Re: Network Access Control System

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Febbraio 2004 ml@sikurezza.org
Soggetto: Re: Network Access Control System
Mittente: Giuseppe Paterno'
Data: 5 Feb 2004 11:14:13 -0000

> Volevo sapere se qualcuno fosse a conoscienza di prodotti o soluzioni che mi
> permettano di effettuare questo tipo di controllo degli accessi (lavorando o
> a livello di mac address autorizzato oppure con l'utilizzo di autenticazione
> 802.1x (anche se questa seconda soluzione prevederebbe l'utilizzo di un
> client da installare su pc diversi da windows xp)).

Capisco la problematica :)

Direi di trovarti uno switch edge (da collegare cioe' ai PC) che funga
da authenticator 802.1x .. di certo so che i Cisco e i Foundry lo
supprtano. per esempio:

--

CatOS:
myswitch (enable) set radius server 192.168.101.98 primary
myswitch (enable) set radius key ABC6108
myswitch (enable) set dot1x system-auth-control enable
myswitch (enable) set port dot1x mod/port port-control 
                     [auto | force-authorized | force-unauthorized]

IOS
myswitch #conf t
myswitch (config)#aaa new-model
myswitch (config)#radius-server host 192.168.101.98
myswitch (config)#radius-server key ABC6108
myswitch (config)#aaa authentication dot1x default group radius
myswitch (config)#interface fastethernet mod/port
myswitch (config-if)#dot1x port-control [auto | force-authorized | force-unauthorized]

-- 

Poi ti confiuguri RADIUS server e client per autenticarti con 802.1x ...
per farlo su macchine windows (non XP) puoi usare software della
MeetingHouse o della FunkSoft .. provati tutti e due e funzionano bene
(io preferisco Odissey della funk) se vuoi qualcosa free, esiste un
software (non ricordo il nome), ma fa solo autenticazione tramite
EAP-MD5.

Inoltre, puoi giocare con le risposte radius, nel senso che puoi dirgli
la VLAN di apparteneza tramite alcuni parametri radius 

[64] Tunnel-Type, TAG 1=VLAN
[65] Tunnel-Medium-Type, TAG1=802
[81] Tunnel-Private-Group-ID, TAG1="vlan_name"

So che forse la sto menando troppo in lista, ma se vuoi alcuni esempi di
configurazione su RADIUS e client 802.1x li trovi sul mio paper
"sicurezza nelle wireless lan" ... anche se e' per il wireless, i
concetti valgono anche per il wired. 

http://gpaterno.free.fr/publications/SicurezzaWLAN/GPaterno-Sicurezza_Nelle_Wireless_LAN.pdf


Spero di esserti stato in qualche modo di aiuto.
Ciao ciao,

	Gippa


P.S. Approfitto per dare il benvenuto in lista alla mia collega Gabry.
:-)

-- 
Giuseppe "Gippa" Paterno' 
E-mail: gpaterno@xxxxxxxxxxxx
On the web at http://www.gpaterno.com


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: Re: law and hosting, Alessio C.
- successivo: RE: Symbian OS e terminali mobili, Daniele Besana
- indice

Argomento:
- precedente: Re: law and hosting, Alessio C.
- successivo: Network Access Control System, Andrea Rossini
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005