Il giorno 15/dic/08, alle ore 01:41, caio ha scritto:
Effettivamente lo scenario che si era delineato inizialmente era di
poter avere collegamento a cascata di altri apparati di rete sulle
porte del Pocurve, ma come giustamente fai notare è chiaro che tutti
i client collegati ai sotto-apparati (se unmanaged) possano vedersi
tra loro. Tuttavia posso momentaneamente escludere questo scenario e
considerare ogni client collegato direttamente ad una porta sul
Procurve.
Ok; teniamo questo ultimo scenario come ipotesi di lavoro…
Da quel che ho visto il Procurve (in particolare si tratta del 2650)
consente l'autenticazione 802.1x sia con Radius che con una lista
locale di utenti abilitati.
Esattamente!
Nella mia situazione, volendo abilitare solo gli utenti accreditati
al dominio (A.D.) anche per l'accesso alla LAN, l'ideale sarebbe
utilizzare Radius in modo da interrogare l'albero dell'Active
Directory.
Questo puoi farlo tranquillamente! Non so quale sia il server Radius
più adatto allo scopo (io ho solo esperienza con Freeradius, che parla
anche ad Active Directory); in ogni caso, se non erro, i client
potranno autenticarsi usando MSCHAPv2.
Questa soluzione tra l'altro mi pare essere più comoda di quella
basata su liste di MAC address, poichè molto più flessibile (non
devo mantenere le liste), e non dovrebbe soffrire di attacchi basati
su ARP Spoofing (ettercap?).
Per come funziona l'abilitazione della porta (ma qui potrei
sbagliarmi) immagino che il Procurve si tenga una lista temporanea
di "MAC Address <-> porte sullo switch" abilitati in modo da sapere
chi è stato autenticato con successo e può accedere alla rete. Se
fosse così il meccanismo potrebbe soffrire ad attacchi di tipo MAC
spoofing, ma non ne ho la certezza, la documentazione non è chiara a
riguardo:
Questo è il punto dolente. Non ho usato direttamente un 2650, ma posso
dirti che la documentazione del 2510 illustra esplicitamente la
differenza tra port-based authentication e client-based
authentication. Nel primo caso un'autenticazione 802.1x che va a buon
fine abilita l'intera porta al traffico; nel secondo, abilita
solamente quello specifico MAC address su quella porta.
Credo che questo significhi che con la port-based authentication,
appena qualcuno si autentica con successo, tutti i client collegati su
quella porta possono passare; con la client-based, soltanto il MAC
address che si è autenticato.
Sotto l'ipotesi che abbiamo formulato, questo è ininfluente ed è
comunque impossibile, da una delle porte protette, falsificare il MAC;
o meglio, anche volendo inviare un MAC fasullo, questo MAC verrà
associato alle credenziali di autenticazione.
un altro problema potrebbe dipendere dalla necessità di installare
un client software su tutti i dispositivi che necessitino di accesso
alla rete, ma per questa parte non so ancora quali siano i software
necessari nè se vi sia qualcosa di integrato in windows.
Windows ce l'ha incorporato. Almeno da XP in poi, ma suppongo anche su
alcune versioni precedenti.
L'ideale sarebbe poter sfruttare la stessa autenticazione al sistema
operativo del client (Windows) per effettuare anche l'autenticazione
a livello di rete e la conseguente abilitazione della porta sullo
switch, visto che le credenziali sarebbero le stesse.
Di default Windows fa proprio questo :) (usa le credenziali del
dominio!)
Ciao,
--
Emanuele
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
