Seitenhistorie

Wenn ein Access Point in einem öffentlich zugänglichen Bereich so montiert ist, dass er ohne Hilfsmittel erreicht werden kann, empfiehlt es sich durch die Konfiguration eines sicheren Netzwerkszenarios zu gewährleisten, dass ein Endgerät (z.B. ein Notebook) selbst dann keinen Zugriff auf ein Firmennetzwerk erhält, wenn es per Kabel an die Ethernet-Anschlussdose des Access Point angeschlossen wird.

Dieses Dokument beschreibt anhand eines Beispiels, wie Sie ein bereits vorhandenes Szenario mit einigen Anpassungen so konfigurieren können, dass ein nicht autorisierter Client keinen Zugriff auf das Firmennetzwerk erhält.


Voraussetzungen:

• LCOS ab Version 8.80 (download aktuelle Version)
• LANtools ab Version 8.80 (download aktuelle Version)

Szenario:

• In einem Hotel wird ein internes Management Netzwerk betrieben, welches von den Hotel-Mitarbeitern auch mit WLAN-Clients genutzt werden kann.
• Die Access Points sind per Ethernet mit einem zentralen Switch verbunden und werden von einem LANCOM WLAN Controller gemanaged.
• Auf den Access Points sind zwei SSIDs eingerichtet, damit Hotel-Gäste per Public Spot das WLAN des Hotels nutzen können.

Folgende Konfigurations-Anpassungen werden vorgenommen um sicherzustellen, dass ausschließlich der Access Point Zugang zum Firmennetzwerk erhält, wenn er an die Ethernet-Anschlussdose angeschlossen wird:

• Am Switch-Port, an welchem der Access Point angeschlossen ist, wird eine Authentifizierung nach IEEE 802.1X durchgeführt.
• Da im finalen Zustand der Konfiguration nur eine MAC-Adresse pro Switch-Port zugelassen ist, wird zwischen Access Point und WLAN Controller pro SSID ein WLC-Tunnel konfiguriert.

Image Removed



Image Added


Vorgehensweise:

1.1. Öffnen Sie das Menü Konfiguration -> → RADIUS-Server -> → Allgemein und aktivieren Sie den RADIUS-Server des WLAN-Contollers, indem Sie den Authentifizierungs-Port 1.812 in das Feld eintragen.

1.2. Im Dialog Benutzerkonten muss anschließend jeweils ein Konto für jeden verwendeten Access Point angelegt werden, damit sich dieser über 802.1X am RADIUS-Server des WLAN-Controllers authentifizieren kann.

1.3. In diesem Beispiel wird als Benutzername ap1 und als Passwort ebenfalls ap1 verwendet. Bitte verwenden Sie im Live-Betrieb sichere Benutzernamen und Passwörter.

1.4. Klicken Sie im Menü Konfiguration → RADIUS-Server → Allgemein auf die Schaltfläche IPv4-Clients und fügen Sie den LANCOM-Switch als erlaubten RADIUS-Kommunikationspartner hinzu.

• In diesem Beispel hat der LANCOM Switch die lokale IP-Adresse 192.168.1.200, die Netzmaske ist 255.255.255.255.
• Als Protokoll muss der Wert RADIUS eingestellt werden.
• Da sich der Switch als erlaubter RADIUS-Client am RADIUS-Server authentifizieren muss, müssen Sie ein Passwort vergeben (Shared Secret). Das hier vergebene Passwort wird bei der späteren Konfiguration des Switch benötigt.

1.5. Öffnen Sie das Menü Konfiguration → WLAN-Controller → Profile → Logische WLAN-Netzwerke (SSIDs) und legen Sie für die im Beispiel verwendeten SSIDs Hotel-Intern und Hotel-Gast die benötigten WLC-Tunnel an.

1.6. Die SSID Hotel-Intern wird mit dem WLC-Tunnel-1 verbunden.

Die SSID Hotel-Intern ist mit einer WPA2-Verschlüsselung und Passphrase gesichert.

1.7. Die SSID Hotel-Gast wird mit dem WLC-Tunnel-2 verbunden.

Die SSID Hotel-Gast wird ohne Verschlüsselung betrieben, da die Gäste sich über den Public Spot an diesem WLAN-Netzwerk anmelden sollen.

1.8. Damit die Public Spot Anmeldung funktioniert, muss diese im Menü Konfiguration → Public-Spot → Server → Interfaces auf dem WLC-Tunnel-2 eingeschaltet werden.

Damit sich der Access Point am Radius Server des WLAN Controllers anmelden kann, muss die Authentisierungs-Methode festgelegt und Benutzerdaten zur Anmeldung angegeben werden. In diesem Beispiel wird als Authentisierungs-Methode TLS verwendet. Die Benutzerdaten des Access Point haben Sie im Schritt 1.3 im WLAN Controller konfiguriert.

2.1. Öffnen Sie eine Telnet- oder SSH-Sitzung auf dem Access Point und rufen Sie den Pfad Supplicant-Ifc-Setupauf: