[W2KAS] Toegang verlenen op basis van Mac-adres

Kijk eens op http://www.technet.com bij de scripting guide.
Daar staan WMI scripts waar je onder andere het MAC address kan opvragen. Verwerk dat incl. een controle in een inlogscript en laat de pc uitloggen of afsluiten als het MAC address niet door de controle heen komt.

Een alternatief is om met bij BOOTP of DHCP userclass te werken, dan is het mogelijk om PC's die niet geauthoriseerd zijn geen IP address te geven.

Kan je trouwens niet elk geldig MAC address in je AccessPoint zetten ?

[ Voor 9% gewijzigd door Luppie op 19-07-2003 12:14 ]

ALs de AP's radius authenticatie ondersteunen dan zou ik dit gaan gebruiken. Momenteel zijn we dit bij het bedrijf waar ik werk aan het implementeren.

Groot voordeel is dat de gebruikers geen toegang krijgen op het netwerk voordat men zich zelf heeft aangemeld via de radius server. Het is dus ook niet mogelijk om verkeer te sniffen etc etc.

Kan je trouwens niet elk geldig MAC address in je AccessPoint zetten ?

Dit kan wel maar is beheerstechnisch niet erg aantrekkelijk. Met 1 AP is het nog te doen. Maar zodra je er 10tallen hebt dan moet je dus ieder AP aflopen zodra er een client bij gekomen / verwijderd is.

Verwijderd schreef op 19 July 2003 @ 12:25:
ALs de AP's radius authenticatie ondersteunen dan zou ik dit gaan gebruiken. Momenteel zijn we dit bij het bedrijf waar ik werk aan het implementeren.

Groot voordeel is dat de gebruikers geen toegang krijgen op het netwerk voordat men zich zelf heeft aangemeld via de radius server. Het is dus ook niet mogelijk om verkeer te sniffen etc etc.

Hoewel ik hiermee een beetje off-topic ga wil ik toch ff reaggeren: Hoe je je authenticatie op je wireless netwerk regelt maakt niets uit voor het wel of niet kunnen sniffen. Bij het sniffen van een wireless netwerk meldt je je over het algemeen juist niet aan. De meeste sniffers speuren normaal gesproken alle 13 (of 14) kanalen af op zoek naar interessant verkeer (channel hopping heet dat). Als je je aanmeldt kun je niet blijven 'hoppen' en de zgn. monitor mode gebruiken. Daardoor krijg je alleen nog maar verkeer dat voor jezelf bestemd is, wat natuurlijk niet de bedoeling is als je wilt sniffen.

Het is de eventuele encryptie (WEP, VPN, WPA) die bepaald of je wat aan het gesniffde verkeer hebt, of niet, dat staat los van authenticatie.

Maarten.O schreef op 19 juli 2003 @ 18:15:
[...]


Bij het sniffen van een wireless netwerk meldt je je over het algemeen juist niet aan.

Hier komt de Radius server om de hoek kijken. Is een gebruiker NIET bekend in onze AD structuur dan is het niet mogelijk om aan te loggen op het AP. Een gebruiker die dus niet gevalideerd is kan niet sniffen! In een vaste werkplek omgeving is dit 9 van de 10 keer wel mogelijk, je hebt immers een vaste kabelaansluiting naar de switch.

Gebruikers melden zich dus eerst aan op het AP en daarna op ons Win2k domein.

Verwijderd schreef op 19 July 2003 @ 19:53:
[...]

Hier komt de Radius server om de hoek kijken. Is een gebruiker NIET bekend in onze AD structuur dan is het niet mogelijk om aan te loggen op het AP. Een gebruiker die dus niet gevalideerd is kan niet sniffen!

Dat probeer ik dus net uit te leggen, om te sniffen hoef je helemaal niet aan te loggen, het is vaak zelfs niet gewenst. Ik zal het duidelijker maken met een analogie: Als een politieagent (pietje) een kenteken op wil vragen via z'n portofoon moet hij bekend zijn bij zijn collega (henkie) in de meldkamer, anders geeft deze nooit de info die hij wil. Ik als luisteraar met mijn scanner (sniffer) luister gewoon mee hoe pietje aan henkie een kenteken opvraagt. Hoe pietje zicht bekend maakt bij henkie is voor mij irrelevant, ik wil alleen maar (al dan niet heimelijk) luisteren, dus ik hoef me geen zorgen te maken over authenthicatie (zoals Radius).

Als pietje en henkie encryptie gebruiken (zoals WEP voor Wi-Fi) dan kan ik luisteren (sniffen) wat ik wil, maar zal ik decryptie toe moeten passen om te snappen wat dat gekraak betekent

Verwijderd schreef op 19 juli 2003 @ 12:06:
[...]op zoek naar een programma (freeware) of script waar mee ik op mijn Win2K AS alleen toegang verleen aan mensen waarvan het mac adres geregistreed staat in een lijst op die server[...]

Heb je je al eens afgevraagd hoe eenvoudig het is om je MAC adres te veranderen?
Heeeeeeeeel eenvoudig, dus je beveiligt helemaal niks op deze manier.

Dat kan je toch veel beter regelen op de switches.
Als je een beetje "intelligente" switches hebt dan.
Daar kun je meestal opgeven welke mac-adressen mogen connecten met het netwerk.

En als je nog een klasse hoger zit met je switches, kun je ook eens gaan
kijken naar IEEE 802.1X.
Dan kan de switch nodes authenticeren/autoriseren tegen een radius (Cisco switches ook tegen een tacacs) server. Als de authenticatie fout gaat, dan komt de node (lees pc of laptop) niet op het netwerk.
Dan ben je mac-spoofing tegen gegaan, en het werkt dus ook voor je vaste werkplekken.

En als op het netwerk ook pc's (legaal) zijn, maar ook niet bij de server mogen komen, dan kun je boven twee methodes gebruiken om de pc's in een bepaald vlan te zetten, en vanaf dat standpunt je security regelen (access-list's etc)

Verwijderd schreef op 19 July 2003 @ 12:06:
De users staan in AD en worden op basis van Wachtwoord door de ISA server heen geleid.

Bovenstaande regel mag je wat uitleggen. Moet er eerst een vpn verbinding opgezet worden? Of hoe bedoel je door de ISA server heen geleid.

Tsja, je kunt het heel moeilijk maken.
En de opmerking van Brahiewahiewa slaat ook al op niets...

E.e.a. kan heel eenvoudig op basis van je DHCP server..., geef alleen adressen uit op basis van resevations. Maak dus geen gebruik van de automatische adresverdeling!
Nu nog het vinden van de MAC adressen op het netwerk en dat kan wel met een sniffer.
Exporteer de gegevens naar een .cvs bestand ofzo en importeer deze in de DHCP server.
Of zoek/maak een script die dat voor je doet.
Handmatig invoeren kan ook, maar kost een enorme berg tijd!!!

suc6!

Je kunt dus wel degelijk je mac adres veranderen op een NIC. mits het maar een goede A merk nic is. En als TS geen MAC beveiliging heeft zit je er gelijk op. Ook de andere replyers hebben groot gelijk om te willen sniffen wil je niet inloggen. Encryptie op het netwerk zou prioriteit 1 moeten zijn voor TS. Daarna overgaan op DHCP op basis van MAC address zou al goede stap in richting zijn. De meeste Wireless Lans zijn sowieso wegens verkeerde implementatie zo lek als een mandje.

Verwijderd schreef op 20 July 2003 @ 07:44:
[...]


ISA werkt op wachtwoord en gebruikers naam.
Dus een iemand die internet op wil. Komt bij de ISA (proxy en firewall) aan en dan vraagt de ISA server aan AD of hij met dat wachtwoord en gebruikers naam voorkomt in de lijst en dan laat de ISA server hem door of niet.

Ow, okee. Ik ken ISA, maar ik las dat ze eerst door de ISA moesten, voordat ze bij de server kunnen.
Bij draadloze verbindingen wordt vaak (niet vaak genoeg ) een firewall neergezet tussen de accesspoints en het interne netwerk.
Zodat de clients eerst een VPN moeten opzetten voordat ze het netwerk opkunnen.

Dit is sowieso een veiligere manier voor je wireless clients. Er wordt dan gebruik gemaakt van encryptie en authenticatie.
Je kan bijvoorbeeld een extra netwerkkaart in jullie ISA duwen, en deze configureren als "DMZ". En aan die netwerkkaart een switch plaatsen waar ook alle access points zitten en eventueel ook nog een DHCP-servertje.
Je kan de DHCP server dan idd alleen ip-adressen uitdelen op reservations.
(Of op die switch alleen de desbetreffende mac-adressen toegang geven)
En op de ISA kun je dan op basis van de bekende ip-adressen toegang verlenen tot VPN. (er is dan ook nog een username/wachtwoord nodig)

Dan hebben je clients dus een geldig username/wachtwoord en een bekend mac-adres nodig om het netwerk op te komen. Sniffen is dan ook een stuk lastiger, aangezien al het verkeer naar en van het netwerk encrypted is.

Mocht je mac-spoofing toch ook nog tegen willen gaan, dan moet je toch kijken naar 802.1X (wat ik hierboven ergens geschreven heb)

Verwijderd schreef op 20 juli 2003 @ 07:41:
[...]


Het is eigenlijk de bedoeling dat de gebruikers geen IP krijgen of in kunnen inloggen met hun usernaam en ww. Ik wil het netwerk helemaal niet beveiligen voor mensen die er niets te zoeken hebben. Het is alleen nodig om overzicht te houden. En dat niet iemand met een willekeurig laptop met Wlan op een account van iemand (vriend) kan internetten of gebruik kan maken van de share's op het netwerk.

zoals brahawieha al zei... je kijkt even naar een werkende mac en zit die in je laptop > netjes ipnummertje.