Aruba Switches für 802.1X Authentifizierung konfigurieren

802.1X Prozess

Zur Verbesserung der Sicherheit im Netzwerk sollte auf allen frei zugänglichen Netzwerkports im Access Layer eine Zugangskontrolle eingerichtet sein. Um das zu erreichen, kann man seine Aruba Switches für 802.1X Authentifizierung konfigurieren (ProCurve ist jetzt Aruba). Damit verhindert man den Zugriff auf das Netzwerk durch unautorisierte Personen. Der Switch schiebt nicht authentifizierte Geräte automatisch in ein vorher definiertes VLAN. Das Gerät erreicht erst nach erfolgreicher Authentifizierung das autorisierte VLAN und erhält damit Zugriff auf das Netzwerk.

802.1X Authentifizierung im LAN

Der Prozess läuft folgendermaßen ab:

  1. Ein Gerät wird mit einem für 802.1X konfigurierten Netzwerkanschluss (Authenticator) des Switches verbunden. Der Switch sendet nun dauerhaft EAP-Identitätsanfragen an verbundene Geräte und startet damit die Layer 2 basierte (OSI-Modell) 802.1X Kommunikation. Das Gerät (Supplicant) antwortet mit einer EAP-Identität.
  2. Der Switch setzt die über das 802.1X Protokoll empfangene EAP-Identität in eine RADIUS-Anfrage (OSI-Layer 3) um und sendet diese an den RADIUS-Server weiter. Die Authentifizierung am RADIUS-Server erfolgt über dort vorgegebene Richtlinien (zum Beispiel Gruppenzugehörigkeit im Active Directory usw.). In dieser Gruppe muss dann die EAP-Identität Mitglied sein.
  3. Nach der erfolgreichen Autorisierung durch den RADIUS-Server wird der Client in das richtige VLAN verschoben. Bei einer abgelehnten Anfrage verbleibt das angeschlossene Gerät im „leeren“ VLAN.

Vorbereitungen auf dem RADIUS-Server (Windows NPS)

Ein Windows Server mit installierter NPS Rolle fungiert als RADIUS-Server. In der Netzwerkrichtlinienserver-Konfiguration legt man eine Verbindungsanforderungsrichtlinie und eine Netzwerkrichtlinie an.

Aruba Switches für 802.1X Authentifizierung konfigurieren (Authenticator)

Zuerst muss man die gewünschten VLANs anlegen. Ein leeres VLAN dient als „schwarzes Loch“ für nicht autorisierte Geräte. In dieses werden alle unautorisierten Geräte gesteckt, um sie vom richtigen Netzwerk zu trennen.

Anschließend muss man RADIUS-Server und Key definieren. Die angegebenen Server werden in der Reihenfolge verwendet, in der sie konfiguriert sind. Um die Reihenfolge zu ändern, einfach einen Server durch voranstellen von „no“ (zum Beispiel no radius-server host 123.45.67.89) herausnehmen und wieder reinkonfigurieren. Dieser wird dann ans Ende der Liste angefügt.

radius-server host 123.45.67.89 key "hierstehteinkey"
radius-server host 123.45.67.90 key "hierstehteinkey"

Als nächstes muss man einen Typ für die 802.1x Authentifizierung festlegen. Wenn ein RADIUS-Server mit Windows-Domänen-Computern verwendet werden, soll empfiehlt sich „eap-radius“.

aaa authentication port-access eap-radius

Jetzt legt man Ethernet Ports als „Authenticator“ fest und konfiguriert die gewünschten VLAN Einstellungen (hier beispielhaft Port A5). Mehrere Ports gibt man durch ein Komma getrennt ein, eine Range mit einem „-“ (zum Beispiel A5-A10).

aaa port-access authenticator A5

VLAN 10 als “Authorized” VLAN festlegen

aaa port-access authenticator A5 auth-vid 10

VLAN 200 als “Un-Authorized” VLAN festlegen

aaa port-access authenticator A5 unauth-vid 200

Aktivieren der 802.1x Funktion „port-access“ auf den definierten Ports mit dem nachfolgenden Befehl.

aaa port-access authenticator active

Es sollte eine maximale Anzahl Geräte, welche gleichzeitig an einem Port authentifiziert werden dürfen, festgelegt werden. Andernfalls befindet sich der Switch im „port-based“ Modus.
Dabei würde ein Switch-Port, an dem ein Hub oder weiterer Switch angeschlossen ist, offen für alle weiteren Geräte sein. Das wäre eine schwere Sicherheitslücke.

aaa port-access authenticator A5 client-limit 1

Konfiguration auf dem Supplicant (Endgerät)

Windows Clients

Unter Windows muss dazu der Dienst „Automatische Konfiguration (verkabelt)“ aktiviert und konfiguriert sein. Mit einer Gruppenrichtlinie steuert man die Konfiguration zentral im Active Directory für alle gewünschten Clients. Nach dem Verbinden des Clients mit dem Netzwerk verwendet er bei richtiger Konfiguration automatisch das Computerkonto (vor der Anmeldung) oder das Benutzerkonto (nach der Anmeldung) zur Authentifizierung am Switch.

OS X Clients

Unter Mac OS X ist 802.1X automatisch aktiviert. Nach dem Verbinden mit dem Switch fragt ein Anmeldedialog nach Benutzername und Kennwort. Ein Konto der erlaubten Active Directory führt zur erfolgreichen Authentifizierung. Speichert man die Zugangsdaten im Schlüsselbund, erspart man sich ständige Abfragen. Nach einer Kennwortänderung im Active Directory erscheint der Anmeldedialog dann erneut.

Andere Geräte mit 802.1X

Viele moderne Geräte unterstützen 802.1X. Wie genau die Funktion bei diesen Geräten zu konfigurieren ist, muss man individuell prüfen.

Geräte ohne 802.1X Unterstützung

Netzwerkports mit Geräten, welche 802.1X nicht unterstützen, sollten trotzdem nicht ohne Authentifizierung betrieben werden. Hierfür bietet sich die Funktion „port-security“ an. Damit kann für einen Port eine bestimmte erlaubte MAC-Adresse festgelegt werden.

port-security A5 learn-mode configured mac-address AB-CD-EF-AB-CD-EF < Konfiguriert den Port A5 für "port-security" und erlaubt nur die angegebene MAC-Adresse

Status Prüfung

Um den Status der Authentifizierung einzelner Ports zu prüfen, gibt es unter anderem folgende Befehle.

show port-access authenticator < Zeigt den Status des Authenticator Ports.

show port-access authenticator clients < Zeigt authentifizierte oder zur Authentifizierung ausstehende Clients an.

show port-access authenticator config < Zeigt die Konfiguration der Authenticators (Switchports) an.

Fazit

Abschließend kann gesagt werden, dass  man sich auch ohne teure Lösung mit einfachen Boardmitteln von ProCurve/ Aruba Switches eine einfache und sichere Netzwerkzugangskontrolle installieren kann. Wer von seiner NAC-Lösung mehr erwartet, sollte sich aber zum Beispiel Aruba Clearpass oder Cisco ISE anschauen. Dort gibt es noch eine ganze Menge mehr Features wie beispielsweise die integration von Antivirus-Berichten in die Zugangskontrolle und noch viel mehr. Kombiniert mit einem Device Management System kann man dann noch genauer kontrollieren, wer Zugriff auf das eigene Netzwerk erhält.