Posted in : Microsoft By Simon Gottschlag Translate with Google ⟶

8 years ago

Många ser över säkerheten på olika sätt. En del av vad som bör ses över är att datorer som exempelvis inte är med i domänen inte ska ha åtkomst till resurser på produktionsnätet.
Ett enkelt sätt att lösa detta är att aktivera autentisering på switcharna ihop med RADIUS. Det smidiga med det hela är att vi kan placera dem som inte är autentiserade på ett nät, exempelvis ett gästnät med PacketFence, och de som är autentiserad på produktionsnätet.
Exempel på en enkel konfiguration i Microsoft NPS (Network Policy Server) för att ha stöd för detta är:

  •  Skapa upp switcharna som RADIUS-klienter
  • Skapa en Connection Request Policy med conditions på exempelvis ”Ethernet” som NAS Port Type och ett regular expression för switcharnas namnstandard på NAS Identifier, exempelvis ”^SWITCH-.*$” för att täcka SWITCH-01, SWITCH-02 och SWITCH-03.
  • Skapa en Network Policy med samma conditions som ovan, men även på Machine Groups kopplat till domänens ”Domain Computers”. Se även till att använda ”Microsoft: Protected EAP (PEAP)” och ”Secured password (EAP-MSCHAP v2)” – vilket kräver att ett certifikat från ”RAS and IAS Server” template är utfärdat till servern.
    • Här kan även fler Network Policies kunna skapas för att exempelvis sätta VLAN beroende på medlemskap.

Innan autentisering kan aktiveras bör datorerna konfigureras för att ha stöd för detta. I detta exemplet använder vi datorn för autentisering och skapar då en GPO där vi konfigurerar 802.1X och sätter tjänsten ”Wired AutoConfig” till automatisk uppstart.
Wired8021X_01
Wired8021X_02
 
När NPS och datorerna är konfigurerat behöver switchen konfigureras för att ha stöd för detta. I mitt fall konfigurerade jag port 1-22 att använda sig av detta och kopplar VLAN 100 till autentiserade datorer och VLAN 200 till dem som inte är autentiserade. (exempel från HP ProCurve)

radius host <NPS_IP_1> key <Shared_Secret>
radius host <NPS_IP_2> key <Shared_Secret>
aaa authentication port-access eap-radius
aaa port-access authenticator 1-22
aaa port-access authenticator e 1-22 unauth-vid 200
aaa port-access authenticator e 1-22 auth-vid 100
aaa port-access authenticator active

 
När allt är klart kommer datorer som är med i domänen att hamna på produktionsnätet och de som inte är det på gästnätet. För att se om datorn är autentiserad kan följande kommando köras från CMD:

netsh lan show interface

 
Notering: Är Hyper-V installerat på klienten så är det i dagsläget problem (även på Windows 10) att använda sig av autentisering på det trådade nätet. Antingen att stänga av Hyper-V switchen alternativt byt till Internal/Private vid autentisering och sedan byta tillbaka är det som behövs.
Lämna en kommentar om du har några bra eller dåliga erfarenheter med detta, alternativt om du har några frågor!
Med vänlig hälsning,
Simon Gottschlag

Tags : 802.1X, HP ProCurve, Nätverk, Network Policy Server, NPS

Personlig rådgivning

Vi erbjuder personlig rådgivning med författaren för 1400 SEK per timme. Anmäl ditt intresse i här så återkommer vi så snart vi kan.

Add comment

Your comment will be revised by the site if needed.