Toon posts:

[wifi] Mogelijkheden centraal beheer wifi accesspoints ?

Pagina: 1
Acties:
  • 208 views sinds 30-01-2008
  • Reageer

donderdag 13 oktober 2005 21:30

Acties:
  • Thijs B
  • Registratie: Augustus 1999
  • Niet online

Thijs B

Topicstarter
Probleem.
We zitten hier met zo’n 15 wifi AP’s over meerdere locaties in verschillende subnets, het beheren van deze dingen is erg omslachtig.
Elke keer als er een nieuwe notebook in het bedrijf komt moet je op 15 AP’s de mac adressen gaan invullen, bovendien lopen we tegen het probleem dat je niet onbeperkt mac adressen kan invoeren.

Nu ben ik aan het uitzoeken wat de handigste manier is om centraal de toegang van wifi notebooks te beheren, we hebben enkele windows 2003 servers, maar niet op alle locaties tevens loggen (nog)niet alle clients aan op het domain.

Mogelijke oplossingen.

Windows 2003 Radius server in combinatie met certificate.
Nadeel werkt alleen met xp srv2 clients, geen beveiliging meer op basis van mac adres.
http://www.microsoft.com/...a3d64c48f5&DisplayLang=en

freeradius linux oplossing
Doet zover ik kan zien hetzelfde als radius via windows ook met certificaat.
http://www.freeradius.org/

cisco AP's of ander geavanceerde AP's aanschaffen die je met een beheers tool in een groep kan zetten.
Waarschijnlijk wel de meest veilige oplossing maar heeft niet echt mijn voorkeur beetje zonde om alle bestaande AP's te dumpen om te vervangen door duurdere AP's

Ik verwacht niet dat ik van jullie een kant en klare oplossing krijg maar ben benieuwd naar ervaringen of tips hoe dit aan te pakken.

donderdag 13 oktober 2005 21:37

Acties:
  • Acmosa
  • Registratie: Januari 2001
  • Laatst online: 03-03 16:58

Acmosa

...no comment.

Kijk hier eens naar.
http://manageengine.adven...s/wifi-manager/index.html

Heb er geen ervaring mee maar misschien is het wat. Ik heb wel goede ervaringen met adventnet

[ Voor 36% gewijzigd door Acmosa op 13-10-2005 21:37 ]

But then again, I could be wrong..

donderdag 13 oktober 2005 21:40

Acties:
  • Rmg
  • Registratie: November 2003
  • Laatst online: 22:18

Rmg

DHCP Server draaien in je netwerk.
Op alle AP's hun eigen dhcp uitzetten
IP's uitdelen op basis van mac address

Dat is een mogelijke oplossing

donderdag 13 oktober 2005 21:43

Acties:
  • Acmosa
  • Registratie: Januari 2001
  • Laatst online: 03-03 16:58

Acmosa

...no comment.

Raz- schreef op donderdag 13 oktober 2005 @ 21:40:
DHCP Server draaien in je netwerk.
Op alle AP's hun eigen dhcp uitzetten
IP's uitdelen op basis van mac address

Dat is een mogelijke oplossing
Dan zou je een 2 de netwerk moeten opzetten die een eigen dhcp draait voor de AP's en dan routeren.

But then again, I could be wrong..

donderdag 13 oktober 2005 21:48

Acties:

Verwijderd

Als je bijv. cisco switches / routers gecombineerd gebruikt kan je er 1 als clustermanager aanwijzen en (eventueel per poort) aangeven welke mac adressen toegang hebben op je netwerk...eventueel ook middels vlans...
ben je van het hele gebruik van die AP's af. en heb je 1 lijst met een max van een paar 1000mac's die in je netwerk mogen rondsurfen...
Eventueel kan je ook eens kijken naar hardware van nomadix. deze maken speciaal hardware om wirelessnetwerken te beveiligen. via mac adressen , login/password radius ja/nee...etc.etc.. wordt ook veel gebruikt bij hotspots.. ;) echt een geweldig :) systeem maar niet goedkoop.

donderdag 13 oktober 2005 22:08

Acties:

Verwijderd

Wat voor Ap's heb je?

Ikzelf heb een 80 tal 3com Accespoints. Het authenticeren gebeurt via IAS (radius van ms) op Mac adres.

Echter het gelijktijdig wijzigen van instellingen is gewoon bagger ( lees niet mogelijk)

donderdag 13 oktober 2005 22:15

Acties:
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Thijs B schreef op donderdag 13 oktober 2005 @ 21:30:
... geen beveiliging meer op basis van mac adres...
Heb je nou echt de illusie dat MAC adres en beveiliging iets met elkaar te maken hebben? Als er iets makkelijk te spoofen is, dan is dat wel een MAC adres. Op wireless netwerken kun je ze zo uitlezen en op bedrade netwerken zie je ook regelmatig een PC staan met een stickertje d'r met het MAC adres van de netwerk kaart.
Dat hele gedoe met MAC adressen is alleen maar werkverschaffing

QnJhaGlld2FoaWV3YQ==

donderdag 13 oktober 2005 22:39

Acties:
  • Thijs B
  • Registratie: Augustus 1999
  • Niet online

Thijs B

Topicstarter
het gaat om eenvoudige saneo ap's wel ondersteuning voor radius server.
Nee ik weet dat mac adressen alleen niet veilig is, maar vind het wel een prettig idee om het naast wep keys als extra erbij te hebben.

Er moet dan in iedergeval iets meer moeite worden gedaan om een key te kraken en een ip te krijgen.

donderdag 13 oktober 2005 22:54

Acties:
  • Bl@ckbird
  • Registratie: November 2000
  • Niet online

Bl@ckbird

Gebruikers met een VPN cliënt, via Wifi, laten inloggen op het netwerk. Eventueel met e-Tokens. Heb je meteen een mooie oplossing voor thuiswerkers. Wifi accespoint open laten, maar de uplink ervan dicht timmeren. (Behalve voor VPN verkeer dan...)

[ Voor 27% gewijzigd door Bl@ckbird op 13-10-2005 22:57 ]

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

vrijdag 14 oktober 2005 12:04

Acties:

Verwijderd

Thijs B schreef op donderdag 13 oktober 2005 @ 22:39:
het gaat om eenvoudige saneo ap's wel ondersteuning voor radius server.
Nee ik weet dat mac adressen alleen niet veilig is, maar vind het wel een prettig idee om het naast wep keys als extra erbij te hebben.

Er moet dan in iedergeval iets meer moeite worden gedaan om een key te kraken en een ip te krijgen.
Wep keys = onveilig
Mac adres = onveilig

Beide geven geen echte veiligheid. Ja, je houdt toevallige passanten buiten je netwerk maar daar houdt het dan ook wel mee op. Beter is het gebruik van WPA of wireless verbindingen alleen via een VPN toegang te verlenen. Gegeven je huidige "beveiliging" vind ik dat als je niet gelijktijdig je beveiliging aanscherpt elke oplossing een verspilling van geld is.

Maar goed.

Voor de volledigheid heeft o.a. ook Symbol een vergelijkbare oplossing als Cisco voor het centraal beheren van Access Points.

vrijdag 14 oktober 2005 12:20

Acties:

Verwijderd

Als je een simpele LinkSys / BenQ / Bokkiewokkie router hebt die alleen MAC filtering en Webkeys 128bit ondersteund, is het toch niet mogelijk om beveiliging via VPN te regelen, of zie ik dit verkeerd?

vrijdag 14 oktober 2005 12:51

Acties:
  • jochemd
  • Registratie: November 2000
  • Laatst online: 29-12-2025

jochemd

Wat kunnen je access points precies? Ik zou zelf snel geneigd zijn om voor de RADIUS oplossing te kiezen in combinatie met 802.1x. Support voor oudere clients regel je door een RADIUS proxy tussen je access points en je MS-RADIUS te zetten die attributen herschrijft en een eventuele tunnel termineert. Of om gewoon je hele MS-RADIUS de deur uit te doen en iets configureerbaars te nemen dat ook authenticatiemechanismes aankan die door de concurrenten van MS zijn ontwikkeld.

vrijdag 14 oktober 2005 13:03

Acties:

Verwijderd

Verwijderd schreef op vrijdag 14 oktober 2005 @ 12:20:
Als je een simpele LinkSys / BenQ / Bokkiewokkie router hebt die alleen MAC filtering en Webkeys 128bit ondersteund, is het toch niet mogelijk om beveiliging via VPN te regelen, of zie ik dit verkeerd?
Het idee hierachter is dat je alle ap's open zet en tesamen in 1 netwerk plaatst zonder directe verbinding tussen bedrijfsnetwerk en wifi netwerk. Deze verbinding wordt dan verzorgd door een VPN router of iets soortgelijks. De gebruikers kunnen dan wel verbinding maken met het wifi netwerk maar verder niets bereiken, voor surfen/bedrijsnetwerk moet eerst VPN verbinding worden gemaakt.

vrijdag 14 oktober 2005 13:24

Acties:

Verwijderd

Verwijderd schreef op vrijdag 14 oktober 2005 @ 13:03:
[...]


Het idee hierachter is dat je alle ap's open zet en tesamen in 1 netwerk plaatst zonder directe verbinding tussen bedrijfsnetwerk en wifi netwerk. Deze verbinding wordt dan verzorgd door een VPN router of iets soortgelijks. De gebruikers kunnen dan wel verbinding maken met het wifi netwerk maar verder niets bereiken, voor surfen/bedrijsnetwerk moet eerst VPN verbinding worden gemaakt.
Twee aanvullingen. Allereerst zet je natuurlijk wel WEP aan. Het houdt tenslotte passanten tegen :) Maar belangrijker is dat je er rekening mee moet houden dat in zo'n scenario gebruikers van het draadloze netwerk elkaars computer nog steeds kunnen zien. Als iemand dus een harde schijf deelt kan een andere wifi gebruiker daar zomaar bij. Het bedrijfsnetwerk is echter wel redelijk beschermd.

zaterdag 15 oktober 2005 16:36

Acties:
  • Thijs B
  • Registratie: Augustus 1999
  • Niet online

Thijs B

Topicstarter
Het lastige is het gaat om 14 vestigingen en lang niet overal staan servers en dat is ivm de kosten ook niet wenselijk.
Daardoor is wifi via vpn al een stuk lastiger, je kan wel vpn maken naar de server op de hoofd locatie maar dan gaat ook gelijk al je netwerk verkeer via de hoofd locatie.

Ik ga dus eerst aan de slag met radius waarbij denk ik het grootste probleem dhcp zal zijn.
Heb nog geen flauw idee hoe ik ervoor moet zorgen dat een wifi-notebook op locatie A die authenticatie doet via de radius server welke staat op locatie B toch een ip adres krijgt voor locatie A
Vaste ip adressen e.d.zijn geen optie.

zaterdag 15 oktober 2005 21:56

Acties:
  • Abom
  • Registratie: September 2000
  • Laatst online: 29-04 20:20

Abom

jochemd schreef op vrijdag 14 oktober 2005 @ 12:51:
Wat kunnen je access points precies? Ik zou zelf snel geneigd zijn om voor de RADIUS oplossing te kiezen in combinatie met 802.1x. Support voor oudere clients regel je door een RADIUS proxy tussen je access points en je MS-RADIUS te zetten die attributen herschrijft en een eventuele tunnel termineert. Of om gewoon je hele MS-RADIUS de deur uit te doen en iets configureerbaars te nemen dat ook authenticatiemechanismes aankan die door de concurrenten van MS zijn ontwikkeld.
IAS (Microsoft's RADIUS service) kan vrijwel elke RADIUS variant emuleren (van RADIUS standard tot Cisco, 3com en BinTec). Verder vraag ik me af waarom je moeilijk zou moeten doen om een andere RADIUS oplossing, bv die peperdure oplossing van Cisco, te gaan koppelen met je AD. En die van Cisco is nog makkelijk te koppelen...

Je zit wel goed met je idee though, ik zou ook boor RADIUS met 802.1x kiezen.

zondag 16 oktober 2005 21:01

Acties:
  • jochemd
  • Registratie: November 2000
  • Laatst online: 29-12-2025

jochemd

Abom schreef op zaterdag 15 oktober 2005 @ 21:56:
[...]

IAS (Microsoft's RADIUS service) kan vrijwel elke RADIUS variant emuleren (van RADIUS standard tot Cisco, 3com en BinTec).
Het probleem is niet de RADIUS variant, het probleem is de payload. IAS ondersteunt alleen EAP-TLS en PEAP. Zelfs het populaire EAP-TTLS wordt niet ondersteund.
Verder vraag ik me af waarom je moeilijk zou moeten doen om een andere RADIUS oplossing, bv die peperdure oplossing van Cisco, te gaan koppelen met je AD.
Die koppel je niet met je AD, die hang je tussen je APs en IAS en alleen IAS praat met je AD. In het geval van bijvoorbeeld EAP-TTLS zet je een FreeRADIUS proxy ertussen waar je je outer authenticatie op termineert zodat alleen de inner authentication naar de IAS gaat.

dinsdag 18 oktober 2005 23:24

Acties:
  • Thijs B
  • Registratie: Augustus 1999
  • Niet online

Thijs B

Topicstarter
Nou het begin is er :)

Na een hoop gepruts heb ik via deze handleiding
http://www.microsoft.com/...a3d64c48f5&DisplayLang=en

Een wifi verbinding via radius/w3k/ias authenticatie met 802.1x Protected EAP(PEAP) met als ik het goed heb nog steeds wep encryptie er overheen.

De volgende stap is EAP-TLS authenticatie/encryptie instellen maar zover ben ik nog niet, maar er is WEL ondersteuning voor zie bovenstaande docje.

Wat al die verschillende encryptie en authenticatie coderingen precies inhouden weet ik (nog) niet precies.

Het grootste probleem tot nu toe is dat de Senao AP's waarvan we er in het bedrijf 14
hebben niet werken via radius de IAS/Radius op de 2003 server snapt het niet.
Met een Linksys AP en zelfs met mijn Draytek routertje lukt authenticatie via radius wel.

Waarschijnlijk gebruikt sanao een afwijkende radius standaard.
De error melding in de event log wanneer ik de senao gebruik.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

User host/hp.test.lan was denied access.
 Fully-Qualified-User-Name = test.lan/Wifi/HP
 NAS-IP-Address = 192.168.16.99
 NAS-Identifier = <not present> 
 Called-Station-Identifier = <not present> 
 Calling-Station-Identifier = 00-11-85-1B-76-53
 Client-Friendly-Name = WirelessAP
 Client-IP-Address = 192.168.16.99
 NAS-Port-Type = <not present> 
 NAS-Port = <not present> 
 Proxy-Policy-Name = Use Windows authentication for all users
 Authentication-Provider = Windows 
 Authentication-Server = <undetermined> 
 Policy-Name = Connections to other access servers
 Authentication-Type = EAP
 EAP-Type = <undetermined> 
 Reason-Code = 66
 Reason = The user attempted to use an authentication method that
 is not enabled on the matching remote access policy.

Ik ben bang dat de sanao AP niet de juiste radius standaard gebruikt en daarom niet werkt via de radius van windows 2003 :(


Maar wat ik ook totaal nog niet begrijp is hoe de radius nou samen gaat met de webkey.
Ik moet nog steeds op de AP een wep key invullen, maar volgens mij wordt deze totaal niet gebruikt ?!?

Of wordt er nu een regelmatig wijzigende wepkey gebruikt ???? Dat zou ik persoonlijk al een prima beveilliging vinden.

Even voor de duidelijkheid bij w2k3 heet radius IAS =Internet Authentication Service

[ Voor 4% gewijzigd door Thijs B op 18-10-2005 23:29 ]

woensdag 19 oktober 2005 13:21

Acties:
  • jochemd
  • Registratie: November 2000
  • Laatst online: 29-12-2025

jochemd

Thijs B schreef op dinsdag 18 oktober 2005 @ 23:24:

Een wifi verbinding via radius/w3k/ias authenticatie met 802.1x Protected EAP(PEAP) met als ik het goed heb nog steeds wep encryptie er overheen.
Klopt. Je gebruikt WEP als encryptie maar de key exchange en key rotation worden vanuit RADIUS geregeld.
De volgende stap is EAP-TLS authenticatie/encryptie instellen maar zover ben ik nog niet, maar er is WEL ondersteuning voor zie bovenstaande docje.
Er heeft niemand beweert dat EAP-TLS niet ondersteund werd. Er is alleen gezegd dat EAP-TTLS niet ondersteund werd. Mocht je daarvoor ondersteuning hebben aangetroffen dan zijn er heel veel mensen heel erg geinteresseerd.
Wat al die verschillende encryptie en authenticatie coderingen precies inhouden weet ik (nog) niet precies.
Ik zou dat toch maar eerst gaan uitzoeken. Ik kan me namelijk niet voorstellen dat je echt EAP-TLS als volgende stap wil :)
Het grootste probleem tot nu toe is dat de Senao AP's waarvan we er in het bedrijf 14
hebben niet werken via radius de IAS/Radius op de 2003 server snapt het niet.
Model? Firmware versie? Configuratie?

woensdag 19 oktober 2005 17:19

Acties:
  • Thijs B
  • Registratie: Augustus 1999
  • Niet online

Thijs B

Topicstarter
jochemd schreef op woensdag 19 oktober 2005 @ 13:21:

[...]
Ik zou dat toch maar eerst gaan uitzoeken. Ik kan me namelijk niet voorstellen dat je echt EAP-TLS als volgende stap wil :)


[...]
Model? Firmware versie? Configuratie?
Het begint mij langzaam aan duidelijk te worden :) zeker na het lezen van een paar artikeltjes op
Wikipedia
http://en.wikipedia.org/w...e_Authentication_Protocol
http://en.wikipedia.org/wiki/Wi-Fi_Protected_Access

maarre waarom zou ik dan geen EAP-TLS willen als ik het goed begrijp is dit de veilligste methode enige nadeel het werkt alleen met windows pc's Ik geloof niet dat de gemiddelde wifi smartphone of pda ondesteuning voor EAP-TLS heeft.
Het doet uiteindelijk wel precies waar ik naartoe wil, namelijk het centraal beheren van wifi access.
Alleen moet ik als het tegen zit alle senao AP's gaan vervangen onder andere de 3054cb3 en daar was ik nou juist zo tevreden over ivm het grote bereik....

woensdag 19 oktober 2005 19:38

Acties:
  • jochemd
  • Registratie: November 2000
  • Laatst online: 29-12-2025

jochemd

Thijs B schreef op woensdag 19 oktober 2005 @ 17:19:

maarre waarom zou ik dan geen EAP-TLS willen als ik het goed begrijp is dit de veilligste methode
Het is niet alleen de veiligste methode, het is ook de bewerkelijkste. Het jij al een infrastructuur om client certificates te gaan beheren?
enige nadeel het werkt alleen met windows pc's Ik geloof niet dat de gemiddelde wifi smartphone of pda ondesteuning voor EAP-TLS heeft.
EAP-TLS werkt zo ongeveer met alles. Maar je moet voor elke user een certificaat maken, dat moet hij op zijn computer zetten etc., vervolgens moet je die dingen gaan beheren (en intrakken) etc. Als je hele bedrijf al met smartcards inlogt misschien wel te doen, maar als je bedrijf nog gewoon passwords gebruikt dan moet je er niet vanwege je WLAN aan beginnen.
Alleen moet ik als het tegen zit alle senao AP's gaan vervangen onder andere de 3054cb3
Tegen de tijd dat die lui een site hebben met valide HTML die ook onder andere browsers dan IE werkt wil ik nog wel eens kijken wat de specs en handleiding van die dingen zeggen.

zaterdag 22 oktober 2005 16:57

Acties:
  • Thijs B
  • Registratie: Augustus 1999
  • Niet online

Thijs B

Topicstarter
jochemd schreef op woensdag 19 oktober 2005 @ 19:38:
[...]

Het is niet alleen de veiligste methode, het is ook de bewerkelijkste. Het jij al een infrastructuur om client certificates te gaan beheren?

EAP-TLS werkt zo ongeveer met alles. Maar je moet voor elke user een certificaat maken, dat moet hij op zijn computer zetten etc., vervolgens moet je die dingen gaan beheren (en intrakken) etc. Als je hele bedrijf al met smartcards inlogt misschien wel te doen, maar als je bedrijf nog gewoon passwords gebruikt dan moet je er niet vanwege je WLAN aan beginnen.
Het is mogelijk om de certificaten met een policy uit te rollen, en dan alle wifi users in een groep te hangen en die wifi toegang te geven.

Zover ik tot nu toe heb gezien is ALS het eenmaal draait juist helemaal niet bewerkelijk maar ik ben nog niet zover dat ik dat kan testen.

Ik loop vast op het aanmaken van een certificaat.

Heeft iemand enig idee wat hier fout gaat?, ik wil dus een certificaat aanmaken om zo de wifi access met een certificaat te beveilligen.

Ik volg precies de handleiding maar ik loop vast op het punt waar je een certificaat moet aanmaken.

Via de win2003 Certification Tamplates Snap in maak ik een duplicate van een user tamplate certificaat en geef deze de naam WIFICERT

Vervolgens bij Certification Authority klik je bij de Certificate Templates op New > Certificate Template to Issue. Dan krijg je de lijst van templates en daar zou dan mijn WIFICERT template bij moeten staan. Maar dat is dus niet het geval.

Heb al een paar keer de server opnieuw geïnstalleerd en de hele procedure opnieuw doorlopen maar geen resultaat.

De CA authority is geïnstalleerd als Enerprise root CA en dan hoef je geen certificaten bij een of andere externe beheerder aan te vragen.

Google geeft wel een hoop antwoorden maar daar wordt ik ook niet echt wijzer van.

[ Voor 34% gewijzigd door Thijs B op 22-10-2005 17:02 ]

zondag 23 oktober 2005 20:06

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Je hebt in ieder geval een RAS/IAS Server Authentication Cert nodig, heeft die doos dat al?
Vervolgens een Computer en/of User Authentication cert.
RAS/IAS zit overigens alleen in 2003 Enterprise CA's, niet in 2003 Standard CA.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Pagina: 1
Reageer