Dot1x configureren op de Mikrotik switch is niet zo moeilijk. Eens je deze blogpost hebt gelezen ben je zeker in staat om deze Dot1x configuratie tot een goed einde te brengen. Dot1x is een authenticatie mechanisme die je in staat stelt alle poorten van je Mikrotik switch te beveiligen. Op deze manier krijgt niemand ongeoorloofd toegang tot je netwerk indien hij een netwerkkabel zou aansluiten op de netwerkpoorten. Dit draagt ertoe bij dat je terug wat meer veiligheid creëert op je netwerk.

Wat is IEEE 802.1X

Dot1x op de Mikrotik toestellen is de implementatie van de IEEE 802.1X standaard. De belangrijkste doelstelling is hiervan is om een poort gebaseerde netwerktoegangscontrole aan te bieden. Dit met behulp van EAP over LAN ook wel bekend als EAPOL. 802.1X. De configuratie bestaat uit een authenticator, authentication-server en de cliënts die verbinden met deze poorten worden de supplicants genaamd. Mikrotik ondersteunt deze drie vormen van Dot1X. Dit is een goede vorm van beveiliging nietwaar? Meer weten over de beveiliging van de Mikrotik router kan je hier lezen. Hier hou ik het alleen bij het configureren van Dot1x. Dit zowel op de Authentication-server, de Authenticator als op de Supplicant. Wat dit betekend lees je verder in dit artikel.

Dot1x is niet ondersteund bij de Mikrotik SMIPS toestellen zoals hAP Lite, TC and hAP mini !

Hoe werkt Dot1x

Een RouterOS Dot1x-server (meestal de switch) fungeert als authenticator. Een met Dot1x geconfigureerde interface of meerdere interfaces blokkeert al het data verkeer uitgezonderd de EAPOL-pakketten die voor authenticatie worden gebruikt. Nadat de cliënt (supplicant) met succes is geverifieert accepteert de interface of interfaces al de ontvangen data pakketten. Meerdere interfaces kunnen worden geïmplementeerd met behulp van de interface list. Deze kan je aanmaken volgens je eigen wensen.

In welke situatie kan je Dot1x gebruiken

Neem nu aan dat je een hotel hebt of een camping waar je accespoints hebt geïnstalleerd. Een kwaadwillige kan een accespoint verwisselen met zijn eigen accespoint.
De kwaadwillige kan nu in het slechtste geval gegevens ontfutselen van de verbonden cliënts. Om het wisselen van de accespoints tegen te gaan kan je de verbinding beveiligen met Dot1x. Indien de kwaadwillige zijn accespoint inplugt krijgt hij geen verbinding met je netwerk. Dit kan alleen met je eigen accespoints die als Dot1x-clïent zijn geconfigureerd. Ik spreek hier van accespoints maar een Dot1x-clïent kan ook op andere toestellen worden geconfigureerd. Neem als tweede voorbeeld een router die is aangesloten op een switch. Kortom Dot1x configureren kan in verschillende scenario's worden gebruikt.

Dot1x configuratie wat zijn de benodigdheden

Om Dot1x te configureren heb je minstens twee toestellen nodig. De authentication-server; meestal is deze taak gegeven aan de router. Maar er is ook een authenticator nodig. Dit is de taak van de switch. Beide toestellen moeten verbonden worden door middel van een layer3 verbinding. Dit wil zeggen dat beide toestellen in hetzelfde netwerk segment moet zitten. In de video gebruik ik hiervoor de IP-range 192.168.100.0/24 waarvan de router het IP-adres 192.168.100.1/24 heeft en de switch 192.168.100.2/24. Dit is belangrijk om weten. Bij de Dot1x configuratie moet zowel de authenticator en de authentication-server met elkaar kunnen communiceren. Met andere woorden, indien je een Mikrotik switch configureert met alleen VLANS, dan kan je geen layer3 communicatie verwezenlijken. Dit omdat VLAN werkt op layer2 van het OSI model. In de tweede video zie je hiervoor de oplossing. Het netwerktoestel die verbinding maakt met de switch wordt de supplicant genaamd.

Welke functie heeft de authentication-server en de authenticator bij het configureren van Dot1x

Indien iemand door middel van een netwerkkabel een verbinding maakt met de switch wordt de verbinding ogenblikkelijk geopend. Doch met de Dot1x configuratie is dat niet het geval. Al de met Dot1x geconfigureerde poorten blijven gesloten totdat de supplicant de juiste gegevens doorstuurt naar de authenticator (de switch). De authenticator op zich kan geen toestemming geven en zend de nodige gegevens door naar de authentication-server (de router). De authentication-server controleert die gegevens in zijn database. Indien de supplicant beschikt over de juiste gegevens opent de authenticator nadat hij overlegt heeft met de authentication-server de poort. Dit is hoe de Dot1x techniek werkt. Begrijp je nu waarom er een layer3 verbinding een noodzaak is? De layer3 verbinding zorgt ervoor dat de communicatie tussen de router en de switch mogelijk word.

Welke Dot1x configuratie is er nodig bij de Mikrotik switch of anders gezegd de Authenticator

In de eerste plaats moet je bepalen welke ethernet poorten moeten uitgerust worden met de Dot1x beveiliging. Dit kan je doen door de fysieke interface aan te duiden. Dit is goed indien je één poort wil gaan configureren. Doch je kan beter gebruik maken van de interface list. Indien je hiervan gebruikt maakt wordt alles zeer eenvoudig. Je maakt de list aan genaamd "Dot1x" en daarin plaats je al de ethernet interfaces die je wil beveiligen. Verder moet je een Dot1x Server configureren waarbij je deze aangemaakte Dot1x lijst selecteert. Met deze Dot1x server configuratie bepaal je ook op welke manier een authenticatie moet verlopen.

Er zijn twee manieren van authenticaties beschikbaar

De authentication kan op twee manieren gebeuren. Door middel van een gebruikersnaam en paswoord of door middel van een MAC-adres. Zo simpel is deze Dot1x configuratie. Doch op de switch moet nog een configuratie plaatsvinden. Je moet namelijk de gegevens van de radius server ingeven. Dit doe je door bij radius een server te configureren. Daarin vink je Dot1x aan en geef je het IP-adres van de authentication-server in. Je beveiligd deze met een paswoord die je later ingeeft in de authentication-server. Een hulpmiddel bij het aanmaken van deze Dot1x lijst zie je hier. Deze heb ik speciaal voor jullie gemaakt.

Welke Dot1x configuratie is er nodig bij de Mikrotik router of anders gezegd de Authentication-server

Upgraden van de router met RouterOS-v7 is een noodzaak

In de eerste plaats wil ik je zeggen dat ik de configuratie demonstreer met RouterOS-V7. Dit omdat de vernieuwde Mikrotik User Manager Dot1x ondersteund. In dit opzicht is Mikrotik fel verbeterd. Indien je RouterOS-V7 nog niet hebt geïnstalleerd overweeg deze upgrade maar denk aan de wijzigingen die Mikrotik aan deze RouterOS heeft aangebracht. Indien routing op je router is geconfigureerd raad ik dit ten zeerste af. Met routing bedoel ik RIP, OSPF, BGP en zo meer. vergewis je dat je met het upgraden naar RouterOS problemen kan ondervinden. Ik raad je dan ook aan om eerst deze upgrade uit te voeren in een test omgeving. Dit wilde ik eerst even kwijt. Maar upgraden naar RouterOS-v7 is niet voldoende. Je moet de extra packages gaan downloaden en User Manager installeren. Dit zie je goed in de eerste video die ik heb gemaakt.

Configuratie van de Authentication Server

In de eerste plaats moet je User Manager inschakelen. Dit doe je door naar het tabblad "Sessions" en daarna op "Settings" te klikken. Daar vink je "enable" aan. Daarna moet je de switch gaan toevoegen. Dit doe je door bij het tabblad Routers de naam van de switch in te geven en het IP-adres van de switch en je geeft het paswoord in die je hebt ingegeven bij het configureren van de radius server op de switch. Verder moet je de users gaan ingeven die de toestemming krijgen om te verbinden met je netwerk. Dot1x configureren is niet zo moeilijk is het niet?

De supplicant kan zich authenticeren op twee manieren

Ieder netwerktoestel die met de switch wil verbinden moet zich kunnen authenticeren. Dit netwerktoestel wordt de Supplicant genaamd. Dit kan op twee verschillende manieren. Dit kan door middel van een Dot1x-cliënt of door middel van het MAC-adres van de netwerkkaart. Daar niet alle netwerktoestellen beschikken over een Dot1x-clïent moet je soms grijpen naar de MAC-adres oplossing. Dit is uiteraard niet waterdicht te noemen want MAC-adressen kunnen gespooft worden. Doch beter een Dot1x configuratie met MAC authentication dan helemaal geen beveiliging is het niet? De beste manier is uiteraard het aanmelden met een gebruikersnaam en paswoord. Hiervoor heb je een Dot1x-clïent nodig. Op de Mikrotik toestellen is een Dot1x-clïent aanwezig. Ik moedig je aan om deze onderstaande video te bekijken en op deze manier zal alles duidelijk worden.

Deze bovenstaande video behandeld de volledige Dot1x basis configuratie. Dit wil zeggen dat ik zowel de router als de switch vanaf nul configureer. Dit is opzettelijk gedaan om je meer inzicht te geven hoe de Dot1x configuratie in elkaar steekt. Hopelijk weet je deze moeite te waarderen. Ik stel het op prijs indien je me een thumbs Up zou geven op YouTube. Alvast bedankt .

Dot1x configureren met VLANS op Mikrotik

Nu je de basis Dot1x configuratie hebt gezien ga ik een stap verder. Ik configureer eerst VLANS op de router en op de switch. Niet op de standaard manier want ik wil Dot1x implementeren op de switch. Een standaard VLAN configuratie kan je hier nalezen en bekijken, doch ik ga het iets anders aanpakken. De bedoeling van deze configuratie is dat je in een VLAN terechtkomt afhankelijk van de gebruikersnaam en paswoord die je ingeeft. Indien ik inlog met de login VLAN10 / VLAN10 kom ik in VLAN10 terecht, log ik in met als login VLAN12 / VLAN12 dan kom ik in VLAN12 terecht. Het rare is dat ik de netwerkkabel in dezelfde poort kan laten zitten, doch wijzigt de VLAN afhankelijk van de login gegevens op de Dot1x-cliënt (supplicant). Uiteraard kan je de gebruikersnaam en paswoord zelf bepalen. Deze configuratie heb ik uitgevoerd met een Mikrotik RB4011 als authentication-server en de authenticator is een Mikrotik CRS328. De supplicant is een Mikrotik mAP.