Re: [ml] controllo accesso LAN

Il giorno 15/dic/08, alle ore 01:41, caio ha scritto:

> Effettivamente lo scenario che si era delineato inizialmente era di  
> poter avere collegamento a cascata di altri apparati di rete sulle  
> porte del Pocurve, ma come giustamente fai notare è chiaro che tutti  
> i client collegati ai sotto-apparati (se unmanaged) possano vedersi  
> tra loro. Tuttavia posso momentaneamente escludere questo scenario e  
> considerare ogni client collegato direttamente ad una porta sul  
> Procurve.

Ok; teniamo questo ultimo scenario come ipotesi di lavoro…

> Da quel che ho visto il Procurve (in particolare si tratta del 2650)  
> consente l'autenticazione 802.1x sia con Radius che con una lista  
> locale di utenti abilitati.

Esattamente!

> Nella mia situazione, volendo abilitare solo gli utenti accreditati  
> al dominio (A.D.) anche per l'accesso alla LAN, l'ideale sarebbe  
> utilizzare Radius in modo da interrogare l'albero dell'Active  
> Directory.

Questo puoi farlo tranquillamente! Non so quale sia il server Radius  
più adatto allo scopo (io ho solo esperienza con Freeradius, che parla  
anche ad Active Directory); in ogni caso, se non erro, i client  
potranno autenticarsi usando MSCHAPv2.

> Questa soluzione tra l'altro mi pare essere più comoda di quella  
> basata su liste di MAC address, poichè molto più flessibile (non  
> devo mantenere le liste), e non dovrebbe soffrire di attacchi basati  
> su ARP Spoofing (ettercap?).
> Per come funziona l'abilitazione della porta (ma qui potrei  
> sbagliarmi) immagino che il Procurve si tenga una lista temporanea  
> di "MAC Address <-> porte sullo switch" abilitati in modo da sapere  
> chi è stato autenticato con successo e può accedere alla rete. Se  
> fosse così il meccanismo potrebbe soffrire ad attacchi di tipo MAC  
> spoofing, ma non ne ho la certezza, la documentazione non è chiara a  
> riguardo:

Questo è il punto dolente. Non ho usato direttamente un 2650, ma posso  
dirti che la documentazione del 2510 illustra esplicitamente la  
differenza tra port-based authentication e client-based  
authentication. Nel primo caso un'autenticazione 802.1x che va a buon  
fine abilita l'intera porta al traffico; nel secondo, abilita  
solamente quello specifico MAC address su quella porta.

Credo che questo significhi che con la port-based authentication,  
appena qualcuno si autentica con successo, tutti i client collegati su  
quella porta possono passare; con la client-based, soltanto il MAC  
address che si è autenticato.

Sotto l'ipotesi che abbiamo formulato, questo è ininfluente ed è  
comunque impossibile, da una delle porte protette, falsificare il MAC;  
o meglio, anche volendo inviare un MAC fasullo, questo MAC verrà  
associato alle credenziali di autenticazione.

> un altro problema potrebbe dipendere dalla necessità di installare  
> un client software su tutti i dispositivi che necessitino di accesso  
> alla rete, ma per questa parte non so ancora quali siano i software  
> necessari nè se vi sia qualcosa di integrato in windows.

Windows ce l'ha incorporato. Almeno da XP in poi, ma suppongo anche su  
alcune versioni precedenti.

> L'ideale sarebbe poter sfruttare la stessa autenticazione al sistema  
> operativo del client (Windows) per effettuare anche l'autenticazione  
> a livello di rete e la conseguente abilitazione della porta sullo  
> switch, visto che le credenziali sarebbero le stesse.

Di default Windows fa proprio questo :) (usa le credenziali del  
dominio!)

>
Ciao,

--
Emanuele