Emanuele Pucciarelli wrote:
Il fatto che tu dica in seguito "al massimo 8 client" mi fa supporre
che i client non siano collegati direttamente al ProCurve 2600, ma che
ci sia qualche altro dispositivo in mezzo. È chiaro che se hai uno
switch unmanaged tra un gruppo di client ed il ProCurve, allora quei
client potranno parlare comunque liberamente tra di loro e nulla
impedirà che un client B non autorizzato configuri il MAC address di
un client A autorizzato e acceda tranquillamente.
Effettivamente lo scenario che si era delineato inizialmente era di
poter avere collegamento a cascata di altri apparati di rete sulle porte
del Pocurve, ma come giustamente fai notare è chiaro che tutti i client
collegati ai sotto-apparati (se unmanaged) possano vedersi tra loro.
Tuttavia posso momentaneamente escludere questo scenario e considerare
ogni client collegato direttamente ad una porta sul Procurve.
Potresti usare 802.1x per tutte le porte e configurare un server
Radius per accettare certi MAC address indipendentemente dalle
credenziali di autenticazione, ma non con il 2600. Se capisco bene, il
2600 gestisce solo l'autenticazione port-based e non quella
client-based (come i 2510), quindi una volta che un client si è fatto
autenticare ed autorizzare, tutti i client collegati alla stessa porta
sono liberi di usarla, senza dover fare nessun MAC spoofing. Nota che
anche i dispositivi con autenticazione client-based hanno dei limiti
sul numero di client che possono autenticarsi su ciascuna singola porta.
Con un altro switch, quindi, potresti usare 802.1x + Radius,
configurando il server Radius perché autorizzi alcuni MAC address
senza alcun ulteriore protocollo di autenticazione. Non so se si possa
anche evitare, su certi SO, la comparsa di una interfaccia utente che
chieda le credenziali, o se si debba comunque accettarla (e dire agli
utenti che lascino vuota la maschera e vadano avanti).
Da quel che ho visto il Procurve (in particolare si tratta del 2650)
consente l'autenticazione 802.1x sia con Radius che con una lista locale
di utenti abilitati.
Nella mia situazione, volendo abilitare solo gli utenti accreditati al
dominio (A.D.) anche per l'accesso alla LAN, l'ideale sarebbe utilizzare
Radius in modo da interrogare l'albero dell'Active Directory.
Mi pare che in questo caso la soluzione da utilizzare sia configurare
Radius sul server Windows utilizzando l'IAC (Internet Authentication
Service).
Questa soluzione tra l'altro mi pare essere più comoda di quella basata
su liste di MAC address, poichè molto più flessibile (non devo mantenere
le liste), e non dovrebbe soffrire di attacchi basati su ARP Spoofing
(ettercap?).
Per come funziona l'abilitazione della porta (ma qui potrei sbagliarmi)
immagino che il Procurve si tenga una lista temporanea di "MAC Address
<-> porte sullo switch" abilitati in modo da sapere chi è stato
autenticato con successo e può accedere alla rete. Se fosse così il
meccanismo potrebbe soffrire ad attacchi di tipo MAC spoofing, ma non ne
ho la certezza, la documentazione non è chiara a riguardo:
If you then connect an 802.1x-aware client (supplicant) to the port and
attempt to log on:
1. When the switch detects the client on the port, it blocks access to
the LAN
from that port.
2. The switch responds with an identity request.
3. The client responds with a user name that uniquely defines this request
for the client.
4. The switch responds in one of the following ways:
• If 802.1x (port-access) on the switch is configured for RADIUS
authentication, the switch then forwards the request to a RADIUS
server.
i. The server responds with an access challenge which the switch
forwards to the client.
ii. The client then provides identifying credentials (such as a user
certificate), which the switch forwards to the RADIUS server.
iii. The RADIUS server then checks the credentials provided by the
client.
iv. If the client is successfully authenticated and authorzed to connect
to the network, then the server notifies the switch to allow
access to the client. Otherwise, access is denied and the port
remains blocked.
un altro problema potrebbe dipendere dalla necessità di installare un
client software su tutti i dispositivi che necessitino di accesso alla
rete, ma per questa parte non so ancora quali siano i software necessari
nè se vi sia qualcosa di integrato in windows.
L'ideale sarebbe poter sfruttare la stessa autenticazione al sistema
operativo del client (Windows) per effettuare anche l'autenticazione a
livello di rete e la conseguente abilitazione della porta sullo switch,
visto che le credenziali sarebbero le stesse.
Qualcuno ha per caso la più pallida idea se sia possibile fare una cosa
del genere?
Un'altra soluzione sarebbe qualcosa come un captive portal, ad es.
CoovaChilli, ma risolverebbe solo il problema dell'accesso oltre il
punto controllato, non il problema dell'accesso alla LAN!
Purtroppo non potrei utilizzarla poichè quello di cui ho bisogno è il
controllo dell'accesso alla rete indipendentemente dai dispositivi
collegativi.
Ciao,
ciao e grazie
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
