless-lan/ ....una versione "bignami" di quella che potrebbe essere la bibbia sulla sicurezza del Wireless.
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
Rispondi