Ciao, avrei bisogno di qualche consiglio per mettere in sicurezza la rete wireless dell'azienda in cui lavoro.
Escludo la possibilità di utilizzare una password salvata nei pc.
Quello che vorrei è che l'utente utilizzase le credenziali di dominio per
potersi collegare alla rete senza dover installare un certificato sui pc client.
Mi pare che l'autenticazione eap potrebbe fare al caso mio, ma sono ancora un po' inesperto. Qualcuno potrebbe darmi qualche dritta?
L'autenticazione avverrebbe su un server windows con servizio IAS.
Gli AP sono dei Cisco serie 1200.
autenticazione eap rete wireless
Moderatore: Federico.Lagni
- zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
http://articles.techrepublic.com.com/51 ... 48579.html
ho usato gli spunti di quest'articolo per farlo con AP Linksys e Win Server 2003 SBS....
Senza fare polemica,quel link l'ho trovato con una ricerca di 2 sec su San Google......
ho usato gli spunti di quest'articolo per farlo con AP Linksys e Win Server 2003 SBS....
Senza fare polemica,quel link l'ho trovato con una ricerca di 2 sec su San Google......
-
- Cisco fan
- Messaggi: 34
- Iscritto il: ven 22 ago , 2008 10:06 am
Hai ragione, alla fine anch'io ho trovato un articolo su technet.
Ho quindi provato ma è sorto un problema.
Sul server dove c'è l'ias arriva la richiesta, viene dato il permesso, ma poi il meccanismo si interrompe.
Ho provato a capire se il problema verificando il log dell'AP senza grande successo.
Ecco il log (non riesco ad allegare il file di testo):
ar 13 09:50:39 10.15.1.14 2370: *Mar 1 19:24:18.889: dot11_auth_dot1x_start: in the dot11_auth_dot1x_start
Mar 13 09:50:39 10.15.1.14 2371: *Mar 1 19:24:18.890: dot11_auth_dot1x_send_id_req_to_client: Sending identity request to 001a.73ff.a214
Mar 13 09:50:39 10.15.1.14 2372: *Mar 1 19:24:18.890: dot11_auth_dot1x_send_id_req_to_client: Client 001a.73ff.a214 timer started for 30 seconds
Mar 13 09:51:03 10.15.1.14 2373: *Mar 1 19:24:43.549: dot11_auth_parse_client_pak: Received EAPOL packet from 001a.73ff.a214
Mar 13 09:51:03 10.15.1.14 2374: *Mar 1 19:24:43.549: dot11_auth_dot1x_run_rfsm: Executing Action(CLIENT_WAIT,EAP_START) for 001a.73ff.a214
Mar 13 09:51:03 10.15.1.14 2375: *Mar 1 19:24:43.549: dot11_auth_dot1x_send_id_req_to_client: Sending identity request to 001a.73ff.a214
Mar 13 09:51:03 10.15.1.14 2376: *Mar 1 19:24:43.550: dot11_auth_dot1x_send_id_req_to_client: Client 001a.73ff.a214 timer started for 30 seconds
Mar 13 09:51:03 10.15.1.14 2377: *Mar 1 19:24:43.554: dot11_auth_parse_client_pak: Received EAPOL packet from 001a.73ff.a214
Mar 13 09:51:03 10.15.1.14 2378: *Mar 1 19:24:43.554: dot11_auth_dot1x_run_rfsm: Executing Action(CLIENT_WAIT,CLIENT_REPLY) for 001a.73ff.a214
Mar 13 09:51:04 10.15.1.14 2379: *Mar 1 19:24:43.554: dot11_auth_dot1x_send_response_to_server: Sending client 001a.73ff.a214 data to server
Mar 13 09:51:04 10.15.1.14 2380: *Mar 1 19:24:43.554: AAA/AUTHEN/PPP (00000159): Pick method list 'eap_methods'
Mar 13 09:51:04 10.15.1.14 2381: *Mar 1 19:24:43.554: dot11_auth_dot1x_send_response_to_server: Started timer server_timeout 60 seconds
Mar 13 09:51:25 10.15.1.14 2382: *Mar 1 19:25:05.371: dot11_auth_dot1x_parse_aaa_resp: Received server response: FAIL
Mar 13 09:51:25 10.15.1.14 2383: *Mar 1 19:25:05.371: dot11_auth_dot1x_parse_aaa_resp: found eap pak in server response
Mar 13 09:51:25 10.15.1.14 2384: *Mar 1 19:25:05.372: Client 001a.73ff.a214 failed: EAP reason 1
Mar 13 09:51:25 10.15.1.14 2385: *Mar 1 19:25:05.372: dot11_auth_dot1x_parse_aaa_resp: Failed client 001a.73ff.a214 with aaa_req_status_detail 1
Mar 13 09:51:25 10.15.1.14 2386: *Mar 1 19:25:05.372: dot11_auth_dot1x_run_rfsm: Executing Action(SERVER_WAIT,SERVER_FAIL) for 001a.73ff.a214
Mar 13 09:51:25 10.15.1.14 2387: *Mar 1 19:25:05.372: dot11_auth_dot1x_send_response_to_client: Forwarding server message to client 001a.73ff.a214
Mar 13 09:51:25 10.15.1.14 2388: *Mar 1 19:25:05.373: dot11_auth_dot1x_send_response_to_client: Started timer client_timeout 30 seconds
Mar 13 09:51:26 10.15.1.14 2389: *Mar 1 19:25:05.373: dot11_auth_dot1x_send_client_fail: Authentication failed for 001a.73ff.a214
Mar 13 09:51:26 10.15.1.14 2390: *Mar 1 19:25:05.373: %DOT11-7-AUTH_FAILED: Station 001a.73ff.a214 Authentication failed
Mar 13 09:51:27 10.15.1.14 2391: *Mar 1 19:25:06.611: AAA/BIND(0000015A): Bind i/f
Riesci a darmi qualche dritta?
Ho quindi provato ma è sorto un problema.
Sul server dove c'è l'ias arriva la richiesta, viene dato il permesso, ma poi il meccanismo si interrompe.
Ho provato a capire se il problema verificando il log dell'AP senza grande successo.
Ecco il log (non riesco ad allegare il file di testo):
ar 13 09:50:39 10.15.1.14 2370: *Mar 1 19:24:18.889: dot11_auth_dot1x_start: in the dot11_auth_dot1x_start
Mar 13 09:50:39 10.15.1.14 2371: *Mar 1 19:24:18.890: dot11_auth_dot1x_send_id_req_to_client: Sending identity request to 001a.73ff.a214
Mar 13 09:50:39 10.15.1.14 2372: *Mar 1 19:24:18.890: dot11_auth_dot1x_send_id_req_to_client: Client 001a.73ff.a214 timer started for 30 seconds
Mar 13 09:51:03 10.15.1.14 2373: *Mar 1 19:24:43.549: dot11_auth_parse_client_pak: Received EAPOL packet from 001a.73ff.a214
Mar 13 09:51:03 10.15.1.14 2374: *Mar 1 19:24:43.549: dot11_auth_dot1x_run_rfsm: Executing Action(CLIENT_WAIT,EAP_START) for 001a.73ff.a214
Mar 13 09:51:03 10.15.1.14 2375: *Mar 1 19:24:43.549: dot11_auth_dot1x_send_id_req_to_client: Sending identity request to 001a.73ff.a214
Mar 13 09:51:03 10.15.1.14 2376: *Mar 1 19:24:43.550: dot11_auth_dot1x_send_id_req_to_client: Client 001a.73ff.a214 timer started for 30 seconds
Mar 13 09:51:03 10.15.1.14 2377: *Mar 1 19:24:43.554: dot11_auth_parse_client_pak: Received EAPOL packet from 001a.73ff.a214
Mar 13 09:51:03 10.15.1.14 2378: *Mar 1 19:24:43.554: dot11_auth_dot1x_run_rfsm: Executing Action(CLIENT_WAIT,CLIENT_REPLY) for 001a.73ff.a214
Mar 13 09:51:04 10.15.1.14 2379: *Mar 1 19:24:43.554: dot11_auth_dot1x_send_response_to_server: Sending client 001a.73ff.a214 data to server
Mar 13 09:51:04 10.15.1.14 2380: *Mar 1 19:24:43.554: AAA/AUTHEN/PPP (00000159): Pick method list 'eap_methods'
Mar 13 09:51:04 10.15.1.14 2381: *Mar 1 19:24:43.554: dot11_auth_dot1x_send_response_to_server: Started timer server_timeout 60 seconds
Mar 13 09:51:25 10.15.1.14 2382: *Mar 1 19:25:05.371: dot11_auth_dot1x_parse_aaa_resp: Received server response: FAIL
Mar 13 09:51:25 10.15.1.14 2383: *Mar 1 19:25:05.371: dot11_auth_dot1x_parse_aaa_resp: found eap pak in server response
Mar 13 09:51:25 10.15.1.14 2384: *Mar 1 19:25:05.372: Client 001a.73ff.a214 failed: EAP reason 1
Mar 13 09:51:25 10.15.1.14 2385: *Mar 1 19:25:05.372: dot11_auth_dot1x_parse_aaa_resp: Failed client 001a.73ff.a214 with aaa_req_status_detail 1
Mar 13 09:51:25 10.15.1.14 2386: *Mar 1 19:25:05.372: dot11_auth_dot1x_run_rfsm: Executing Action(SERVER_WAIT,SERVER_FAIL) for 001a.73ff.a214
Mar 13 09:51:25 10.15.1.14 2387: *Mar 1 19:25:05.372: dot11_auth_dot1x_send_response_to_client: Forwarding server message to client 001a.73ff.a214
Mar 13 09:51:25 10.15.1.14 2388: *Mar 1 19:25:05.373: dot11_auth_dot1x_send_response_to_client: Started timer client_timeout 30 seconds
Mar 13 09:51:26 10.15.1.14 2389: *Mar 1 19:25:05.373: dot11_auth_dot1x_send_client_fail: Authentication failed for 001a.73ff.a214
Mar 13 09:51:26 10.15.1.14 2390: *Mar 1 19:25:05.373: %DOT11-7-AUTH_FAILED: Station 001a.73ff.a214 Authentication failed
Mar 13 09:51:27 10.15.1.14 2391: *Mar 1 19:25:06.611: AAA/BIND(0000015A): Bind i/f
Riesci a darmi qualche dritta?
- zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
Hai aggiunto l'AP come client radius sul server IAS?
Posta anche i log di IAS che sono molto più dettagliati e comprensibili.
Posta anche i log di IAS che sono molto più dettagliati e comprensibili.
-
- Cisco fan
- Messaggi: 34
- Iscritto il: ven 22 ago , 2008 10:06 am
L'AP è tra i radius clients, la pwd è uguale da entrambe le parti.
Questo è il log dell'IAS.
Forse non devono esserci tutti gli "undetermined" alla fine?
Event Type: Information
Event Source: IAS
Event Category: None
Event ID: 1
Date: 3/23/2009
Time: 10:02:24 AM
User: N/A
Computer: GDBO01RAD1T
Description:
User nikos was granted access.
Fully-Qualified-User-Name = <undetermined>
NAS-IP-Address = 10.15.1.14
NAS-Identifier = AP-14
Client-Friendly-Name = AP14
Client-IP-Address = 10.15.1.14
Calling-Station-Identifier = 001a.73ff.a214
NAS-Port-Type = Wireless - IEEE 802.11
NAS-Port = 2427
Proxy-Policy-Name = wireless_req_policy
Authentication-Provider = <none>
Authentication-Server = <undetermined>
Policy-Name = <undetermined>
Authentication-Type = <undetermined>
EAP-Type = <undetermined>
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 00 00 00 00 ....
Grazie per l'aiuto!
Questo è il log dell'IAS.
Forse non devono esserci tutti gli "undetermined" alla fine?
Event Type: Information
Event Source: IAS
Event Category: None
Event ID: 1
Date: 3/23/2009
Time: 10:02:24 AM
User: N/A
Computer: GDBO01RAD1T
Description:
User nikos was granted access.
Fully-Qualified-User-Name = <undetermined>
NAS-IP-Address = 10.15.1.14
NAS-Identifier = AP-14
Client-Friendly-Name = AP14
Client-IP-Address = 10.15.1.14
Calling-Station-Identifier = 001a.73ff.a214
NAS-Port-Type = Wireless - IEEE 802.11
NAS-Port = 2427
Proxy-Policy-Name = wireless_req_policy
Authentication-Provider = <none>
Authentication-Server = <undetermined>
Policy-Name = <undetermined>
Authentication-Type = <undetermined>
EAP-Type = <undetermined>
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 00 00 00 00 ....
Grazie per l'aiuto!
- zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
Codice: Seleziona tutto
EAP-Type = <undetermined>
-
- Cisco fan
- Messaggi: 34
- Iscritto il: ven 22 ago , 2008 10:06 am
In effetti avevo impostato nella wireless_req_policy (che è una Connection Request Policy) di accettare le richieste senza validare le credenziali, il problema ora è che , impostando di validare sul server dell'ias, non vedo più le richieste nell' Event Viewer ed il log dell'AP non è cambiato.
Ma sul client devo importare un qualche certificato client?
Sto provando il peap proprio per evitarlo.
Ma sul client devo importare un qualche certificato client?
Sto provando il peap proprio per evitarlo.
- zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
http://technet.microsoft.com/it-it/libr ... 57996.aspx
Spiega tutto per bene..devi cmq almeno crearti un certificato per il server che deve essere confermato dai client(a meno che non te lo fai firmare da un autorità di certificazione in combutta con microzz).
Il primo link che ti ho riportato spiega anche come farti un certificato a mano....
Spiega tutto per bene..devi cmq almeno crearti un certificato per il server che deve essere confermato dai client(a meno che non te lo fai firmare da un autorità di certificazione in combutta con microzz).
Il primo link che ti ho riportato spiega anche come farti un certificato a mano....
- zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
Se vuio approfondire ti consiglio questa lettura : http://www.gpaterno.com/pubblicazioni/s ... eless-lan/ ....una versione "bignami" di quella che potrebbe essere la bibbia sulla sicurezza del Wireless.