circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

MAC Authentication Bypass

Dieser Artikel soll klären, was MAC Authentication Bypass ist, wie es sich von MAB-zu-EAP unterscheidet und welches von beiden mit RADIUSaaS funktioniert.

triangle-exclamation

Da MAC-Adressen leicht gefälscht werden können, ist die Implementierung eines MAC-Authentifizierungs-Bypass stark abzuraten es sei denn, es ist absolut notwendig und der Administrator hat das Risiko, das mit der Implementierung eines solchen Bypasses verbunden ist, gegen die Bequemlichkeit und die budgetären Beschränkungen eines Upgrades veralteter Hardware abgewogen.

hashtag
Überblick

MAC Authentication Bypass (MAB) ist eine Funktion, die Geräten, die keine standardmäßige 802.1X-Unternehmensauthentifizierung durchführen können (wie ältere Drucker, einfache Sensoren oder eingebettete Systeme), das Verbinden mit einem ansonsten sicheren Netzwerk ermöglicht. MAB gewährt Zugriff, indem die eindeutige MAC-Adresse eines Geräts als alleiniges Identifikationsmerkmal gegen eine von einem RADIUS-Server geführte autorisierte Liste verwendet wird.

Die veraltete Implementierung von MAB ist anfällig für MAC-Adressenspoofing sowohl auf der Verbindung zwischen dem authentifizierenden und dem Netzwerkgerät als auch auf der Verbindung zwischen dem Netzwerkgerät und dem RADIUS-Server. Um den zweiten Angriffsvektor zu eliminieren, kann eine stärkere Implementierung von MAB, genannt MAB-to-EAP, verwendet werden, die effektiv die Integrität der an den RADIUS-Server übermittelten MAC-Adresse sicherstellt (die MAC-Adresse kann weiterhin auf der Verbindung zwischen dem authentifizierenden Gerät und dem Netzwerkgerät gefälscht werden).

Dieses Handbuch beschreibt die Unterschiede zwischen der unsicheren älteren Methode Pure MAB und der modernen, transportgesicherten Umgehungslösung.

hashtag
MAB-Terminologie und Implementierungen

MAB: MAC Authentication Bypass

EAP: Extensible Authentication Protocol

Supplicant: Die Entität (wie Laptop, Telefon oder Netzwerkschnittstelle), die den Authentifizierungsprozess mit einem Authenticator initiiert um Zugang zu einem Netzwerk zu erhalten.

Authenticator: Eine Netzwerkentität (wie ein Switch, ein drahtloser Zugangspunkt oder ein VPN-Gateway), die die Authentifizierung durchsetzt, bevor sie einem Supplicant Zugang zum Netzwerk gewährt.

Authentication Server: Eine vertrauenswürdige Netzwerkentität (wie ein RADIUS-Server), die dafür verantwortlich ist, die Identität von Supplicants durch Überprüfung ihrer Anmeldeinformationen (wie Benutzernamen, Passwörter oder digitale Zertifikate) zu verifizieren und zu bestimmen, ob sie zum Zugriff auf das Netzwerk autorisiert sind.

Pure MAB (Legacy-Implementierung): Bei dieser Methode sendet der Authenticator die MAC-Adresse des Clients an einen RADIUS-Server, üblicherweise im Calling-Station-Id RADIUS-Attribut. Der RADIUS-Server führt eine einfache Suche durch und gibt ein Access-Accept oder Access-Rejectzurück. Die MAC-Adresse fungiert als Identifikator, nicht als echte Anmeldeinformation.

MAB-to-EAP (Gesicherte Implementierung): Da Pure MAB keinen kryptografisch sicheren Transport bietet, verlangen viele moderne Dienste (wie RADIUSaaS) einen stärkeren Ansatz. Bei dieser Methode verwendet der Authenticator die MAC-Adresse des Clients sowohl als Benutzernamen als auch als Passwort und versucht dann, sich mithilfe eines sicheren EAP-Protokolls (z. B. EAP-TTLS-PAP, PEAP-MSCHAPv2) beim RADIUS-Server zu authentifizieren. Das Client-Gerät bleibt sich dessen unbewusst, dass eine Authentifizierung stattgefunden hat.

hashtag
Wie Pure MAB funktioniert (externe RADIUS-Datenbank)

Wenn die MAC-Adressdatenbank von einem externen RADIUS-Server verwaltet wird (die übliche Unternehmenskonfiguration), gilt für Pure MAB die folgende Abfolge:

  1. Ein Nicht-802.1X-Client verbindet sich und fordert Netzwerkzugang an.

  2. Der Authenticator erkennt die Verbindung und beginnt, da keine 802.1X-Verhandlung stattfindet, einen MAB-Versuch.

  3. Der Authenticator nimmt die MAC-Adresse des Clients (z. B. 00:11:22:33:44:55) und leitet sie in einer Access-Request Nachricht an den RADIUS-Server weiter. Die MAC-Adresse wird typischerweise in das Calling-Station-Id RADIUS-Attribut

  4. geparst.

  5. Der RADIUS-Server überprüft seine konfigurierte Datenbank auf das Vorhandensein der MAC-Adresse. Access-Accept Er gibt eine Access-Reject Nachricht zurück, wenn die MAC gefunden wird (Übereinstimmung) oder eine

  6. wenn sie nicht gefunden wird (Keine Übereinstimmung). Access-Accept Wenn

Drawing

hashtag
empfangen wird, autorisiert der Authenticator den Port und erlaubt dem Client, dem Netzwerk beizutreten.

Sicherheitsüberlegungen Im Allgemeinen bietet MAB wenig bis keinen Schutz

  • und sollte mit äußerster Vorsicht verwendet werden. MAC-Spoofing:

  • MAC-Adressen lassen sich bei den meisten modernen Computern und Netzwerkkarten leicht ändern (fälschen). Ein böswilliger Akteur kann die MAC-Adresse eines autorisierten Geräts beobachten und sein eigenes Gerät so konfigurieren, dass es diese verwendet, und damit unautorisierten Zugriff erlangen. Identifikation, nicht Authentifizierung:

MAB ist lediglich eine Form der Geräteidentifikation. Es bestätigt nur, welches Gerät sich verbindet, nicht, wem es gehört oder ob es kryptografisch sicher ist.

hashtag
Aufgrund dieser Schwächen unterstützen die meisten modernen cloudbasierten Authentifizierungsdienste (wie RADIUSaaS) Pure MAB oder veraltete Protokolle wie PAP oder CHAP nicht. Stattdessen verlangen sie die MAB-to-EAP-Methode, bei der die MAC-Adresse als Anmeldeinformationen innerhalb eines kryptografisch starken EAP-Tunnels verwendet wird.

MAB-Implementierung mit EAP (ein RADIUSaaS-Ansatz für MAB) Wenn MAB auf einem Authenticator konfiguriert ist und ein Legacy-Gerät, das 802.1X nicht unterstützt, versucht, Netzwerkzugang anzufordern, wird der Switch oder Access Point so tun, als wäre er dieses Gerät und übernimmt die Authentifizierung im Namen des Clients indem er sich gegenüber RADIUSaaS mit einem der unterstützten EAP-arrow-up-rightProtokolle Benutzerauthentifiziert: EAP-TTLS-PAP oder PEAP-MSCHAPv2. Im Rahmen dieses Prozesses prüft RADIUSaaS, ob die MAC-Adresse in der RADIUSaaS-Datenbank in Form eines manuell hinzugefügten Access-Accept eingetragen ist. (Benutzername = Passwort = MAC-Adresse). Falls ja, wird eine Serverzertifikats Nachricht zurückgegeben und die EAP-basierte Authentifizierung abgeschlossen, wodurch das Legacy-Gerät Netzwerkzugang erhält. Da der Authenticator eine TLS-Verbindung zu RADIUSaaS herstellt, muss er dem

vertrauen, das RADIUSaaS verwendet.

hashtag
Die Verwendung der MAC-Adresse als Benutzername/Passwort, um EAP auszulösen, ist eine spezifische Umgehungslösung, die vom Authenticator implementiert wird, um MAB zu simulieren, während stärkere EAP-Protokolle genutzt werden.

Funktioniert MAB mit RADIUSaaS?

hashtag
Konfiguration

MAB in seiner ursprünglichen Implementierung mittels PAP oder CHAP funktioniert nicht mit RADIUSaaS. Unter den oben genannten Definitionen kann die aktuelle Implementierung von RADIUSaaS MAB unterstützen, solange Ihr Authenticator sich über eines der zuvor genannten Protokolle authentifizieren kann. Beachten Sie, dass sobald diese unterstützten Protokolle in der Authentifizierung verwendet werden, wir die Authentifizierung nicht mehr umgehen, und dies ist der Moment, in dem der spezifischere Begriff MAB-to-EAP verwendet wird. MAB

Authenticator:

  • erfordert Konfiguration sowohl auf dem Authenticator als auch auf dem Authentication Server.

  • Aktivieren Sie 802.1X und MAC Authentication Bypass (MAB) auf den spezifischen Zugangsports/SSIDs, die für Nicht-802.1X-Geräte bestimmt sind. Vertrauen Sie dem.

  • RADIUS-Serverzertifikat

Authentication Server:

  • Hinweis: Konfigurationsschritte sind herstellerspezifisch; beziehen Sie sich auf die Dokumentation Ihres Geräts.

    • Bei der Implementierung von MAB-to-EAP müssen Sie auf RADIUSaaS eine explizite Autorisierungsregel erstellen, um alle Geräte, die sich über diese Methode authentifizieren, einem Fallback-VLAN mit minimalem Netzwerkzugang zuzuweisen. Dies ist wesentlich, um das Prinzip der minimalen Rechte durchzusetzen und zu verhindern, dass ein Angreifer, der eine gültige MAC-Adresse gefälscht hat, auf kritische Netzwerkressourcen zugreifen kann. Die Regel sollte basierend auf den Authentifizierungsrichtlinien Ihrer Umgebung konfiguriert werden:

    • Wenn MAB-to-EAP die einzige Verwendung für benutzername-/passwortbasierte Authentifizierung ist: Erstellen Sie eine breite Autorisierungsregel (LAN/Wi‑Fi), die jedes Gerät, das diesen Anmeldeinformationstyp verwendet, dem Fallback-VLAN zuweist. 00:11:22:33:44:55Wenn Benutzername/Passwort für andere Clients (z. B. Benutzer) verwendet wird: Diese Regel muss sorgfältig mit regulären Ausdrücken abgestimmt werden, um speziell das Muster einer MAC-Adresse im Benutzernamenfeld zu treffen (z. B.,

  • ). Dies stellt sicher, dass nur MAB-to-EAP-Verkehr in das Fallback-VLAN isoliert wird. Um MAB-to-EAP zu unterstützen, müssen Sie Benutzer hinzufügen 00:11:22:33:44:55 = 00:11:22:33:44:55.

  • formatiert als: Benutzername = Passwort = MAC-Adresse. Beispiel: 00:11:22:33:44:55Das MAC-Adressformat (Doppelpunkt, Bindestrich oder keine Trennzeichen) muss genau dem Format entsprechen, das Ihr Authenticator in den EAP-Anmeldeinformationen sendet. Wir empfehlen aus Konsistenzgründen die Doppelpunkt-Notation (z. B.,

  • ). Wenn Sie mehrere Benutzer haben, können Sie diese gebündelt mithilfe einer CSV-Datei

Zuletzt aktualisiert

War das hilfreich?