Versionen im Vergleich

Alte Version 19

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version 20

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.
Seiteneigenschaften


Beschreibung:
In diesem Dokument wird beschrieben, wie Sie mittels LEPS (LANCOM Enhanced Passphrase Security) die Konfiguration von separaten Zugangsschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes auf einem LANCOM Access Point mit LCOS sowie in einem WLAN-Controller Szenario einrichten können.
Info

Was ist LEPS-MAC?

Bei LEPS-MAC wird jeder MAC-Adresse in einer zusätzlichen Spalte der ACL (Access Control List) eine individuelle Passphrase zugeordnet – eine beliebige Folge aus 8 bis 63 ASCII-Zeichen. Nur die Verbindung von Passphrase und MAC-Adresse erlaubt die Anmeldung am Access Point.

Da Passphrase und MAC-Adresse verknüpft sind, ist auch das Spoofing der MAC-Adressen wirkungslos – LEPS-MAC schließt damit auch einen möglichen Angriffspunkt gegen die ACL aus. Wenn als Verschlüsselungsart WPA2 verwendet wird, kann zwar die MAC-Adresse abgehört werden – die Passphrase wird bei diesem Verfahren jedoch nie über die WLAN-Strecke übertragen.

Angriffe auf das WLAN werden so deutlich erschwert, da durch die Verknüpfung von MAC-Adresse und Passphrase immer beide Teile bekannt sein müssen, um eine Verschlüsselung zu verhandeln.

LEPS-MAC kann sowohl lokal im Gerät genutzt werden als auch mit Hilfe eines RADIUS-Servers zentral verwaltet werden. LEPS-MAC funktioniert mit sämtlichen am Markt befindlichen WLAN-Client-Adaptern, ohne dass dort eine Änderung stattfinden muss. Da LEPS-MAC ausschließlich im Access Point konfiguriert wird, ist jederzeit die volle Kompatibilität zu Fremdprodukten gegeben.

Im Vergleich zu LEPS-U ist der Verwaltungsaufwand etwas höher, da für jedes Gerät die MAC-Adresse eingetragen werden muss.




Voraussetzung:
Hinweis

In den verschlüsselungseinstellungen für die SSID muss WPA2 als Verschlüsselung aktiviert sein. WPA1 und WPA3 werden nicht unterstützt.

Ab der LCOS Version 10.42 müssen Sie in der Konfiguration der SSID zwingend eine Passphrase (PSK) eintragen, damit die SSID ausgestrahlt wird!




Vorgehensweise:
1. Konfiguration von LEPS-MAC auf einem Standalone Access Point:
1.1 Wechseln Sie in den Menüpunkt Wireless-LAN → Stationen/LEPS → LEPS-MAC, wählen die Option Daten von den aufgeführten Stationen Übertragen... aus und öffnen das Menü Stationsregeln
Info

Bis einschließlich LCOS 10.12 ist das Menü in dem Pfad Wireless-LAN → Stationen → Stationsregeln zu finden.

2. Passen Sie die folgenden Parameter an:

  • MAC-Adressen-Muster: Tragen Sie die MAC-Adresse des WLAN-Endgerätes ein.
  • SSID-Muster: Tragen Sie die Wildcard * ein, damit das WLAN-Endgerät Zugriff auf alle SSIDs hat.
  • Name: Vergeben Sie einen aussagekräftigen Namen für das WLAN-Endgerät.
  • Passphrase: Geben Sie ein WLAN-Passwort ein, welches für dieses WLAN-Endgerät verwendet wird.
Info
Beachten Sie, dass die Passphrase max. 63 Zeichen umfassen kann und keine Umlaute verwendet werden können. Folgende Zeichen können für der Passphrase verwendet werden:
#ABCDEFGHIJKLMNOPQRSTUVWXYZ@{|}~!$%&'()*+-,/:;<=>?[\]^_.0123456789abcdefghijklmnopqrstuvwxyz

Beachten Sie zu den Parametern MAC-Adressen-Muster und SSID-Muster auch den folgenden Knowledge Base Artikel:
Neuerungen und Funktionsweise der Stationsregel-Tabelle

Info
Beim WLAN-Client müssen keine Änderungen an der Konfiguration vorgenommen werden. Bei der Anmeldung am WLAN-Netzwerk muss lediglich die konfigurierte Passphrase zur Authentifizierung eingegeben werden.
Das WLAN-Endgerät kann sich anschließend nicht mehr mit der globalen Passphrase der SSID, definiert unter Wireless-LAN → Allgemein → Logische WLAN-Einstellungen → WLAN-Interface x - Netzwerk x → Verschlüsselung, in das WLAN einbuchen.



2. Konfiguration von LEPS-MAC auf einem WLAN-Controller:
2.1 Wechseln Sie in das Menü RADIUS → Server und aktivieren die Option RADIUS-Authentisierung aktiv, um den RADIUS-Server zu aktivieren.
Info

Auf einem WLAN-Controller muss im Gegensatz zu einem Standalone Access Point der RADIUS-Server aktiviert werden, da die MAC-Filterung hier über RADIUS läuft.

2.2 Wechseln Sie in das Menü WLAN-Controller → Stationen/LEPS → Stationsregeln.
2.3 Passen Sie die folgenden Parameter an:
  • MAC-Adressen-Muster: Tragen Sie die MAC-Adresse des WLAN-Endgerätes ein.
  • SSID-Muster: Tragen Sie die Wildcard * ein, damit das WLAN-Endgerät Zugriff auf alle SSIDs hat.
  • Name: Vergeben Sie einen aussagekräftigen Namen für das WLAN-Endgerät.
  • Passphrase: Geben Sie ein WLAN-Passwort ein, welches für dieses WLAN-Endgerät verwendet wird.
Info
Beachten Sie, dass die Passphrase max. 63 Zeichen umfassen kann und keine Umlaute verwendet werden können. Folgende Zeichen können für der Passphrase verwendet werden:
#ABCDEFGHIJKLMNOPQRSTUVWXYZ@{|}~!$%&'()*+-,/:;<=>?[\]^_.0123456789abcdefghijklmnopqrstuvwxyz

Beachten Sie zu den Parametern MAC-Adressen-Muster und SSID-Muster auch den folgenden Knowledge Base Artikel:
Neuerungen und Funktionsweise der Stationsregel-Tabelle
Info
Beim WLAN-Client müssen keine Änderungen an der Konfiguration vorgenommen werden. Bei der Anmeldung am WLAN-Netzwerk muss lediglich die konfigurierte Passphrase zur Authentifizierung eingegeben werden.
Das WLAN-Endgerät kann sich anschließend nicht mehr mit der globalen Passphrase der SSID, definiert in dem jeweiligen logischen Profil unter WLAN-Controller → Profile → Logische WLAN-Netzwerke (SSIDs), in das WLAN einbuchen.