Av Jonas Hammarbäck

Översikt

För en tid sedan höll jag ett föredrag om hur autentisering fungerar och pratade om både 802.1x och MAC autentisering samt vad som skiljer olika 802.1x autentiseringsmetoder som EAP-TLS, EAP-TEAP och EAP-PEAP. Här följer ett kortare sammandrag av innehållet.

Autentiseringen sker i flera steg och bilden nedan beskriver de övergripande stegen. Initialt blockeras klienten från att komma åt nätet och autentiseringen utförs innan porten öppnas för nätverkstrafik.

En viktig punkt att komma ihåg vid felsökning av klienter som inte fungerar i nätet är att kontrollera om klienten gjort en lyckad autentisering i RADIUS servern. Har inte detta skett kommer flödet att avstanna, porten öppnas inte och klienten kan därmed inte heller få IP adress.

Det är inte helt ovanligt att felsökningen fokuseras på att ”datorn får inte IP adress”, när det i stället kanske är ett utgånget certifikat i datorn som gör att den inte godkänns.

Accounting Start och Interim Accounting är egentligen inte delar av autentiseringsprocessen, utan det är switchen som återrapporterar till RADIUS servern att den aktiverat klienten med Accounting Start. Därefter skickas löpande Interim Accounting meddelanden som talar om hur mycket data klienten skickar och tar emot.

MAC autentisering

Vid MAC autentisering är det inte klienten själv som kommunicerar med RADIUS servern, utan det är switchen som på klientens vägnar kontaktar RADIUS servern. MAC autentisering är en svag autentiseringsmekanism och ska om möjligt undvikas eftersom det är lätt att skicka valfri MAC adress.

RADIUS servern har antingen ett register på tillåtna MAC adresser eller använder sig av profileringsinformation som gör att RADIUS servern kan identifiera vilken typ av klient som ansluter. Till exempel accesspunkt eller videokonferenssystem.

Om 802.1x är konfigurerat på switchporten kommer i de flesta fall switchen börja med att skicka tre Identity Request paket till klienten. Detta för att initiera en 802.1x autentisering. Svarar inte klienten på dessa fortsätter den med att göra en MAC autentisering.

Detta gör att en MAC autentisering oftast tar längre tid i och med väntan på 802.1x.

Dessa parametrar kan konfigureras annorlunda men är för de flesta tillverkare standard.

Under MAC autentiseringen kommer RADIUS servern kontrollera att MAC adressen är godkänd. Antingen genom att kontrollera mot en intern databas eller lista eller genom att ställa frågan vidare till något annat system som har informationen. Används en RADIUS server som Aruba ClearPass som kan använda profileringsinformation kan enhetstypen identifieras och det går att sätta upp regler som tillåter samtliga enheter av en typ från en given tillverkare till exempel.

802.1x autentisering

Vid 802.1x autentisering kommunicerar klienten direkt med RADIUS servern där kommunikationen mellan klient och switch är protokollet EAP och switchen packar om detta till RADIUS som skickas till RADIUS servern. 802.1x har stöd för flera olika autentiseringsmetoder där EAP-TLS som är certifikatbaserad är en av de vanligaste. Tidigare vad även EAP-PEAP vanligt förekommande, men denna metod rekommenderas inte längre eftersom algoritmerna som används i denna metod är äldre och svagare samt att autentiseringen baseras på lösenord.

Vid EAP-TLS används i stället certifikat vilket höjer säkerheten samt förenklar för användaren. En ny autentiseringsmetod som Microsoft tagit fram är EAP-TEAP. Den är unik för Windows men värd att titta på i de miljöer där man önskar autentisera både dator och användare. Detta eftersom bägge autentiseringarna sker parallellt.

802.1x kan upplevs av många som komplicerat och svårt att förstå, delvis för att certifikat används vilket är ett område där många tekniker känner att de skulle behöva en djupare kunskap för att förstå.

Under 802.1x kommer först servern och sedan klienten skicka sina respektive certifikat till motparten som sedan utför en validering. När klienten tar emot RADIUS serverns certifikat har den ingen IP adress och kan därför inte genomföra en vanlig revokeringskontroll av servercertifikatet. I stället konfigureras klienten i förväg med vilket certifikat som ska vara godkänt för att genomföra EAP.

Om klienten inte accepterar RADIUS serverns certifikat, till exempel om klienten inte är korrekt konfigurerad, kommer den inte fortsätta processen och skicka sitt certifikat till RADIUS servern. Det kommer då medföra att RADIUS servern får en Timeout vilket kommer kunna ses i loggen.

Litar klienten på RADIUS serverns certifikat skickas klientcertifikatet och RADIUS servern validerar certifikatet. Utöver valideringen av certifikatet sker ofta en auktorisation av klienten genom att söka efter identiteten i certifikatet i Active Directory, Entra ID, Intune eller någon annan källa för information om enheten eller användaren. Information som kan hämtas är kontostatus, gruppmedlemskap etc. Dessa ytterligare upplysningar används sedan i RADIUS serverns regelverk för att avgöra om klienten ska tilldelas access och vilken access som ska tilldelas.

Inspelning av föredraget

I det inspelade föredraget går jag även igenom lite om MPSK, hur klientkonfigurationen ska göras för 802.1x samt en del om de olika stegen som sker på switchen om Downloadable User Roles skickas från ClearPass till switchen. Föredraget finns inspelat och tillgängligt på denna länk: