Re: vlan dinamiche

In alternativa suggerirei l'uso di 802.lx per autenticare gli utenti e
assegnare la vlan di pertinenza.
Visto che si parlava di cisco....ecco qualche dettaglio in piu'.

802.1x VLAN Assignment Using a RADIUS Server
In supervisor engine software releases prior to software release 7.2(2),
once the 802.1x host is authenticated, it joins an NVRAM-configured VLAN.
With software releases 7.2(2) and later releases, after authentication, an
802.1x host can receive its VLAN assignment from the RADIUS server.

The VLAN assignment feature allows you to restrict users to a specific VLAN.
For example, you could put guest users in a VLAN with limited access to the
network.

802.1x authenticated ports are assigned to a VLAN based on the username of
the host that is connected to the port. This feature works with the RADIUS
server that has a database of username-to-VLAN mappings.

After a successful 802.1x authentication of the port, the RADIUS server
sends the VLAN in which the user needs to be given access. 802.1x port
behavior with the VLAN assignment feature is summarized as follows:

  a.. At linkup, an 802.1x port is placed in its original NVRAM-configured
VLAN.
  b.. After linkup, the port can be put in the RADIUS-supplied VLAN if the
RADIUS-supplied VLAN is valid and active in the management domain.
  c.. If the port is currently in a different VLAN, it is moved to the
RADIUS-supplied VLAN.
  d.. If the RADIUS-supplied VLAN is not active in the management domain,
the port is put in an inactive state.
  e.. If the RADIUS-supplied VLAN is invalid or there is a problem with the
port hardware, the port is moved to the 802.1x unauthorized state.
  f.. When the multiple hosts option is enabled on an 802.1x port, all hosts
are placed in the same RADIUS-supplied VLAN received by the first
authenticated user.
  g.. When an 802.1x-configured module goes down, all Enhanced Address
Recognition Logic (EARL) entries are cleared for 802.1x ports.
  h.. When an 802.1x-configured module comes up, all 802.1x ports are
configured in NVRAM-configured VLANs.
  i.. When an 802.1x-configured module's configuration is cleared, all the
802.1x ports are moved to the NVRAM-configured VLAN and all the EARL entries
for the 802.1x ports are cleared.
  j.. When an 802.1x port moves from an authorized to an unauthorized state,
the port is moved to the NVRAM-configured VLAN.
In order for the "802.1x VLAN Assignment Using a RADIUS Server" feature to
successfully complete, the RADIUS server must return the following three RFC
2868 attributes back to the authenticator (the Cisco switch to which the
host attaches):

  a.. [64] Tunnel-Type = VLAN
  b.. [65] Tunnel-Medium-Type = 802
  c.. [81] Tunnel-Private-Group-Id = VLAN NAME
Attribute [64] must contain the value "VLAN" (type 13). Attribute [65] must
contain the value "802" (type 6). Attribute [81] specifies the VLAN name in
which the successfully authenticated 802.1x host is placed.





Andrea T.



----- Original Message ----- 
From: "Lt.Cmd. Geordi LaForge" <laforge@ncc1701e.net>
To: <ml@sikurezza.org>
Sent: Friday, May 16, 2003 4:37 PM
Subject: Re: vlan dinamiche


>
> Che ricordi Io no, anche perche' la gestione delle
> VLAN dinamiche avviene tramite il caricamento
> di un file via tftp da parte del server VMPS.
>
> Tale server per la concezione Cisco puo' essere
> un Catalyst 5000 o un 2926G, mentre i client
> devono avere le capabilities adeguate,
> quindi non e' solo una questione di server ma anche
> di client cioe' di switch di accesso con possibilita'
> di gestione delle porta in modalita' dinamica
> quindi dal catalyst 2900XL in su...
>
> Se manca qualcuno di questi requisiti allora non puoi
> fare VMPS, tieni conto che il VQP (VMPS Query Protocol)
> e' propietario Cisco, non esistono a mia conoscenza
> server di terze parti/free/os.
>
> Altra nota, dolente.
> Questo sistema, vista la sua capacita' di autoconfigurazione
> sulle vlan, puo' essere un ottimo buco di sicurezza,
> infatti se tieni conto che su uno strato di rete
> come quello linux il cambio del Mac-Address e' una operazione
> alquanto banale, potresti ritrovarti persone non nelle vlan
> in cui dovrebbero stare...
>
> Per esempio, hai una vlan dedicata esclusiavamente all'amministrazione.
> Io aspetto che va via la segretaria che conosco bene e di cui mi sono
> segnato il mac-address. Il suo pc e' nella lan amministrazione ma adesso
> che e' finito l'orario lavorativo e il suo pc e' spento, cambio mac alla
mia
> macchina ed ecco che mi ritrovo nella lan dell'amministrazione
presentandomi con
> l'ip di questa segretaria ... il resto sta alla fantasia di chi legge...
>
> Tainasha No Karosha
>
>
>
> On Thu, 15 May 2003, Ivaldi Francesco wrote:
>
> > Ciao a  tutti,
> > intendo implementare nella azienda per la quale lavoro  le VLAN
dinamiche.
> > Gli apparati di rete di cui si dispone non sono in grado di svolgere il
> > ruolo di server VMPS.
> > Mi domandavo se ci sia qualche modo per far svolgere questo ruolo ad un
pc.
> > Se si ,come.
> > Grazie
> > Francesco Ivaldi
> >
> > f.ivaldi@rfi.it
> >
> >
> >
> >
> >
> > ________________________________________________________
> > http://www.sikurezza.org - Italian Security Mailing List
> >
>
> -
> -- 
> Lt.Cmd. Geordi LaForge Uss Enterprise - Ncc 1701E - U.F.P. -
> http://www.ncc1701e.net - Living beyond...to make the Difference -
> --------------------------------------------------------------------------
-----
> Echelon Key: hacking war kill bomb atomic terrorist anarchy usa bush
> crackdown g8 alien nuclear TS/SCI TALENT KEYHOLE KH-11 SILVER RUFF TEAPOT
> UMBRA ZARF NOFORN SAC Hezbollah Red Brigade Shining Path Tamil Tigers IRA
ETA
> FLNC PKK UCK CIA NSA DIA NRO KGB FAPSI FSB GRU M15 M16 GCHQ DGSE BND
MOSSAD CSE
> --------------------------------------------------------------------------
-----
> PGP Key Fingerprint = C30E 821C 39FC 2C4E 1A04 42FE 9352 351C 463B 4317D
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>
>


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List