Discussion:
controllo accesso LAN
(too old to reply)
caio
2008-12-14 00:49:05 UTC
Permalink
Salve a tutti,
avrei bisogno di un consiglio per l'ambito controllo degli accessi in
LAN: volendo consentire l'accesso alla rete solo a determinati client,
ed avendo a disposizione un HP procurve 2600 che gestisce il traffico
interno di rete proveniente da client collegati direttamente ad esso,
quale potrebbe essere la soluzione migliore?
Ovviamente la prima soluzione che mi viene in mente è di utilizzare una
whitelist su MAC address dei client che si vogliono abilitare, ma ciò
potrebbe essere un problema nel caso in cui avessi postazioni mobili che
si connettono in diverse locazioni, poichè pare che la whitelist
consenta solo l'abilitazione di 8 MAC per porta e che a fronte di
un'intrusione rilevata si possa solo bloccare tutto il traffico
proveniente da quella porta, per non parlare della scarsa flessibilità
per l'aggiornamento dei MAC address.
Una soluzione alternativa, che in caso di autenticazione richiesta (ma
non obbligatoria) si appoggi magari anche ad active directory, quale
potrebbe essere? Radius?

Buona serata
Fabio

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Emanuele Pucciarelli
2008-12-14 12:55:20 UTC
Permalink
Post by caio
Salve a tutti,
avrei bisogno di un consiglio per l'ambito controllo degli accessi in
LAN: volendo consentire l'accesso alla rete solo a determinati client,
ed avendo a disposizione un HP procurve 2600 che gestisce il traffico
interno di rete proveniente da client collegati direttamente ad esso,
quale potrebbe essere la soluzione migliore?
Il fatto che tu dica in seguito "al massimo 8 client" mi fa supporre
che i client non siano collegati direttamente al ProCurve 2600, ma che
ci sia qualche altro dispositivo in mezzo. È chiaro che se hai uno
switch unmanaged tra un gruppo di client ed il ProCurve, allora quei
client potranno parlare comunque liberamente tra di loro e nulla
impedirà che un client B non autorizzato configuri il MAC address di
un client A autorizzato e acceda tranquillamente.

Potresti usare 802.1x per tutte le porte e configurare un server
Radius per accettare certi MAC address indipendentemente dalle
credenziali di autenticazione, ma non con il 2600. Se capisco bene, il
2600 gestisce solo l'autenticazione port-based e non quella client-
based (come i 2510), quindi una volta che un client si è fatto
autenticare ed autorizzare, tutti i client collegati alla stessa porta
sono liberi di usarla, senza dover fare nessun MAC spoofing. Nota che
anche i dispositivi con autenticazione client-based hanno dei limiti
sul numero di client che possono autenticarsi su ciascuna singola porta.

Con un altro switch, quindi, potresti usare 802.1x + Radius,
configurando il server Radius perché autorizzi alcuni MAC address
senza alcun ulteriore protocollo di autenticazione. Non so se si possa
anche evitare, su certi SO, la comparsa di una interfaccia utente che
chieda le credenziali, o se si debba comunque accettarla (e dire agli
utenti che lascino vuota la maschera e vadano avanti).

Un'altra soluzione sarebbe qualcosa come un captive portal, ad es.
CoovaChilli, ma risolverebbe solo il problema dell'accesso oltre il
punto controllato, non il problema dell'accesso alla LAN!

Ciao,
--
Emanuele________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
caio
2008-12-15 00:41:28 UTC
Permalink
Post by Emanuele Pucciarelli
Il fatto che tu dica in seguito "al massimo 8 client" mi fa supporre
che i client non siano collegati direttamente al ProCurve 2600, ma che
ci sia qualche altro dispositivo in mezzo. È chiaro che se hai uno
switch unmanaged tra un gruppo di client ed il ProCurve, allora quei
client potranno parlare comunque liberamente tra di loro e nulla
impedirà che un client B non autorizzato configuri il MAC address di
un client A autorizzato e acceda tranquillamente.
Effettivamente lo scenario che si era delineato inizialmente era di
poter avere collegamento a cascata di altri apparati di rete sulle porte
del Pocurve, ma come giustamente fai notare è chiaro che tutti i client
collegati ai sotto-apparati (se unmanaged) possano vedersi tra loro.
Tuttavia posso momentaneamente escludere questo scenario e considerare
ogni client collegato direttamente ad una porta sul Procurve.
Post by Emanuele Pucciarelli
Potresti usare 802.1x per tutte le porte e configurare un server
Radius per accettare certi MAC address indipendentemente dalle
credenziali di autenticazione, ma non con il 2600. Se capisco bene, il
2600 gestisce solo l'autenticazione port-based e non quella
client-based (come i 2510), quindi una volta che un client si è fatto
autenticare ed autorizzare, tutti i client collegati alla stessa porta
sono liberi di usarla, senza dover fare nessun MAC spoofing. Nota che
anche i dispositivi con autenticazione client-based hanno dei limiti
sul numero di client che possono autenticarsi su ciascuna singola porta.
Con un altro switch, quindi, potresti usare 802.1x + Radius,
configurando il server Radius perché autorizzi alcuni MAC address
senza alcun ulteriore protocollo di autenticazione. Non so se si possa
anche evitare, su certi SO, la comparsa di una interfaccia utente che
chieda le credenziali, o se si debba comunque accettarla (e dire agli
utenti che lascino vuota la maschera e vadano avanti).
Da quel che ho visto il Procurve (in particolare si tratta del 2650)
consente l'autenticazione 802.1x sia con Radius che con una lista locale
di utenti abilitati.
Nella mia situazione, volendo abilitare solo gli utenti accreditati al
dominio (A.D.) anche per l'accesso alla LAN, l'ideale sarebbe utilizzare
Radius in modo da interrogare l'albero dell'Active Directory.
Mi pare che in questo caso la soluzione da utilizzare sia configurare
Radius sul server Windows utilizzando l'IAC (Internet Authentication
Service).

Questa soluzione tra l'altro mi pare essere più comoda di quella basata
su liste di MAC address, poichè molto più flessibile (non devo mantenere
le liste), e non dovrebbe soffrire di attacchi basati su ARP Spoofing
(ettercap?).
Per come funziona l'abilitazione della porta (ma qui potrei sbagliarmi)
immagino che il Procurve si tenga una lista temporanea di "MAC Address
<-> porte sullo switch" abilitati in modo da sapere chi è stato
autenticato con successo e può accedere alla rete. Se fosse così il
meccanismo potrebbe soffrire ad attacchi di tipo MAC spoofing, ma non ne
Post by Emanuele Pucciarelli
If you then connect an 802.1x-aware client (supplicant) to the port and
1. When the switch detects the client on the port, it blocks access to
the LAN
from that port.
2. The switch responds with an identity request.
3. The client responds with a user name that uniquely defines this request
for the client.
• If 802.1x (port-access) on the switch is configured for RADIUS
authentication, the switch then forwards the request to a RADIUS
server.
i. The server responds with an access challenge which the switch
forwards to the client.
ii. The client then provides identifying credentials (such as a user
certificate), which the switch forwards to the RADIUS server.
iii. The RADIUS server then checks the credentials provided by the
client.
iv. If the client is successfully authenticated and authorzed to connect
to the network, then the server notifies the switch to allow
access to the client. Otherwise, access is denied and the port
remains blocked.
un altro problema potrebbe dipendere dalla necessità di installare un
client software su tutti i dispositivi che necessitino di accesso alla
rete, ma per questa parte non so ancora quali siano i software necessari
nè se vi sia qualcosa di integrato in windows.
L'ideale sarebbe poter sfruttare la stessa autenticazione al sistema
operativo del client (Windows) per effettuare anche l'autenticazione a
livello di rete e la conseguente abilitazione della porta sullo switch,
visto che le credenziali sarebbero le stesse.

Qualcuno ha per caso la più pallida idea se sia possibile fare una cosa
del genere?
Post by Emanuele Pucciarelli
Un'altra soluzione sarebbe qualcosa come un captive portal, ad es.
CoovaChilli, ma risolverebbe solo il problema dell'accesso oltre il
punto controllato, non il problema dell'accesso alla LAN!
Purtroppo non potrei utilizzarla poichè quello di cui ho bisogno è il
controllo dell'accesso alla rete indipendentemente dai dispositivi
collegativi.
Post by Emanuele Pucciarelli
Ciao,
ciao e grazie
Emanuele Pucciarelli
2008-12-15 17:19:00 UTC
Permalink
Post by caio
Effettivamente lo scenario che si era delineato inizialmente era di
poter avere collegamento a cascata di altri apparati di rete sulle
porte del Pocurve, ma come giustamente fai notare è chiaro che tutti
i client collegati ai sotto-apparati (se unmanaged) possano vedersi
tra loro. Tuttavia posso momentaneamente escludere questo scenario e
considerare ogni client collegato direttamente ad una porta sul
Procurve.
Ok; teniamo questo ultimo scenario come ipotesi di lavoro…
Post by caio
Da quel che ho visto il Procurve (in particolare si tratta del 2650)
consente l'autenticazione 802.1x sia con Radius che con una lista
locale di utenti abilitati.
Esattamente!
Post by caio
Nella mia situazione, volendo abilitare solo gli utenti accreditati
al dominio (A.D.) anche per l'accesso alla LAN, l'ideale sarebbe
utilizzare Radius in modo da interrogare l'albero dell'Active
Directory.
Questo puoi farlo tranquillamente! Non so quale sia il server Radius
più adatto allo scopo (io ho solo esperienza con Freeradius, che parla
anche ad Active Directory); in ogni caso, se non erro, i client
potranno autenticarsi usando MSCHAPv2.
Post by caio
Questa soluzione tra l'altro mi pare essere più comoda di quella
basata su liste di MAC address, poichè molto più flessibile (non
devo mantenere le liste), e non dovrebbe soffrire di attacchi basati
su ARP Spoofing (ettercap?).
Per come funziona l'abilitazione della porta (ma qui potrei
sbagliarmi) immagino che il Procurve si tenga una lista temporanea
di "MAC Address <-> porte sullo switch" abilitati in modo da sapere
chi è stato autenticato con successo e può accedere alla rete. Se
fosse così il meccanismo potrebbe soffrire ad attacchi di tipo MAC
spoofing, ma non ne ho la certezza, la documentazione non è chiara a
Questo è il punto dolente. Non ho usato direttamente un 2650, ma posso
dirti che la documentazione del 2510 illustra esplicitamente la
differenza tra port-based authentication e client-based
authentication. Nel primo caso un'autenticazione 802.1x che va a buon
fine abilita l'intera porta al traffico; nel secondo, abilita
solamente quello specifico MAC address su quella porta.

Credo che questo significhi che con la port-based authentication,
appena qualcuno si autentica con successo, tutti i client collegati su
quella porta possono passare; con la client-based, soltanto il MAC
address che si è autenticato.

Sotto l'ipotesi che abbiamo formulato, questo è ininfluente ed è
comunque impossibile, da una delle porte protette, falsificare il MAC;
o meglio, anche volendo inviare un MAC fasullo, questo MAC verrà
associato alle credenziali di autenticazione.
Post by caio
un altro problema potrebbe dipendere dalla necessità di installare
un client software su tutti i dispositivi che necessitino di accesso
alla rete, ma per questa parte non so ancora quali siano i software
necessari nè se vi sia qualcosa di integrato in windows.
Windows ce l'ha incorporato. Almeno da XP in poi, ma suppongo anche su
alcune versioni precedenti.
Post by caio
L'ideale sarebbe poter sfruttare la stessa autenticazione al sistema
operativo del client (Windows) per effettuare anche l'autenticazione
a livello di rete e la conseguente abilitazione della porta sullo
switch, visto che le credenziali sarebbero le stesse.
Di default Windows fa proprio questo :) (usa le credenziali del
dominio!)
Ciao,
--
Emanuele
Massimo Baschieri
2008-12-16 05:46:41 UTC
Permalink
Post by caio
Qualcuno ha per caso la più pallida idea se sia possibile fare una cosa
del genere?
Più o meno pronti all'uso ormai i supplicant 802.1x sono presenti in tutti i sistemi operativi moderni, nel caso di windows xp professional, ad esempio, è presente almeno da SP1, ma in funzione del service pack installato potresti ritrovarti a dover attivare il servizio relativo per poterlo utilizzare sulle schede wired.
Se non vado errato il servizio si chiama "Configurazione automatica reti cablate".
Se intendi utilizzare le stesse credenziali del dominio per l'accesso alla rete il client è praticamente pronto all'uso con poche o anche nessuna modifica alla configurazione, dipende dal sistema di autenticazione che intendi utilizzare.

Ciao,
Massimo.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Marco Gaiarin
2009-01-09 14:40:56 UTC
Permalink
Mandi! Massimo Baschieri
In chel dì si favelave...

MB> Se intendi utilizzare le stesse credenziali del dominio per l'accesso alla rete il client Ú praticamente pronto all'uso con poche o anche nessuna modifica alla configurazione, dipende dal sistema di autenticazione che intendi utilizzare.

...lo uso su reti wireless, ma alla fin fine l'approccio Ú lo stesso, e
confermo che funziona abbastanza trasparentemente.

L'unico problema, e non Ú da poco: siccome l'autenticazione Ú
user-based, la cosa confligge abbastanza brutalmente con i roaming
profile, visto che l'autenticazione avviene *dopo* che Ú iniziata la
fase di caricamento del roaming profile e la deautenticazione avviene
prima che questo venga salvato.

In wireless probabilmente i tempi sono più lunghi e non c'Ú modo di
usare i profili, in rete si trova un po' di tutto e quindi questo
comportamento potrebbe essere randomico.
--
...il ponte di Messina unirà «non due coste ma due cosche»
Domenico Viggiani
2009-01-11 09:11:50 UTC
Permalink
L'unico problema, e non è da poco: siccome l'autenticazione è
user-based, la cosa confligge abbastanza brutalmente con i
roaming profile, visto che l'autenticazione avviene *dopo*
che è iniziata la fase di caricamento del roaming profile e
la deautenticazione avviene prima che questo venga salvato.
E' possibile attivare la "machine authentication" con o senza successiva
"user authentication". Bisogna cercare su Google, ho perso i riferimenti ma
l'ho realizzato io quindi è certo.

--
Domenico Viggiani

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Marco Gaiarin
2009-02-19 15:18:12 UTC
Permalink
Mandi! Domenico Viggiani
In chel dì si favelave...

Scusa, riprendo un vecchio post a pro di google.

DV> E' possibile attivare la "machine authentication" con o senza successiva
DV> "user authentication". Bisogna cercare su Google, ho perso i riferimenti ma
DV> l'ho realizzato io quindi Ú certo.

Confermo.

Partendo dal vecchissimo post:

https://lists.freeradius.org/pipermail/freeradius-users/2005-October/msg00437.html

basta applicare paro-paro la configurazione di ntlm_auth riportata li,
tutto quelo che serve (ovvero in samba/ntlm_auth il supporto
all'autenticazione macchina; in freeradius la possibilità di
pasticciare con il nome utente inviato di modo che possa essere dato in
pasto a ntlm_auth) Ú già incluso in distribuzioni sufficientemente
moderne, io ho usato una debian etch (per la cronaca).
--
Consolatevi! Sul sito http://www.sorryeverybody.com migliaia di americani
chiedono scusa al mondo per la rielezione di Bush. (da Cacao Elefante)
Antonello Cairo
2009-02-27 11:29:13 UTC
Permalink
Un caro saluto a tutti i membri della ml,
ho un problema che mi sta rubando molto tempo.
Ho tirato su un sistema di autenticazione centralizzato basato su IAS e
Active Directory Microsoft. Devo caricare gli utenti da DB ORACLE e SQL
Server.
Come fare ad esportare i dati dai DB verso Active Directory?
Ho provato il pacchetto ILM Microsoft ma c'è pochissima documentazione in
giro !
Avete qualche suggerimento?

Grazie fin da ora.
Antonello.

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Gabriele Scolaro
2009-03-03 20:05:38 UTC
Permalink
-----Original Message-----
Behalf Of Antonello Cairo
Sent: venerdì 27 febbraio 2009 12.29
Subject: [ml] Sistema di Autenticazione: Active Directory + IAS radius.
Importazione Utenti ?
Un caro saluto a tutti i membri della ml,
ho un problema che mi sta rubando molto tempo.
Ho tirato su un sistema di autenticazione centralizzato basato su IAS e
Active Directory Microsoft. Devo caricare gli utenti da DB ORACLE e SQL
Server.
Come fare ad esportare i dati dai DB verso Active Directory?
Ho provato il pacchetto ILM Microsoft ma c'è pochissima documentazione in
giro !
Avete qualche suggerimento?
Per fare import/export di oggetti in AD puoi usare ldifde.exe (fai un export
per capire il formato), ma se citi ILM credo che tu voglia un
"sincronizzatore"....

Ciao - Gabriele.

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Iceman
2009-03-08 17:32:20 UTC
Permalink
Post by Gabriele Scolaro
Per fare import/export di oggetti in AD puoi usare ldifde.exe (fai un export
per capire il formato), ma se citi ILM credo che tu voglia un
"sincronizzatore"....
Ciao - Gabriele.
Ciao,

Beh, LDIFDE Ú più indicato per fare il clear o la modifica degli
attributi, mentre per l'inserimento e la cancellazione massiva di
utenti in AD Ú consigliabile usare CSVDE; esporti quindi i dati dal DB
in formato CSV e li dai in pasto al comando... ;-)
--
Santino Nocera
Security Engineer @ Telecom Italia
& Co-Founder Losis Community
http://www.losis.org
Gabriele Scolaro
2009-03-09 18:09:29 UTC
Permalink
-----Original Message-----
Behalf Of Iceman
Sent: domenica 8 marzo 2009 18.32
Subject: Re: [ml] Sistema di Autenticazione: Active Directory + IAS
radius. Importazione Utenti ?
Post by Gabriele Scolaro
Per fare import/export di oggetti in AD puoi usare ldifde.exe (fai
un
Post by Gabriele Scolaro
export per capire il formato), ma se citi ILM credo che tu voglia un
"sincronizzatore"....
Ciao - Gabriele.
Ciao,
Beh, LDIFDE Ú più indicato per fare il clear o la modifica degli
attributi, mentre per l'inserimento e la cancellazione massiva di
utenti in AD Ú consigliabile usare CSVDE; esporti quindi i dati dal DB
in formato CSV e li dai in pasto al comando... ;-)
Dato che l'OP era circa l'import da DB Oracle/SQL verso AD con ipotesi di utilizzare (addirittura!) ILM, ho avuto la sensazione che il nostro amico avesse necessità di "aggiornare" i dati importati in AD periodicamente, quindi ho pensato fosse meglio ldifde dato che una volta che le password degli utenti sono impostate i successivi update devono essere eseguiti in "changetype: modify" (assumento che le password siano usate e non altri mezzi tipi X509).

Inoltre a me risulta (potrei certamente sbagliare) che sia LDIFDE a supportare la cancellazione massiva ("changetype: delete") e non CSVDE che può solo creare oggetti.

CSVDE Ú certamente comodo per l'editing in Excel & co. ad esempio per creare ambienti di test velocemente o semplici bulk import.
Io cerco sempre di usare ldifde e ne consiglio l'uso dato che Ú più potente/flessibile ed ha un formato directory stardard (LDIF per l'appunto).

Ciao - Gabriele.
Iceman
2009-03-11 18:48:44 UTC
Permalink
Post by Gabriele Scolaro
Dato che l'OP era circa l'import da DB Oracle/SQL verso AD con ipotesi di utilizzare (addirittura!) ILM, ho avuto la sensazione che il nostro amico avesse necessità di "aggiornare" i dati importati in AD periodicamente,
quindi ho pensato fosse meglio ldifde dato che una volta che le
password degli utenti sono impostate i successivi update devono essere
eseguiti in "changetype: modify" (assumento che le password siano
usate e non altri mezzi tipi X509).

Si, come giaì detto, per la modifica degli attributi Ú necessario usare LDIFDE.
Post by Gabriele Scolaro
Inoltre a me risulta (potrei certamente sbagliare) che sia LDIFDE a supportare la cancellazione massiva ("changetype: delete") e non CSVDE che può solo creare oggetti.
Anche CSVDE supporta la cancellazione, solo la modifica degli
attributi non Ú concessa.
Post by Gabriele Scolaro
CSVDE Ú certamente comodo per l'editing in Excel & co. ad esempio per creare ambienti di test velocemente o semplici bulk import.
Dipende dall'uso che ne devi fare. Io mi troverei meglio con CSVDE,
nel caso del nostro amico...:-)

Ciao! ;-)
--
Santino Nocera
Security Engineer @ Telecom Italia
& Co-Founder Losis Community
http://www.losis.org
MC
2009-03-09 09:40:40 UTC
Permalink
Post by Antonello Cairo
Come fare ad esportare i dati dai DB verso Active Directory?
Ho provato il pacchetto ILM Microsoft ma c'è pochissima documentazione
ILM è u software di identity management che tra le altre cose può utilizzare
un DB Oracle come sorgente dati (esiste un connettore compatibile dalla
versione 8). Tuttavia mettere in piedi un ILM per effettuare un travaso di
dati da un DB ad A/D forse è un po' troppo. Nel tuo caso è in effetti meglio
utilizzare comandi di import come ldifde a meno che tu non voglia rendere
continuo il flusso tra Oracle e A/D.

Saluti,
M.

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Marco Vanino
2009-03-12 14:43:38 UTC
Permalink
Post by Antonello Cairo
Un caro saluto a tutti i membri della ml,
ho un problema che mi sta rubando molto tempo.
Ho tirato su un sistema di autenticazione centralizzato basato su IAS e
Active Directory Microsoft. Devo caricare gli utenti da DB ORACLE e SQL
Server.
Come fare ad esportare i dati dai DB verso Active Directory?
Ho provato il pacchetto ILM Microsoft ma c'è pochissima documentazione in
giro !
Avete qualche suggerimento?
Grazie fin da ora.
Antonello.
Script con dsadd?

http://support.microsoft.com/kb/322684
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Domenico Viggiani
2008-12-15 10:18:59 UTC
Permalink
Post by caio
volendo consentire l'accesso alla rete solo a
determinati client, ed avendo a disposizione un HP procurve 2600
che gestisce il traffico interno di rete proveniente da client collegati
direttamente ad esso,
quale potrebbe essere la soluzione migliore?
802.1x
È chiaro che se hai uno switch unmanaged
Il 2600 è "managed"
Potresti usare 802.1x per tutte le porte
...
ma non con il 2600.
Vd. sopra.
e configurare un
server Radius per accettare certi MAC address
Meglio credenziali (user/pwd o certificato)
Non so se si possa anche evitare, su certi SO, la comparsa di
una interfaccia utente che chieda le credenziali, o se si
debba comunque accettarla (e dire agli utenti che lascino
vuota la maschera e vadano avanti).
Si può evitare con Windows, impostando le cose in un certo modo...

Ciao
--
Domenico Viggiani

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Marco Misitano
2008-12-14 12:31:57 UTC
Permalink
Post by caio
quale potrebbe essere la soluzione migliore?
802.1x ?


--
marco misitano / http://misitano.com / sent from PDA
Michelangelo Bottura
2008-12-14 11:14:40 UTC
Permalink
On Sun, Dec 14, 2008 at 01:49, caio <***@libero.it> wrote:
[...]
Post by caio
Una soluzione alternativa, che in caso di autenticazione richiesta (ma
non obbligatoria) si appoggi magari anche ad active directory, quale
potrebbe essere? Radius?
Autenticazione 802.1x attivata su ogni porta che ti interessa, con
server Radius per l'autenticazione. Questa soluzione è indipendente
dal MAC, l'autenticazione puo' essere riferita all'utente o alla
macchina.
Deve essere supportata dallo switch (e mi pare che la serie 2600 la supporti)

Mic.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Continue reading on narkive:
Loading...