Versionen im Vergleich

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...


Beschreibung:
Dieses Dokument beschreibt die Vorgehensweise zur Einrichtung einer zertifikatsbasierten (IEEE 802.1X) Zugangskontrolle für Netzwerk-Clients unter Verwendung eines LANCOM Switches (z.B. LANCOM GS-2326P) und einem RADIUS-Server, welcher von einem LANCOM Router bereitgestellt wird.
Die Authentifizierung zwischen Netzwerk-Client und LANCOM-Switch wird in diesem Konfigurationsbeispiel über das Extensible Authentication Protocol (EAP) und dem Authentifizierungsverfahren Transport Layer Security (TLS) durchgeführt.
Bei der EAP-basierten Authentifizierung muss immer ein RADIUS-Server verwendet werden, welcher als Authentifizierungs-Server fungiert. Da alle LANCOM Router über einen integrierten RADIUS-Server verfügen, wird in diesem Dokument der RADIUS-Server des LANCOM als Authentifizierungs-Server verwendet.
Die Ports des LANCOM Switch sollen erst für eine Datenübertragung freigeschaltet werden, nachdem ein Netzwerk-Client erfolgreich vom RADIUS-Server authentifiziert wurde. Der LANCOM Switch fungiert daher in diesem Szenario als Authenticator.



Voraussetzungen:
  • gültiges X.509 Server-Zertifikat und Stamm-Zertifikat der CA
    • Ab der LCOS Version 9.10 können Zertifikate auch direkt auf einem LANCOM Router erstellt werden.
      Eine Anleitung finden Sie in diesem Knowledge Base-Dokument.
  • LANCOM Switch (z.B. LANCOM GS-23xx)
  • LANCOM Router mit integriertem RADIUS-Server (z.B. LANCOM 1781AW)


Szenario:
  • Der LANCOM Router stellt bereits die Internet-Verbindung zur Verfügung. Des weiteren wird der integrierte RADIUS-Server des LANCOM Routers für die Authentifizierung der am LANCOM Switch angeschlossenen Netzwerk-Clients verwendet. Das zur Authentifizierung benötigte X.509 Server-Zertifikat ist auf dem LANCOM-Router verfügbar.
  • Am LANCOM Switch werden die Ports so konfiguriert, dass sich per Kabel verbundene Netzwerk-Clients zunächst mit dem Stamm-Zertifikat der CA am RADIUS-Server authentifizieren müssen, bevor der entsprechende Port zur Datenübertragung freigeschaltet wird. Aus Sicherheitsgründen wird die Port-Konfiguration des Switch im sogenannten Single Mode betrieben, sodass pro Switch Port immer nur ein Netzwerk-Client authentifiziert werden kann.


Info
Wie in der Szenariografik zu erkennen ist, kann auch ein LANCOM Access Point als Netzwerk-Client am Switch authentifiziert werden. Hierzu muss der LANCOM Access Point (genau wie alle anderen Netzwerk-Clients) über das Stamm-Zertifikat der CA verfügen. Weiterhin muss auf dem Access Point der Konsolen-Befehl set Setup/LAN/IEEE802.1x/Supplicant-Ifc-Setup/LAN-1 TLS ausgeführt werden, damit dieser sich über die LAN-Schnittstelle per TLS authentifiziert (ändern Sie den LAN-Port in dem Befehl auf LAN-2 ab, sofern der Access Point per LAN-2 mit dem Switch verbunden ist).
WLAN-Clients, welche sich zum LANCOM Access Point verbinden, benötigen das Stamm-Zertifikat nicht, da der Access Point bereits am Switch authentifiziert wurde und eine Datenübertragung möglich ist.


Image AddedImage Removed


Beispiel-Zertifikate:
In diesem Konfigurations-Beispiel wird jeweils ein eigenes X.509-Zertifikat für das RADIUS-Modul des LANCOM Routers (LANCOM_Router.p12) und ein eigenes X.509-Zertifikat für den Netzwerk-Client (LANCOM_Client.p12) verwendet. Beide Zertifikate besitzen eine Gültigkeit von 10 Jahren.
Das im Beispiel-Zertifikat und im Stamm-Zertifikat der CA verwendete Passwort lautet lancom.

LANCOM_Router.p12Image RemovedLANCOM_Router.p12Image AddedLANCOM_Router.p12 LANCOM_Client.p12Image RemovedLANCOM_Client.p12Image AddedLANCOM_Client.p12


Konfigurationsschritte auf dem LANCOM Router:
1. Hochladen des Server Zertifikates
Info:
Eine Anleitung zum Erstellen von X.509-Zertifikaten mit der Anwendung XCA ist in diesem Knowledge Base-Dokument enthalten.
1.1 Führen Sie in LANconfig einen rechten Mausklick auf dem LANCOM Router aus und wählen Sie die Option Konfigurations-Verwaltung → Zertifikat als Datei hochladen...
Image RemovedImage Added
1.2 Wählen Sie im folgenden Dialog die Zertifikats-Datei für den LANCOM Router aus. In diesem Beispiel wird die Datei LANCOM_Router.p12 verwendet.
1.3 Wählen Sie im Auswahlfeld Zertifikattyp die Einstellung EAP/TLS-Container als PKCS#12-Datei aus.
1.4 Geben Sie im Feld Passwort das Passwort des Zertifikates ein. In diesem Beispiel lautet das Passwort lancom.
1.5 Klicken Sie auf Öffnen, um das Zertifikat in den LANCOM Router zu laden.
Image RemovedImage Added


Info
Sie können sich das Zertifikat, welches Sie in den LANCOM Router geladen haben, ansehen, indem Sie eine Telnet- oder SSH-Sitzung auf dem LANCOM Router starten und an der Eingabeaufforderung den Befehl show eap eingeben.Image Removed



2. Konfiguration des im LANCOM Router integrierten RADIUS-Servers
2.1 Öffnen Sie das Menü RADIUS → Server und aktivieren den RADIUS-Server, indem Sie den Haken bei RADIUS-Authentisierung aktiv setzen.
2.2 Wechseln Sie in das Menü RADIUS-Dienste Ports.
2.3 Stellen Sie sicher, dass bei Authentifizierungs-Port der Port 1812 hinterlegt ist.
2.4 Wechseln Sie in das Menü IPv4-Clients.
2.5 Erstellen Sie einen neuen Eintrag und fügen den LANCOM Switch als erlaubten RADIUS-Kommunikationspartner hinzu.
  • IP-Adresse: In diesem Beispiel hat der LANCOM Switch die lokale IP-Adresse 192.168.1.11.
  • Netzmaske: Tragen Sie die Netzmaske 255.255.255.255 ein. Dieser Wert steht für ein einzelne IP-Adresse.  
  • Protokolle: Stellen Sie sicher, dass das Protokoll RADIUS hinterlegt ist.
  • Client-Secret: Geben Sie ein Passwort an, mit dem der Switch sich am RADIUS-Server authentifiziert. Dieses muss auch in der Konfiguration des LANCOM Switch hinterlegt werden (siehe Schritt 3.3).
2.6 Wechseln Sie in das Menü EAP.
2.7 Stellen Sie im Auswahlfeld Default-Methode den Wert TLS ein.
2.8 Die Einrichtung des RADIUS-Servers auf dem LANCOM Router ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.


Konfigurationsschritte auf dem LANCOM Switch:
3.1 Öffnen Sie die Konfigurationsoberfläche des LANCOM Switch und wechseln Sie in das Menü Security → NAS → Configuration.
  • Stellen Sie die Option Mode auf Enabled.
  • In der Port Configuration müssen Sie für die Ports, auf welchen eine Authentifizierung nach 802.1X durchgeführt werden soll, die Option Port-based 802.1X einstellen.
3.2 Scrollen Sie an das Ende der Konfigurationsseite und klicken Sie auf Apply,um die geänderten Einstellungen zu übernehmen.
Image RemovedImage Added
3.3 Wechseln Sie in das Menü Security → AAA → Configuration. Im Bereich RADIUS Authentication Server Configuration aktivieren Sie in der ersten Zeile die Option Enabled.
  • Im Feld IP-Address/Hostname geben Sie die lokale IP-Adresse des LANCOM Routers ein.
  • Der Standard-Port 1812 kann übernommen werden, da der LANCOM Router diesen ebenfalls als RADIUS-Authentifizierungsport verwendet.
  • Im Feld Secret müssen Sie das gleiche Shared Secret eingeben, welches Sie bei der Konfiguration des LANCOM Routers im Schritt 2.5 verwendet haben.
Image RemovedImage Added
3.4 Scrollen Sie an das Ende der Konfigurationsseite und klicken Sie auf Apply,um die geänderten Einstellungen zu übernehmen. Die Konfiguration des LANCOM Switches ist damit abgeschlossen.


Konfiguration eines Netzwerk-Clients (PC):
Installieren des Stamm-Zertifikates in Windows Vista und Windows 7:
Info:
Eine Anleitung zum Erstellen von X.509-Zertifikaten mit der Anwendung XCA ist in diesem Knowledge Base-Dokument enthalten.
4.1 Führen Sie einen doppelten Mausklick auf dem Stamm-Zertifikat der CA aus. In unserem Beispiel wird die Datei LANCOM_Client.p12 verwendet.

LANCOM_Client.p12Image RemovedLANCOM_Client.p12Image AddedLANCOM_Client.p12
4.2 Klicken Sie auf Zertifikat installieren.
Image RemovedImage Added
4.3 Klicken Sie auf Weiter.
Image RemovedImage Added
4.4 Stellen Sie sicher, dass der Pfad zur Zertifikatedatei richtig angegeben ist und klicken Sie auf Weiter.
Image RemovedImage Added
4.5 Geben Sie das Kennwort ein, mit welchem der private Schlüssel des Zertifikates geschützt ist. Bei unserem Beispiel-Zertifikat lautet das Kennwort lancom.
Image RemovedImage Added
4.6 Belassen Sie die Einstellung bei Zertifikatspeicher automatisch auswählen und klicken Sie auf Weiter.
Image RemovedImage Added
4.7 Klicken Sie auf Fertig stellen, um den Zertifikats-Import abzuschließen.
Image RemovedImage Added
4.8 Bestätigen Sie die folgende Sicherheitswarnung mit Ja.
Image RemovedImage Added
4.9 Der erfolgreiche Zertifikats-Import wird mit einer Meldung angezeigt.
Image AddedImage Removed


Konfiguration des PCs:
5.1 Starten Sie den Dienste-Manager von Windows und öffnen Sie den Eigenschaften-Dialog des Dienstes Automatische Konfiguration (verkabelt).
Image RemovedImage Added
5.2 Stellen Sie den Starttyp auf Automatisch ein und schließen Sie den Dialog mit OK.
Image RemovedImage Added
5.3 Starten Sie den Dienst einmalig manuell. Nach einem Neustart des PC wird der Dienst automatisch gestartet.
Image RemovedImage Added
5.4 Öffnen Sie im Netzwerk- und Freigabecenter den Eigenschaften-Dialog Ihrer Netzwerkkarte. Aktivieren Sie dort auf der Registerkarte Authentifizierung die Option IEEE 802.1X-Authentifizierung und wählen Sie als Authentifizierungsmethode Smartcard oder anderes Zertifikat aus.
Image RemovedImage Added
5.5 Klicken Sie auf die Schaltfläche Einstellungen.
5.6 Legen Sie fest, dass beim Herstellen der Verbindung ein Zertifikat auf diesem Computer verwendet wird (Standardeinstellung). Deaktivieren Sie die Verwendung der einfachen Zertifikatauswahl.
5.7 Aktivieren Sie die Option Serverzertifikat überprüfen und wählen Sie dann aus der unteren Liste die zum Zertifikat gehörende Stammzertifizierungsstelle aus. In unserem Beispiel ist das CA-LANCOM.
Image RemovedImage Added
5.8 Schließen Sie die Konfigurationsdialoge mit der Schaltfläche OK. Die Konfiguration des PCs ist damit abgeschlossen.


Funktionsüberprüfung:
6.1 Stellen Sie sicher, dass der PC an dem Switch-Port angeschlossen ist, für welchen Sie eine Zugangskontrolle nach IEEE 802.1X konfiguriert haben.
6.2 Starten Sie Ihren PC neu und melden Sie sich wie gewohnt am System an.
6.3 Der PC authentifiziert sich automatisch mit dem Zertifikat.
6.4 Nach einer erfolgreichen Authentifizierung wird der Switch-Port, an welchem der PC angeschlossen ist, für die Datenübertragung freigeschaltet.


...