Questions sur 802.1x réseau filaire (switch Cisco)

Questions sur 802.1x réseau filaire (switch Cisco) - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 07-09-2009 à 17:22:15    

Bonjour,
 
Je souhaite empêcher que n'importe qui connecte son portable sur le réseau de l'entreprise.
Avec la prolifération des netbook à 199€, tout le monde en a un !!!  ;)  
 
Materiel : switch Cisco 2960 et Radius Microsoft (IAS) ou FreeRadius s'il faut, poste telephonique IP et PC sur la même prise (voice vlan ...).
 
J'ai un peu testé 802.1x et pour le peu que j'ai essayé, je trouve que c'est assez contraignant à mettre en place et surtout contraignant pour l'utilisateur :
Attente pour accès au réseau plus longue, authent. après ouverture de session, prob de GPO et scripts d'ouverture de session etc ....
Je sais pas si des paramétrages optimisés auraient résolu les problèmes mais globalement mes recherches sur Internet indiquent que la couche cliente 802.1x de Windows (XP) est très peu évoluée et cela engendre pas mal de limitations.
 
Me concernant un simple filtrage par adresse mac avec authent sur un Radius me suffit, je me protège de l'utilisateur "de base".
 
Je ne souhaite pas investir dans des technologies couteuses, sur le papier 802.1x et un radius me suffisent, mais en pratique ça semble contraignant.
 
Est ce vraiment le cas ? Qu'utilisez-vous ? En pratique, est ce vraiment une bonne idée le 802.1x sur réseau filaire ? Et le filtrage d'adresse mac ?
 
Tout conseil ou expérience m'intéressent !
 
Merci.


Message édité par supernina le 08-09-2009 à 15:22:16
Reply

Marsh Posté le 07-09-2009 à 17:22:15   

Reply

Marsh Posté le 07-09-2009 à 17:54:46    

J'ai pas testé dans la pratique (et je le regrette), mais je te conseille de faire tes tests avec un autre supplicant que celui de MS
Il en existe des gratuits ou payant (cisco, juniper etc). Je pense que tu devrais t'en sortir sans soucis avec le bon produit ;)


---------------
Jujudu44
Reply

Marsh Posté le 08-09-2009 à 15:21:40    

Bon finalement j'ai réussi a faire l'authent avec IAS, le script d'ouverture de session fonctionne, tout semble ok, etc ... lorsque seul le PC est connecté au port du switch.
 
Maintenant le problème c'est la ToIP car les PC sont connectés via le téléphone IP. Des téléphones qualifiés de "NON CISCO IP PHONE" par CISCO lui même !
 
Avec un IPPhone Cisco, le voice vlan permet avec CDP au téléphone d'éviter l'authent 802.1x. Tjrs selon Cisco, pour des téléphones non Cisco il faut utiliser MAB (Mac Authent Bypass), cad l'authent du tel avec son adresse mac (si j'ai bien compris) et donc avoir une base avec les adresse mac :'( . Je sais même pas encore s'il faut aussi utiliser MDA (Multi Domain Authentication).
 
Qqu'un peut confirmer que c'est hélas la seule façon ? Qques pistes ou conseils ?
 
Merci

Reply

Marsh Posté le 11-09-2009 à 18:38:35    

le MAB ya pas que pour les téléphones ....
 
 
je suis dans une logique 1 port = 1 periphérique
 
le but du 802.1x est dans mon cas d'affecter le bon numéro de vlan en fonction du type de périphérique.  
l'autre objectif est de n'avoir que des ports banalisés sur les distribution pour faciliter la vie des techniciens.
 
 
J'authentifie le materiel et non pas les utilisateurs pour l'accès "physique" au réseau.
 
 
Seul soucis les imprimantes non 802.1x, un vieux mac en 10.4 et quelques reliques (vieux copieurs, vieux scanner) ... sinon 802.1x couplé à AD & Radius ... nickel !

Reply

Marsh Posté le 11-09-2009 à 19:21:19    

y a une préco officielle avec les confs qui vont biens pour faire du 802.1x avec un PC au cul d'un téléphone non cisco, faut que je retrouve ça...


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 11-09-2009 à 21:48:24    

Si t'as un topo complet incluant LLDP-MED, 802.1X avec affectation dynamique de VLAN je suis preneur (et pour bien faire les choses on authentifie le PC et le poste IP séparément).
Oui je sais je suis chiant mais c'est plus simple si c'est toi qui cherche la doc :D
 
Grosso modo le full zero conf, le commut et le poste IP se configurent tout seul comme des grands sans intervention du techos. Je sais que c'est techniquement realisable, mais un bon vieux howto c'est tjs sympa ^^


Message édité par jujudu44 le 11-09-2009 à 21:49:57

---------------
Jujudu44
Reply

Marsh Posté le 12-09-2009 à 07:12:32    

alors là je garantis rien :D je sais que j'étais tombé sur un topo "comment faire du 802.1x quand on a un pc au cul d'un téléphone pas cisco" mais c'était dans une prézo networkers, maintenant laquelle... ? je fouillerai dans mes archives


Message édité par dreamer18 le 12-09-2009 à 07:12:50

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 12-09-2009 à 08:03:31    

bon a priori faut faire du MDA (multi domain authentication) mais c'est supporté que sur les 3xxx (12.2.35 SEE) 4500 et 6500. J'ai un slide un peu ambigüe donc je te dirai bien de tester une 12.2.50 dans ton 2960 ça fonctionnera peut-être :)


Message édité par dreamer18 le 12-09-2009 à 08:06:24

---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 12-09-2009 à 14:27:38    

C'est meme certain. Pour authentifier separement le PC et le poste IP, MDA obligatoire et effectivement c'est pas avec du 2960 qu'on le fera.
J'avais posé la question l'année derniere lors d'un club SE et la réponse avait ete claire. Je serais étonné qu'ils aient changé leur fusil d'épaule depuis.
Concernant l'affectation de vlan dynamique je suppose que dans la réponse le radius peut préciser si le VLAN doit etre tag ou non...? Sinon j'ai du mal a voir comment ca va marcher.


---------------
Jujudu44
Reply

Marsh Posté le 12-09-2009 à 17:04:53    

ça par contre j'en sais rien :D


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 12-09-2009 à 17:04:53   

Reply

Marsh Posté le 14-09-2009 à 09:21:17    

Cisco IOS Software Release 12.2(46)SE for Cisco Catalyst 3750-E, 3560-E, 3750, 3560, 2960, and Cisco Catalyst Blade Switch Series
 
Multi Domain Authentication (MDA) for Cisco Catalyst 2960: MDA is an essential feature for voice deployments, allowing the phone and PC to authenticate separately on to the network. MDA is now supported on the Cisco Catalyst 2960 platform.
 
http://www.cisco.com/en/US/prod/co [...] 93554.html
 
 
Selon vous, est ce que mes 2960 peuvent faire du MDA avec cet IOS ??? Et authentifier séparément IPPhone et PC ???
 
 
Sh ver sur qqs un de mes switch :  
 
Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(35)SE5, RELEASE SOFTWARE (fc1)
Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(44)SE1, RELEASE SOFTWARE (fc1)
 
Merci  :bounce:  
 

Reply

Marsh Posté le 14-09-2009 à 15:27:53    

Ouh bien ! Cisco avance dans la bonne direction, c'est une nouvelle positive :)


---------------
Jujudu44
Reply

Marsh Posté le 14-09-2009 à 15:43:46    

Oui car seuls les riches peuvent mettre des 3750 à l'accès !!
Surtout que les riches ont 2 prises par poste !!

Reply

Marsh Posté le 14-09-2009 à 18:11:05    

Le 3560 pouvait le faire et c'est deja moins cher ;)
Maintenant t'as pas le stack ring sur du 3560.
Mais bon je prefere encore un 45xx que du 3750 empilé (question de gout) et c'est moins cher.


---------------
Jujudu44
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed