802.1x achtige AAA oplossing

Situatieschets:

Een 30-tal clients in een LAN met toegang tot een gedeelde internetverbinding waarbij AAA noodzakelijk is.
Wat ik hiermee wil bereiken is dat:

• Elke online client ook identificeerbaar is als de identiteit die hij/zij werkelijk is
• Op basis van QoS bandwidth beperkt kan worden per account
• Een quota gehandhaafd kan worden per gebruiker
• Er per user gelogd kan worden om misbruik tegen te gaan

Momenteel wordt dit geregeld door een pfSense firewall / gateway, die ik ook in de nieuwe omgeving zou willen gebruiken.

Het probleem hierbij is dat je geen veilige methode hebt om zeker te zijn dat gebruiker A ook diegene is met het, op basis van static dhcp gereserveerde, ip.
DHCP spoofing is namelijk erg makkelijk door te voeren.
Ook indien je met een captive portal gaat werken kunnen credentials doorgegeven worden zodat je geen zekerheid hebt over de identiteit.

Mogelijke alternatieven

Na me een beetje ingelezen te hebben in 802.1x blijkt dat je hiermee ongeveer kan wat ik wil bereiken. Elke user krijgt zijn / haar eigen credentials, waarna pas layer 2 en verdere communicatie mogelijk is. Voor zover ik begrijp kan je dus ook zo per fysieke switch port een ip toekennen, waarna je zeker bent dat het ip wat je monitort en policies op toepast ook dat gene is van de identiteit die jij voor ogen hebt.

Tekortkoming 802.1x in deze omgeving

• Prijs. Er zijn momenteel geen switches met 802.1x ondersteuning. Een switching oplossing met 802.1x support gaat al snel vele honderden euro's kosten.
• Tijd. De clients zitten in geen enkel domein, waardoor elke client apart geconfigureerd moet worden. Dit kost tijd en kan tot ergernis van de gebruikers leiden bij de omschakeling.
• Compatibiliteit. Niet elke client heeft de mogelijkheid een 802.1x supplicant te zijn. Hiervoor zou een uitzondering voorzien moeten worden.
• Beschikbaarheid. Indien er calamiteiten zijn met de radius server heeft geen enkele client internet, maar ook geen lan verbinding.

Alternatieve oplossingen

Daarom richt ik mij tot jullie. Zijn er andere oplossingen mogelijk waarbij er toch kan wat ik wil, en de nadelen beperkt(er) zijn t.o.v. deze van de 802.1x oplossing?

Dank bij voorbaat voor jullie raad

Rolfie schreef op zaterdag 29 oktober 2011 @ 14:44:
Wat wil je precies bereiken met je oplossing?

Wilt je alleen maar gecontroleerd Internet toegang?
Of......

Wat ik wil bereiken is dat de internetverbinding efficiënt gedeeld wordt. Dit is, zonder dat 1 of meerdere gebruikers alle bandbreedte opeisen of misbruiken voor illegale activiteiten.
Dit wil ik bereiken door QoS toe te passen globaal, en als het moet per gebruiker. Daarnaast wil ik het dataverkeer per host monitoren zodat gebruikers die teveel dataverkeer veroorzaken hierop aangesproken kunnen worden, of hun bandbreedte beperkt.

Wat er op het LAN gebeurd, kan me eigenlijk niet zoveel schelen, mits er geen aanvallen op de firewall gebeuren, maar de logging daarvan kan je prima op de host zelf uitvoeren.

Wat wel mooi zou zijn is port security, zoals bij 802.1x zodat gebruikers die niet in de ACL staan geen toegang krijgen tot het netwerk.

Rolfie schreef op zaterdag 29 oktober 2011 @ 14:44:
Dat kan je inderdaad via een captive portal. En ja, je kan altijd een userid/password door geven aan iemand anders. Dat is bijna overal een issue....... Misschien tokens gaan gebruiken?
Misschien gewoon proxy authenticatie?

Ik had eerst naar een captive portal oplossing gekeken, maar hier loop ik tegen een aantal problemen aan. Je kan zoals gezegd de credentials makkelijk doorgeven, en daarnaast kan je bij pfSense afaik geen IP per login forceren. Dat kan je oplossen door dan weer voor elk mac adres een statisch ip (of static dhcp) te geven, maar dan heb je wéér met een imo onveilige oplossing.

Proxy authenticatie zou kunnen, maar dit dien je dan wel voor elk protocol apart in te stellen, toch? Hier zou ik me eigenlijk meer in moeten verdiepen want dat kan best nog een oplossing zijn.

Kan je een voorbeeld geven van een token dat je in deze situatie zou kunnen gebruiken?

Rolfie schreef op zaterdag 29 oktober 2011 @ 14:44:
Wat mag het ook kosten?

Als je een Managed Switch hebt met VLAN ondersteuning, en iedereen heeft een vaste werkplek. Kan dan je verschillende VLAN's maken. En die aan een Interface hangen van pfsense. En daarop je regels/QOS weer bouwen.
Maar het is maar net hoever je wilt gaan.

Wat de kostprijs betreft: less is more
Het hoeft niet allemaal gratis te zijn, maar om deze beslissing te maken wil ik eerst alle alternatieven tegen elkaar opwegen en dan tot een besluit over gaan.
Verder vind ik een nieuwe 48 port VLAN en 802.1x capable switch voor 200 EUR een investering die eerder het overwegen waard zou zijn dan zeg, de kosten voor een Microsoft ISA server.

The Eagle schreef op zaterdag 29 oktober 2011 @ 14:50:
Je 3e A is accounting. Ik neem aan dat je accountability bedoelt (als in: verantwoordelijk voor je eigen daden)?
In voorkomend geval is het genoeg om een gebruiker eenmalig een overeenkomst te laten tekenen waarbij deze aangeeft voor zijn eigen account verantwoordelijk te zijn en deze niet uit te lenen.

Voor authorization en autnetication: tsja, daarvan had je zelf al bedacht dat dat niet zo moeilijk te implementeren was

quote: http://en.wikipedia.org/wiki/AAA_protocol#Accounting

Accounting refers to the tracking of network resource consumption by users for the purpose of capacity and trend analysis, cost allocation, billing.

Dat is min of meer wat ik met de laatste A bedoel.

De oplossing met een contract te laten ondertekenen kan wel, maar niet in deze situatie. Het is geen bedrijfsomgeving waar bij ontslagen kan worden bij niet naleving van de regels oid. Daarnaast, wat kan je bij een overtreding doen?
Ik geloof eerder in een technisch goed uitgewerkte omgeving waarbij je met je gebruikers even gaat praten bij misbruik, vooraleer je overgaat tot maatregelen.

Wat je met je laatste zin bedoeld ontgaat me. Zoals in de TS aangegeven is het niet op 1-2-3 te implementeren, en zijn er (imo) ook enkele nadelen aan verbonden.

Ondertussen weer een weekje verder en bij volgende mogelijke opties uitgekomen:

-DHCP option 82 i.c.m. ip source-guard en dhcp snooping. Voor zover ik het tot hiertoe begrijp kan je hierbij door middel van dhcp relay per switch port een dhcp lease toekennen. De poort staan eerst in untrusted mode, en enkel dhcp verkeer kan er dan door. Hierdoor kan je dus geen statisch ip instellen, en ongeacht welk mac adres krijg je steeds hetzelfde IP van de dhcpd.

Nadeel is dat je hier ook weer managed switches voor nodig hebt, en dat het wel even duurt om te configureren. Voordeel is dan weer dat het transparant naar de gebruiker toe is, en gebruiksvriendelijk, gewoon een DHCP lease aanvragen en geen omkijken meer naar.

-Toch gebruik maken van static ARP, al dan niet i.c.m. een dhcpd die op basis van het mac adres een ip uitdeelt, maar ongeoorloofd gebruik monitoren d.m.v. een daemon als Arpalert

Nadeel hierbij is dat het tijd kost om dit te monitoren, en niet 100% veilig is. Voordeel is dat je de kost van managed switches uitspaart, en dat het voor zover ik het zie de meest makkelijke manier is om te implementeren.

-Per port een VLAN met eigen IP instellen.

Het grootste nadeel is dan dat je indien 2 hosts met elkaar iets willen delen je dit zal moeten routeren, of een ftpd oid moet runnen waar ze hun bestanden naar kunnen uploaden.
Daarnaast ook weer de kostprijs en de (weliswaar eenmalige) configuratie.

Keuzes, keuzes..
Mocht iemand opmerkingen over deze oplossingen hebben of hier zelf ervaring mee hebben, graag!

Een proxy zal je per applicatie in moeten stellen, en dat is weer administratief een redelijk gedoe.

Verder had ik al even gezocht op een goede open source proxy (icm pfSense), en kwam toen bij Squid uit.
Het probleem hierbij is dat Squid alleen http verkeer aankan, terwijl ik een oplossing zoek die voor alle protocollen werkt.
Ook kan je niet vermijden dat als je met credentials per gebruiker gaat werken deze makkelijk doorgegeven kunnen worden, lijkt me?

[ Voor 3% gewijzigd door sloth op 12-11-2011 11:21 ]