RSS Feed  •  Profil  •  Private Nachrichten  •  Registrieren  •  Login 
  
 
im Forum




Monat:    Jahr:    
Blog-Übersicht Gehe zu Seite Zurück  1, 2, 3, 4 ... 68, 69, 70  Weiter 
Dynamische VLANs mit FreeRADIUS und dem GS108Tv2
Verfasst am: 18.06.2016, 06:00   Autor: killerbees19
Netgear GS108Tv2
ACHTUNG: Dieser Beitrag wurde für FreeRADIUS v2.x geschrieben!

Für v3.x braucht es einige Anpassungen, die noch nicht enthalten sind.
Ob und wann dieser Beitrag überarbeitet wird, steht noch nicht fest… Sad

Im zweiten Teil der kleinen Blogserie rund um das Thema IEEE 802.1X geht es um die Möglichkeit VLANs über RADIUS dynamisch den einzelnen authentifizierten Switchports zuzuweisen. Die Grundkenntnisse wurden im ersten Beitrag vermittelt, dieser hier baut vollständig darauf auf. Man sollte den anderen somit unbedingt gelesen haben! Auch hier kommt wieder der GS108Tv2 von Netgear und ein FreeRADIUS-Server zum Einsatz. Ich gehe davon aus, dass EAP-TLS bereits erfolgreich läuft und nun um ein zusätzliches Feature erweitert werden soll.

Das Grundwissen über VLAN werde ich an dieser Stelle nicht vermitteln, das würde den Rahmen sprengen. Folgende Punkte sollten keine großen Fragezeichen auslösen:

  • Wie funktioniert ein VLAN?
  • Welche Rolle spielt der Switch dabei?
  • Was soll mit der Trennung erreicht werden?
  • Existiert ein gemeinsamer Router für Tagged VLANs?
  • oder alternativ: Existieren mehrere Router?

Wer diese Punkte nicht klar beantworten kann, sollte sich zuerst in die Thematik einlesen und dann entscheiden, ob ein VLAN wirklich notwendig ist...

Kommentare: 0


802.1X (EAP-TLS) mit FreeRADIUS auf dem GS108Tv2 nutzen
Verfasst am: 17.06.2016, 06:00   Autor: killerbees19
IEEE 802.1X
ACHTUNG: Dieser Beitrag wurde für FreeRADIUS v2.x geschrieben!

Für v3.x braucht es einige Anpassungen, die noch nicht enthalten sind.
Ob und wann dieser Beitrag überarbeitet wird, steht noch nicht fest… Sad

IEEE 802.1X, vielleicht auch besser bekannt in Zusammenhang mit EAP (Extensible Authentication Protocol), ist eine Möglichkeit, um für kabelgebundene Netzwerke (Ethernet) eine Authentifizierung zu verlangen. Für WLAN gibt es diese Möglichkeit ebenfalls, dort ist es meistens unter dem vielversprechenden Namen WPA2-Enterprise bekannt. Um letzteres geht es in diesem Beitrag noch nicht, dafür folgt im Laufe des Wochenendes ein zweiter und dritter Blogpost.

Normalerweise sind die typischen Heimnetzwerke, aber auch viele kleinere Firmennetzwerke, immer so aufgebaut, dass sich an der Netzwerkdose jeder anstecken kann. Ein normales Patchkabel reicht aus und schon ist man im Netzwerk und kann viel Unfug treiben. Das ist besonders gefährlich, wenn man nicht jeden Netzwerkanschluss im Blick hat, wodurch auch ein Spionagegerät schnell angestöpselt werden kann. In Zeiten von immer kleiner werdenden Mikrocomputern mit viel Rechenleistung und Speicherplatz eine echte Gefahr. Solche Ängste wären bei meinem Heimnetzwerk natürlich übertrieben. Aber auch hier gibt es reale Einsatzzwecke, die das Thema in den Fokus meiner Begierde rückten:

  • Absicherung ungenutzter Ports.
  • Dynamische Zuweisung von VLAN-IDs.
  • Standortunabhängiger Betrieb von Geräten.
  • Verschiedene VLANs für Multi-OS Geräte.
  • Und viele weitere Möglichkeiten…

Die Authentifizierung soll mittels EAP-TLS (X.509 Zertifikate) erfolgen. Zum Einsatz kommt ein GS108Tv2 von Netgear. Es handelt sich dabei um einen leistbaren Smart-Managed Switch aus der ProSAFE Reihe, der kaum Wünsche offen lässt. Er bietet 8 Ports und lässt sich auf Wunsch sogar mittels PoE in das Netzwerk integrieren. Mein erster dieser Switches ist bereits seit 2011 in Betrieb. In den damals typischen älteren Firmware Versionen (u.a. 5.0.x) wurde laut diversen Forenbeiträgen nur EAP-MD5 unterstützt, was mittlerweile als unsicher gilt und von aktuellen Windows Versionen auch nicht mehr unterstützt wird. Die aktuellste Firmware (5.4.x) unterstützt aber auch mein präferiertes EAP-TLS einwandfrei, wodurch einem Test im Jahr 2016 nichts mehr im Weg stand...

Kommentare: 1


Themenwochenende: IEEE 802.1X & EAP-TLS (LAN/WLAN)
Verfasst am: 16.06.2016, 06:00   Autor: killerbees19
Themenwochenende
ACHTUNG: Dieser Beitrag wurde für FreeRADIUS v2.x geschrieben!

Für v3.x braucht es einige Anpassungen, die noch nicht enthalten sind.
Ob und wann dieser Beitrag überarbeitet wird, steht noch nicht fest… Sad

Das kommende Wochenende steht ganz im Zeichen von IEEE 802.1X! Es handelt sich dabei um einen Standard zur Authentifizierung im Netzwerk. Ich werde in drei Beiträgen erklären, wie man das eigene Netzwerk absichert. Egal ob es sich dabei um ein privates Heimnetzwerk oder um ein kleines Firmennetzwerk handelt, die Tipps sollten für fast jeden brauchbar sein. EAP-TLS wird eine zentrale Rolle spielen, dabei werden normale X.509-Zertifikate verwendet. Als Software kommt FreeRADIUS zum Einsatz. Hardwareseitig wird ein GS108Tv2 von Netgear als Switch benutzt. Für den WLAN-Teil kann (fast) jeder OpenWrt-Router genutzt werden. Am Ende werden alle physikalischen Netzwerkports gegen unbefugtes Eindringen abgesichert sein und bekommen auf Wunsch sogar dynamisch ihre VLANs zugewiesen. Mit nur einem drahtlosen Netzwerk werden unterschiedliche Zugangsdaten dafür sorgen, dass auch hierbei eine dynamische Zuweisung der VLANs erfolgt.

Clientseitig werden Linux, Windows und Android behandelt. Serverseitig liegt der Schwerpunkt verständlicherweise bei Linux. Wer nicht alles davon braucht und manches überspringen möchte: Kein Problem, aber trotzdem sollte man alles lesen! Jeder Beitrag baut auf dem bereits vermittelten Wissen von vorher auf. Wenn man weiß, wie man SSH nutzt und mit den grundlegenden Linux Befehlen (cd, chmod, chown, mv, cp, nano/vi, …) vertraut ist, sollte das als Grundwissen ausreichend sein. Nachfolgend eine kurze Übersicht, welche Beiträge wann veröffentlicht werden: (ca. 65 kB Text und 4 MB Bilder sowie Screenshots)

  • Im ersten Teil am Freitag geht es einmal darum, einen FreeRADIUS-Server zu installieren und einzurichten. Danach wird der Switch für RADIUS vorbereitet und immer weiter konfiguriert. Am Ende sind bereits alle Ports mit EAP-TLS abgesichert. In diesem Beitrag werden bereits Linux und Windows Clients behandelt.
  • Teil zwei folgt am Samstag und beschäftigt sich mit dem Thema VLAN. Authentifizierte Switchports bekommen dynamisch ein VLAN zugewiesen, je nach angemeldetem User. Außerdem wird der Gastmodus behandelt, der ohne Authentifizierung eine (eingeschränkte) Nutzung ermöglicht, indem ein anderes VLAN aktiviert wird.
  • Der vorläufig letzte und dritte Teil am Sonntag beschäftigt sich mit drahtlosen Netzwerken, besser bekannt als WLAN oder WiFi. Am Ende wird es mit EAP-TLS abgesichert sein. Die dynamische Zuweisung in ein bestimmtes VLAN wird auch hier erklärt. Neben Linux und Windows spielt Android als Client eine weitere Rolle.


Kommentare: 0


Die CLIP-Anzeige der Fritz!Box am Xfce-Desktop
Verfasst am: 01.06.2016, 17:01   Autor: killerbees19
Vor einiger Zeit hatte ich Bedarf an einem kleinen Tool. Ich wollte direkt am Desktop sehen, wer mich anruft, ohne extra aufstehen oder mich verrenken zu müssen. Durch die Fritz!Box (in meinem Fall eine ältere 7170) ist das glücklicherweise sehr einfach möglich! Das Script wurde unter Xubuntu 15.10 getestet, es wird aber wahrscheinlich auch mit anderen Systemen funktionieren. Selbstverständlich kann das Script auch ohne Root-Rechte nur für den aktuellen Benutzer installiert werden, dafür müssen nur die Pfade angepasst werden. Das Script baut die Verbindung zur Fritz!Box nach spätestens 300 Sekunden Inaktivität erneut auf, weil meine Erfahrung gezeigt hat, dass ansonsten gerne einmal bei längst eingeschlafenen Verbindungen gelauscht wird, ohne dass man das mitbekommt. Bei Verbindungsfehlern findet nach jeweils 10 Sekunden ein neuer Versuch statt.

Zuerst müssen wir sicherstellen, dass der Callmonitor aktiviert ist. Das erreicht man durch die Eingabe des Tastencodes #96*5* auf einem der angeschlossenen Telefone. Danach lauscht auf dem TCP-Port 1012 ein neuer Dienst, der alle Telefonieaktionen der Fritz!Box in einem CSV-Format ausgibt. Damit unsere Benachrichtigungen auch optisch etwas hergeben...

Kommentare: 0


Nginx: Too many levels of symbolic links
Verfasst am: 10.05.2016, 18:52   Autor: killerbees19
Ich verwende bei Webprojekten sehr gerne Ordnerstrukturen wie z.B. die folgende:

Code:
drwxr-xr-x  w0000999  w0000999  0.10.3
drwxr-xr-x  w0000999  w0000999  0.10.4
drwxr-xr-x  w0000999  w0000999  0.10.5
lrwxrwxrwx  root      root      current -> 0.10.5
lrwxrwxrwx  w0000999  w0000999  public -> current/subdir


Das erleichtert die Nutzung fertiger Opensource-Scripte erheblich und ermöglicht ein leichteres Upgrade und Nachforschen bei Fehlern. Den Webserver lasse ich dann einfach auf den public-Symlink zeigen. Hin und wieder stolpere ich aber bei Nginx über folgende Fehlermeldung, bei der ich jedes Mal vergesse, wie leicht sie zu lösen ist:

Code:
[crit] 3830#0: *1 openat() "/dir/file.ext" failed (40: Too many levels of symbolic links)


Die Fehlermeldung ist hierbei leider wenig hilfreich. In Wirklichkeit beschwert er sich nämlich darüber, dass die Eigentümer von Symlink und Ziel nicht ident sind! Das habe ich bei der ersten Beispielausgabe auch absichtlich so drinnen gelassen. Ändert man den Eigentümer des Symlinks (chown -ch user:group <file>) funktioniert es wieder einwandfrei. Schuld daran ist die Direktive "disable_symlinks if_not_owner", die man immer nutzen sollte, wenn man symbolische Links nicht ganz deaktiviert...

Kommentare: 0


Seite 3 von 70 Gehe zu Seite Zurück  1, 2, 3, 4 ... 68, 69, 70  Weiter 

 

Alle Zeiten sind GMT + 2 Stunden (Sommerzeit)
Aktuelles Datum und Uhrzeit: 22.09.2018, 03:25
Nach oben
Valid HTML 4.01 Transitional
Valid CSS!

netcup - Internetdienstleistungen
 
 
[ happytec.at | forum.happytec.at | blog.happytec.at | esports.happytec.at | event.happytec.at ]