Versies vergeleken

Versie Oude versie 3 Nieuwe versie Huidige
Veranderingen gemaakt door

tech

tech

Opgeslagen op

Sleutel

  • Deze regel is toegevoegd.
  • Deze regel is verwijderd.
  • Formattering is gewijzigd.

...

Bij het opnieuw inrichten van het wifiWi-Fi-netwerk, de RADIUS-server of bij overdracht naar een andere beheerorganisatie wil ook nog wel eens blijken dat het ‘shared secret’ niet meer bekend is en moet dit opnieuw uitgewisseld worden, wat niet altijd meteen mogelijk is. We adviseren altijd om zo’n belangrijk secret zorgvuldig en veilig op te slaan. Hoe minder vaak gevoelige informatie getransporteerd hoeft te worden, hoe veiliger dat is.

...

Hier enkele concrete vragen die kunnen helpen bij het analyseren van het probleem en aanknopingspunten geven voor mogelijke oorzaken:

Mislukt de toegang van eigen medewerkers tot het eigen

...

Wi-Fi-netwerk? 

  • Dat betekent dat ergens in het pad iets misgaat tussen het apparaat van de gebruiker en de gebruikersdatabase:

    • Apparaat van de gebruiker: betreft het sommige apparaten, of alle? Wanneer alleen sommige er last van hebben, controleer dan gebruikersnamen en wachtwoorden, geldigheid van het account. Controleer ook UDP-fragmentatie: langere RADIUS verzoeken kunnen misgaan, bijv. als gevolg van lange usernames.

    • wifiWi-Fi-access points (AP): zorg ook dat de APs en switches alle voor de hand liggende EAP-types (minstens EAP-TLS, EAP-TTLS en EAP-PEAP) ondersteunen. Is de authenticatie van de gebruikers zichtbaar op AP, switch en RADIUS server? Zijn de juiste VLAN’s beschikbaar tussen AP en switch?

    • Wanneer een Wireless LAN controller (WLC) gebruikt wordt: komt het authenticatieverkeer via de CAPWAP-tunnel aan bij de WLC? Kan de WLC goed communiceren met de (interne) RADIUS-server?

    • Tussenliggende WAN-aansluiting: als meerdere locaties via een WAN zijn aangesloten, werkt deze connectiviteit dan correct?

    • interne RADIUS-server: ontvangt deze correcte verzoeken en weet hij deze door te zetten naar de gebruikersdatabase? Is sprake van een cluster van RADIUS servers, check dan of alle nodes nog correct functioneren

    • interne gebruikersdatabase zoals Active Directory (AD): is het account geldig? Heeft het de juiste rechten of zit het in de juiste groep? Klopt de gebruikersnaam? Klopt het domein (in de vorm van organisatie.nl! dus geen .local bijv.)? Klopt het wachtwoord?

...

Bij alle troubleshooting geldt: wireshark is your friend! Ofwel: maak packet dumps op de component waarop je een probleem vermoedt, maar ook tegelijk op de omringende componenten. Hanteer de ‘sandwich’-methode: begin met sniffen bij de ingang en de uitgang waarlangs een pakketje komt, en werk steeds een component verder ‘naar binnen’ tot duidelijk is welke component het pakketje niet doorlaat, fragmenteert, verminkt etc.

Wanneer we aangesloten Deelnemers assisteren met troubleshooting, vernemen we uiteenlopende typologieën en componenten in hun netwerk. Als stichting hebben we daar geen kijk op en kunnen en willen we niet ‘achter de voordeur’ kijken, dus het is zaak dat de netwerkbeheerder(s) (soms meerdere partijen) in kaart brengen welke componenten in het pad zitten en deze gestructureerd langslopen. Als willekeurig voorbeeld van componenten die we tegenkomen en de hoeveelheid ervan, toont onderstaand diagram het principe van de ‘sandwich’-methode, waarbij het probleem van buiten naar binnen geanalyseerd wordt.

...

LET OP: het bovenstaande diagram geeft een indicatie van mogelijke componenten in het pad. Bij kleinere organisaties zullen het er minder zijn, bij grote organisaties zullen nog meer componenten, met name extra switches en firewalls toegepast zijn in de basisinfrastructuur. Ook komt het veel voor dat verschillende functies zijn gecombineerd in één apparaat (bijv. een L2/L3 switch, router met firewall, firewall met VPN terminatie etc). Het diagram is geenszins een aanbeveling voor hoe het netwerkpad ontworpen moet worden. Hoe minder componenten in het pad, hoe sneller en betrouwbaarder govroam werkt.

Sharing is caring

Heeft u na deze ‘deep dive netwerkvalkuilen’ toch nog vragen of suggesties? Als stichting hebben wij niet de mogelijkheid om voor alle mogelijke leveranciers, types en versies van apparatuur en software de verschillende configuraties en bugs te documenteren. Graag maken we gebruik van kennis die onze community op doet, en die publiceren we graag (geanonimiseerd, uiteraard). Voor informatie die gedeeld mag worden of andere suggesties, stuur een mail naar technisch coördinator Erik Dobbelsteijn.