Hallo liebe Community,
wir haben an einer Schule das Problem, dass von 2 Lehrern das Passwort bekannt geworden war und die Schüler sich damit in das WLAN (802.1x NPS) einloggen konnten. Dies wurde erkannt und die Lehrer änderten ihr Passwort. Die Schülergeräte wählen sich aber
weiterhin ein und sperren fleißig die Benutzeraccounts.
Die MAC-Addressen bekomme ich über einen Netzwerktrace raus, da sie im EAP-Paket enthalten sind. Im Ereignisprotokoll oder im NPS-Log tauchen diese Authentifizierungsversuche nicht auf. (Warum?)
Habt ihr eine Idee, wie ich erreichen kann, dass bestimme MAC-Addressen direkt abgelehnt werden?
Die Access-Points werden von einem D-Link DWC-2000 verwaltet und kann zwar MAC-Based-Authentifikation aber dann kein Radius mehr. Auch greift der Sicherheitsmechanismus nicht, da die Versuche ja von vielen verschiedenen Geräte kommen und somit die Schwelle
"Failed Authentifications" nicht überschritten wird.
Im Ereignisprotokoll ist ein 4625 Überwachung gescheitert mit: (Eigentlich ist nur PEAP mit MSCHAPv2 erlaubt)
Fehlerinformationen:
Fehlerursache:Unbekannter Benutzername oder ungültiges Kennwort.
Status:
0xC000006D
Unterstatus::
0xC000006A
Detaillierte Authentifizierungsinformationen:
Anmeldeprozess:CHAP
Authentifizierungspaket:MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Außerdem capture ich folgenden Traffic:
901 10:39:50 21.11.2018 1183.0278139 svchost.exe 192.168.8.2 dc EAP EAP:Response, Type = Identity {EAP:6366, RADIUS:6365, UDP:40, IPv4:39}
902 10:39:50 21.11.2018 1183.0299764 svchost.exe dc 192.168.8.2 EAP EAP:Request, Type = PEAP,PEAP start {EAP:6366, RADIUS:6365, UDP:40, IPv4:39}
903 10:39:50 21.11.2018 1183.1098409 svchost.exe 192.168.8.2 dc EAP EAP:Response, Type = PEAP {EAP:6370, RADIUS:6369, UDP:40, IPv4:39}
904 10:39:50 21.11.2018 1183.1101161 svchost.exe dc 192.168.8.2 EAP EAP:Request, Type = PEAP {EAP:6370, RADIUS:6369, UDP:40, IPv4:39}
905 10:39:50 21.11.2018 1183.1433973 svchost.exe 192.168.8.2 dc EAP EAP:Response, Type = PEAP {EAP:6372, RADIUS:6371, UDP:40, IPv4:39}
906 10:39:50 21.11.2018 1183.1436725 svchost.exe dc 192.168.8.2 EAP EAP:Request, Type = PEAP {EAP:6372, RADIUS:6371, UDP:40, IPv4:39}
907 10:39:50 21.11.2018 1183.1777244 svchost.exe 192.168.8.2 dc EAP EAP:Response, Type = PEAP {EAP:6374, RADIUS:6373, UDP:40, IPv4:39}
908 10:39:50 21.11.2018 1183.1779984 svchost.exe dc 192.168.8.2 EAP EAP:Request, Type = PEAP {EAP:6374, RADIUS:6373, UDP:40, IPv4:39}
909 10:39:50 21.11.2018 1183.3595452 svchost.exe 192.168.8.2 dc EAP EAP:Response, Type = PEAP {EAP:9607, RADIUS:9606, UDP:40, IPv4:39}
910 10:39:50 21.11.2018 1183.3598387 svchost.exe dc 192.168.8.2 EAP EAP:Request, Type = PEAP {EAP:9607, RADIUS:9606, UDP:40, IPv4:39}
911 10:39:50 21.11.2018 1183.3860709 svchost.exe 192.168.8.2 dc EAP EAP:Response, Type = PEAP {EAP:9609, RADIUS:9608, UDP:40, IPv4:39}
912 10:39:50 21.11.2018 1183.3862321 svchost.exe dc 192.168.8.2 EAP EAP:Request, Type = PEAP {EAP:9609, RADIUS:9608, UDP:40, IPv4:39}
913 10:39:50 21.11.2018 1183.4423233 svchost.exe 192.168.8.2 dc EAP EAP:Response, Type = PEAP {EAP:9613, RADIUS:9612, UDP:40, IPv4:39}
914 10:39:50 21.11.2018 1183.4427106 svchost.exe dc 192.168.8.2 EAP EAP:Request, Type = PEAP {EAP:9613, RADIUS:9612, UDP:40, IPv4:39}
915 10:39:50 21.11.2018 1183.4844447 svchost.exe 192.168.8.2 dc EAP EAP:Response, Type = PEAP {EAP:9615, RADIUS:9614, UDP:40, IPv4:39}
916 10:39:50 21.11.2018 1183.4937213 svchost.exe dc 192.168.8.2 EAP EAP:Request, Type = PEAP {EAP:9615, RADIUS:9614, UDP:40, IPv4:39}
Beispiel Inhalt:..].;.RB..íB..E..Ö..@.?.°ïÀ¨..À¨.Õ´ó...Â9Ù.‡.º..±°..p‚..]w..Wf..<Lehrerusername>..À¨........./<ACCESSPOINT_MAC>:<SSID>..<CLIENT_MAC>....x=.....M.CONNECT 0Mbps 802.11aO......<Lehrerusername>P.qu.ðæ^84hö½.W¤â
Vielen Dank schon mal für Ideen oder Lösungen