Gestern haben wir mal wieder einen Tag ins Projekt investiert und ich muss sagen, dass einiges weitergangen is. Im Projekt geht es um Network Admission Control von Cisco, wie man es umgehen kann und Gegenmaßnahmen für die Umgehung.
Gestern war VMWare mit Bridge und NAT an der Reihe. Dh. auf einem Client, welcher sich legitim im Netzwerk befindet (Zustand Healthy oder Quarantine) wurde ein VMWare Server installiert und darin ein nicht legitimer XP Client installiert, welcher nicht compliant ist.
Im Anschluß wurden die Methoden NAC-L2-IP und NAC-L2-802.1x getestet. Jeweils einmal mit Bridging und jeweils einmal mit NAT Einstellungen in der VMWare.
Bei NAC-L2-802.1x funktionierten ohne Schutzmaßnahmen beide Varianten. Das heißt sowohl bei NAT als auch bei Bridge hat der virtuelle Client dieselben Zugriffsrechte wie der darunterliegende Host. Verhindern kann man das Ganze (außer NAT) allerdings mit aktivierter Port-Security am Switch. Man muss nur konfigurieren, dass nur eine MAC Adresse zulässig ist. Das wechseln der Zustände, von healthy auf quarantine und umgekehrt, muss allerdings am virtuellen Client händisch gemacht werden. Also einfach die Netzwerkverbindung deaktivieren und wieder aktivieren.
Bei NAC-L2-IP funktioniert der Bridge Mode nicht, da hierbei ja jeder gefundene Client eine IP bekommt und anschließend geprüft wird. Da also unser virtueller Client separat geprüft wird und nicht compliant ist, bekommt er auch keinen Zugang. Anders ist es bei NAT, hier bekommt er wieder dieselben Rechte wie der Hostclient. Port-Security bringt in dem Fall nichts, da Bridge ohnedies nicht funktioniert und bei NAT ja eh nur eine MAC Adresse sichtbar ist für den Switch.
Mehr Informationen dann in der Doku, dem dazugehörigen Paper oder bei mir.
Abonnieren
Kommentare zum Post (Atom)
Keine Kommentare:
Kommentar veröffentlichen