Sécurisation Lan par 802.1x

Sécurisation Lan par 802.1x - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 23-02-2010 à 11:16:13    

Bonjour
 
J'essaye de sécuriser un Lan en mettant en place le 802.1X.
Le principe est de ne pas avoir de réseau tant que la machine n'est pas authentifiée.
Pour se faire, j'ai créé un certificat machine dans mon authorité de certificat, je l'ai déployé sur mes machines.
Jusque la tout se passe bien, je récupere bien mon certif sur les pc.
Sur chaque machine, j'ai modifié les valeurs d'authentification et de supplicant dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EAPOL\Parameters\General\Global\  authMode=2   SupplicantMode=3  , j'ai démarré le service le 802.1x filaire et paramétré dans la carte réseau l'authentif avec prise en compte du certificat.
 
Dans mon switch cisco j'ai bien ajouté les paramètres radius
       aaa new-model
       aaa authentication dot1x default group radius
       radius-server host 192.168.101.4 auth-port 1812 acct 1813
       radius-server key MaCleSecret
       dot1x system-auth-control
 
sur l'interface
       interface FastEthernet0/4
              switchport mode access
              dot1x port-control auto
              dot1x host-mode multi-host
 
 
L'architecture est simple :
serveur 2008 pour la gestion des certificats  
serveur 2003 IAS pour radius
switch cisco
postes de travail windows xp sp3
 
j'ai essayé avec le radius 2008 et le 2003
 
dés que l'active le dot1x port-control auto, le port du switch se bloque. dans les traces cisco , le reboot du pc indique "Access-reject len 20
 
Si quelqu'un a une idée, je sèche.
PS : c'est mon projet de Master2
 
Merci d'avance
 
 
 

Reply

Marsh Posté le 23-02-2010 à 11:16:13   

Reply

Marsh Posté le 23-02-2010 à 12:49:57    

à quoi sert le multi host dans ta conf ?


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 23-02-2010 à 13:35:20    

à pouvoir mettre plusieurs machines différentes sur le même port.
j'ai testé sans ou en mode mono, c'est la même chose.

Reply

Marsh Posté le 23-02-2010 à 16:55:12    

tu fais de l'affectation de vlan dynamique par 802.1x ou tu veux juste ouvrir/fermer le port ?


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 23-02-2010 à 17:28:31    

tu utilises quelle version d'IOS sur quelle plateforme ? tu as regardé la doc ?
 
j'ai une doc sur 802.1x si tu veux. Envoie moi un MP je te la mettrai sur un ftp


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 23-02-2010 à 17:56:47    

Dans le IAS, tu as bien ajouter ta switch et fait la config de connection?
ton event log de ton client devrait te donner quelque indication de meme que celui de ton 2003

Reply

Marsh Posté le 23-02-2010 à 18:05:50    

oui j'ai ajouté les switchs avec les secrets identiques à la conf dot1x  
je vais creuser les eventlog

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed