Autentisering på trådat nätverk

Många ser över säkerheten på olika sätt. En del av vad som bör ses över är att datorer som exempelvis inte är med i domänen inte ska ha åtkomst till resurser på produktionsnätet.

Ett enkelt sätt att lösa detta är att aktivera autentisering på switcharna ihop med RADIUS. Det smidiga med det hela är att vi kan placera dem som inte är autentiserade på ett nät, exempelvis ett gästnät med PacketFence, och de som är autentiserad på produktionsnätet.

Exempel på en enkel konfiguration i Microsoft NPS (Network Policy Server) för att ha stöd för detta är:

  •  Skapa upp switcharna som RADIUS-klienter
  • Skapa en Connection Request Policy med conditions på exempelvis ”Ethernet” som NAS Port Type och ett regular expression för switcharnas namnstandard på NAS Identifier, exempelvis ”^SWITCH-.*$” för att täcka SWITCH-01, SWITCH-02 och SWITCH-03.
  • Skapa en Network Policy med samma conditions som ovan, men även på Machine Groups kopplat till domänens ”Domain Computers”. Se även till att använda ”Microsoft: Protected EAP (PEAP)” och ”Secured password (EAP-MSCHAP v2)” – vilket kräver att ett certifikat från ”RAS and IAS Server” template är utfärdat till servern.
    • Här kan även fler Network Policies kunna skapas för att exempelvis sätta VLAN beroende på medlemskap.

Innan autentisering kan aktiveras bör datorerna konfigureras för att ha stöd för detta. I detta exemplet använder vi datorn för autentisering och skapar då en GPO där vi konfigurerar 802.1X och sätter tjänsten ”Wired AutoConfig” till automatisk uppstart.

Wired8021X_01

Wired8021X_02

 

När NPS och datorerna är konfigurerat behöver switchen konfigureras för att ha stöd för detta. I mitt fall konfigurerade jag port 1-22 att använda sig av detta och kopplar VLAN 100 till autentiserade datorer och VLAN 200 till dem som inte är autentiserade. (exempel från HP ProCurve)

 

När allt är klart kommer datorer som är med i domänen att hamna på produktionsnätet och de som inte är det på gästnätet. För att se om datorn är autentiserad kan följande kommando köras från CMD:

 

Notering: Är Hyper-V installerat på klienten så är det i dagsläget problem (även på Windows 10) att använda sig av autentisering på det trådade nätet. Antingen att stänga av Hyper-V switchen alternativt byt till Internal/Private vid autentisering och sedan byta tillbaka är det som behövs.

Lämna en kommentar om du har några bra eller dåliga erfarenheter med detta, alternativt om du har några frågor!

Med vänlig hälsning,
Simon Gottschlag

Disclaimer: All information on this blog is offered "as is" with no warranty. It is strongly recommended that you verify all information and validate all scripts in isolated test environments before using them in production environments.