Skip to end of metadata
Go to start of metadata


Beschreibung:
Wenn ein Access Point in einem öffentlich zugänglichen Bereich so montiert ist, dass er ohne Hilfsmittel erreicht werden kann, empfiehlt es sich durch die Konfiguration eines sicheren Netzwerkszenarios zu gewährleisten, dass ein Endgerät (z.B. ein Notebook) selbst dann keinen Zugriff auf ein Firmennetzwerk erhält, wenn es per Kabel an die Ethernet-Anschlussdose des Access Point angeschlossen wird.
Dieses Dokument beschreibt anhand eines Beispiels, wie Sie ein bereits vorhandenes Szenario mit einigen Anpassungen so konfigurieren können, dass ein nicht autorisierter Client keinen Zugriff auf das Firmennetzwerk erhält.


Voraussetzungen:


Szenario:
  • In einem Hotel wird ein internes Management Netzwerk betrieben, welches von den Hotel-Mitarbeitern auch mit WLAN-Clients genutzt werden kann.
  • Die Access Points sind per Ethernet mit einem zentralen Switch verbunden und werden von einem LANCOM WLAN Controller gemanaged.
  • Auf den Access Points sind zwei SSIDs eingerichtet, damit Hotel-Gäste per Public Spot das WLAN des Hotels nutzen können.



Folgende Konfigurations-Anpassungen werden vorgenommen um sicherzustellen, dass ausschließlich der Access Point Zugang zum Firmennetzwerk erhält, wenn er an die Ethernet-Anschlussdose angeschlossen wird:

  • Am Switch-Port, an welchem der Access Point angeschlossen ist, wird eine Authentifizierung nach IEEE 802.1X durchgeführt.
  • Da im finalen Zustand der Konfiguration nur eine MAC-Adresse pro Switch-Port zugelassen ist, wird zwischen Access Point und WLAN Controller pro SSID ein WLC-Tunnel konfiguriert.







Vorgehensweise:
1. Konfigurationschritte auf dem LANCOM WLAN-Controller:
1.1. Öffnen Sie das Menü Konfiguration -> RADIUS-Server -> Allgemein und aktivieren Sie den RADIUS-Server des WLAN-Contollers, indem Sie den Authentifizierungs-Port 1.812 in das Feld eintragen.
1.2. Im Dialog Benutzerkonten muss anschließend jeweils ein Konto für jeden verwendeten Access Point angelegt werden, damit sich dieser über 802.1X am RADIUS-Server des WLAN-Controllers authentifizieren kann.
1.3. In diesem Beispiel wird als Benutzername ap1 und als Passwort ebenfalls ap1 verwendet. Bitte verwenden Sie im Live-Betrieb sichere Benutzernamen und Passwörter.
1.4. Klicken Sie im Menü Konfiguration → RADIUS-Server → Allgemein auf die Schaltfläche IPv4-Clients und fügen Sie den LANCOM-Switch als erlaubten RADIUS-Kommunikationspartner hinzu.
  • In diesem Beispel hat der LANCOM Switch die lokale IP-Adresse 192.168.1.200, die Netzmaske ist 255.255.255.255.
  • Als Protokoll muss der Wert RADIUS eingestellt werden.
  • Da sich der Switch als erlaubter RADIUS-Client am RADIUS-Server authentifizieren muss, müssen Sie ein Passwort vergeben (Shared Secret). Das hier vergebene Passwort wird bei der späteren Konfiguration des Switch benötigt.
1.5. Öffnen Sie das Menü Konfiguration → WLAN-Controller → Profile → Logische WLAN-Netzwerke (SSIDs) und legen Sie für die im Beispiel verwendeten SSIDs Hotel-Intern und Hotel-Gast die benötigten WLC-Tunnel an.
1.6. Die SSID Hotel-Intern wird mit dem WLC-Tunnel-1 verbunden.
Die SSID Hotel-Intern ist mit einer WPA2-Verschlüsselung und Passphrase gesichert.
1.7. Die SSID Hotel-Gast wird mit dem WLC-Tunnel-2 verbunden.
Die SSID Hotel-Gast wird ohne Verschlüsselung betrieben, da die Gäste sich über den Public Spot an diesem WLAN-Netzwerk anmelden sollen.
1.8. Damit die Public Spot Anmeldung funktioniert, muss diese im Menü Konfiguration → Public-Spot → Server → Interfaces auf dem WLC-Tunnel-2 eingeschaltet werden.



2. Konfigurationschritte auf dem LANCOM Access Point:
Damit sich der Access Point am Radius Server des WLAN Controllers anmelden kann, muss die Authentisierungs-Methode festgelegt und Benutzerdaten zur Anmeldung angegeben werden. In diesem Beispiel wird als Authentisierungs-Methode TLS verwendet. Die Benutzerdaten des Access Point haben Sie im Schritt 1.3 im WLAN Controller konfiguriert.
2.1. Öffnen Sie eine Telnet- oder SSH-Sitzung auf dem Access Point und rufen Sie den Pfad Supplicant-Ifc-Setup auf:
cd /Setup/LAN/IEEE802.1x/Supplicant-Ifc-Setup
2.2. Rufen Sie den Pfad für die LAN-Schnittstelle auf. In diesem Beispiel wird die Schnittstelle LAN-1 verwendet.
cd LAN-1
2.3. Geben Sie mit folgendem Befehl die Benutzerdaten zur Authentifizierung am RADIUS-Server des WLAN Controllers an:
set credentials <Benutzername>:<Passwort>
In diesem Beispiel muss der Befehl lauten set credentials ap1:ap1
2.4. Setzen Sie mit folgendem Befehl die Authentisierungs-Methode auf den Wert PEAP/MSCHAPv2:
set Method PEAP/MSCHAPv2
Mit dem folgenden Skript können Sie die Änderungen alternativ per LANconfig in den Access Point laden. Ändern Sie vorher bitte die Werte für Benutzername und Passwort. 
Skript_Credentials_Auth-Method.lcs


3. Konfigurationschritte auf dem LANCOM Switch:
3.1 Öffnen Sie die Konfigurationsoberfläche des LANCOM Switch und wechseln Sie in das Menü Security → NAS → Configuration.
  • Stellen Sie die Option Mode auf Enabled.
  • In der Port Configuration müssen Sie für die Ports, auf welchen eine Authentifizierung nach 802.1X durchgeführt werden soll, die Option Single 802.1X einstellen.

Informationen zur Funktionsweise der weiteren 802.1X-Varianten (Port-based 802.1X und Multi 802.1X) erhalten Sie in der Online-Hilfe des Switch.

3.2 Scrollen Sie an das Ende der Konfigurationsseite und klicken Sie auf Apply, um die geänderten Einstellungen zu übernehmen.
3.3 Wechseln Sie in das Menü Security → AAA → Configuration. Im Bereich RADIUS Authentication Server Configuration aktivieren Sie in der ersten Zeile die Option Enabled.
  • Im Feld IP-Address/Hostname geben Sie die lokale IP-Adresse des LANCOM WLAN-Controllers ein.
  • Der Standard-Port 1.812 kann übernommen werden, da der WLAN Controller diesen ebenfalls als RADIUS-Authentifizierungsport verwendet.
  • Im Feld Secret müssen Sie das gleiche Shared Secret eingeben, welches Sie bei der Konfiguration des LANCOM WLAN Controllers im Schritt 1.4 verwendet haben.
3.4 Scrollen Sie an das Ende der Konfigurationsseite und klicken Sie auf Apply, um die geänderten Einstellungen zu übernehmen. Die Konfiguration des LANCOM Switch ist damit abgeschlossen.