Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 13 Nächste Version anzeigen »


Description:

This article describes how to configure separate access keys for every member in a WiFi network on a LANCOM access point with LCOS LX by means of LEPS-MAC (LANCOM Enhanced Passphrase Security).

What is LEPS-MAC?
LEPS-MAC uses an additional column in the ACL (access-control list) to assign an individual passphrase consisting of any 8 to 63 ASCII characters to each MAC address. Authentication at the access point is only possible with the correct combination of passphrase and MAC address.

This combination makes the spoofing of the MAC addresses futile — and LEPS-MAC thus shuts out a potential attack on the ACL. If WPA2 is used for encryption, the MAC address can indeed be intercepted — but this method never transmits the passphrase over wireless. This greatly increases the difficulty of attacking the WLAN as the combination of MAC address and passphrase requires both to be known before an encryption can be negotiated.

LEPS-MAC can be used both locally in the device and centrally managed by a RADIUS server. LEPS-MAC works with all WLAN client adapters available on the market without any modification. Full compatibility to third-party products is assured as LEPS-MAC only involves configuration in the access point.

Compared to LEPS-U, the administrative overhead is slightly higher because the MAC address has to be entered for each device.

 On LANCOM Access Points with LCOS LX LEPS-MAC can only be used with WPA2.



Requirements:


Procedure:

1) Configuring LEPS-MAC on a standalone access point:

1.1) Configuring LEPS-MAC on a standlone access point via the LEPS user table:

1.1.1) Open the configuration of the access point in LANconfig, go to the menu Wireless-LAN → Stations/LEPS and set LEPS active to Yes.

1.1.2) Go to the menu Profiles.

1.1.3) Create a new profile and modify the following parameters:

  • Name: Enter a descriptive name fo the LEPS-MAC profile.
  • Network-Name: In the dropdownmenu select the existing WiFi network
  • Check MAC Address: In the dropdownmenu select the option Whitelist. Thereby WiFi access is only allowed for all members in the whitelist and access for all other devices is denied. 

1.1.4) Go to the menu Users.

1.1.5) Create a new user and modify the following parameters:

  • Name: Enter a descriptive name for the LEPS user.
  • Profile: In the dropdownmenu select the LEPS profile created in step 3
  • WPA-Passphrase: Optionally you can enter a WPA key (8 to 64 characters), which has to be entered on the WiFi device instead of the key entered in the configured WiFI network. Thus a separate WPA key can be assigned to each WiFi device. If the entry is left empty, the WPA key of the WiFi network is used.   
  • MAC-Address: Enter the MAC address of the WiFi device in the format 00:a0:57:12:34:56.

Repeat this step for additional WiFi devices if needed.

1.1.6) This concludes the configuration of LEPS-MAC. Write back the configuration into the access point. 


1.2) Configuring LEPS-MAC on a standalone access point via an external RADIUS server:

1.2.1) In the access point configuration switch to the menu item Wireless LAN → RADIUS → RADIUS-Server.

1.2.2) Create a new entry and modify the following parameters:

  • Name: Enter a descriptive name for the RADIUS profile (in this example RADIUS-EXT).
  • Port: Make sure, that the port 1812 is stored.
  • Secret: Enter a password, the access point used for authentication with the RADIUS server
  • Server-IP-Adress: Enter the IP address of the RADIUS server.
  • RADIUS-MAC-Check: In the dropdown menu select the option Yes.

By activating the option RADIUS-MAC-Check the access point uses the MAC address as the RADIUS-Server-Password-Source. In this case, the MAC address must be entered as the user name and the password for the user on the external RADIUS server.

Under normal circumstances the WiFi users use the WPA key from the WLAN network. As in this scneario every WiFi user should use a separate WPA key, this key has to be transmitted via the RADIUS parameter LCS-WPA-Passphrase. This parameter also has to be supported by the RADIUS server. If necessary, this parameter has to be implemented by importing a suitable dictionary into the RADIUS server.

1.2.3) Switch to the menu Wireless-LAN → WLAN networks → Encryption.

1.2.4) Click Add to add a new encryption profile.

1.2.5) Modify the following parameters:

  • Profile-Name: Enter a descriptive name for the encryption profile (in this example P-PSK-RADIUS-EXT).
  • Encyrption: Make sure, that the option Yes is selected.
  • Method: In the dropdown menu select the option WPA(2/3)-802.1X.
  • WPA-Version: In the dropdown menu select the desired WPA version (in this example WPA2).
  • RADIUS-Server-Profile: In the dropdown menu select the RADIUS profile created in step 1.2.2.

1.2.6) Go to the menu Wireless LAN → WLAN networks → Network.

1.2.7) Modify the existing SSID and assign the encryption profile created in step 1.2.5 to it via the dropdown menu. 

1.2.8) This concludes the configuration of LEPS-MAC on a standalone access point via an external RADIUS server. Write the configuration back to the device.



2) Configuring LEPS-MAC on a WLAN-Controller:

2.1) Configuring LEPS-MAC on a WLAN-Controller via the station rules:

2.1.1) Wechseln Sie auf dem WLAN-Controller in das Menü WLAN-Controller → Profile → RADIUS-Profile.

2.1.2 Stellen Sie sicher, dass im Profil DEFAULT unter Authentifizierungs-Server die Standard-Einstellungen gesetzt sind:

  • IP-Adresse: 0.0.0.0
  • Port: 1812
  • Schlüssel (Secret): Kein Schlüssel

2.1.3 Wechseln Sie in das Menü WLAN-Controller → Profile → Logische WLAn-Netzwerke (SSIDs).

2.1.4 Wählen Sie das gewünschte WLAN-Netzwerk aus und klicken auf Bearbeiten.

2.1.5 Passen Sie die folgenden Parameter an:

  • Stellen Sie sicher, dass das RADIUS-Profil DEFAULT ausgewählt ist.
  • Aktivieren Sie die Option MAC-Prüfung aktiviert.

2.1.6 Wechseln Sie in das Menü RADIUS → Server und aktivieren die Option RADIUS-Authentisierung aktiv, um den RADIUS-Server zu aktivieren.

Auf einem WLAN-Controller muss im Gegensatz zu einem Standalone Access Point der RADIUS-Server aktiviert werden, da die MAC-Filterung hier über RADIUS läuft.

2.1.7 Wechseln Sie in das Menü WLAN-Controller → Stationen/LEPS → Stationsregeln.
2.1.8 Modify the following parameters:
  • MAC address pattern: Enter the MAC address of a WiFi end device.
  • SSID pattern: Enter the wildcard * so that the WiFi end device has access to all SSIDs.
  • Name: Enter a descriptive name for the WiFi end device.
  • Passphrase: Enter the WiFi password, which should be used for this specific WiFi end device.
Please observe that the passphrase can contain a maximum of 63 characters. No special characters may be used (accents, umlauts, etc.). The following characters can be used for the passphrase:
#ABCDEFGHIJKLMNOPQRSTUVWXYZ@{|}~!$%&'()*+-,/:;<=>?[\]^_.0123456789abcdefghijklmnopqrstuvwxyz

Regarding the parameters MAC address pattern and SSID pattern also see the following Knowledge Base article:
New features and functionality for the station rules table


2.2 Konfiguration von LEPS-MAC auf einem WLAN-Controller mit einem externen RADIUS-Server:

2.2.1 Verbinden Sie sich per LANconfig mit dem WLAN-Controller und wechseln in das Menü WLAN-Controller → Profile → RADIUS-Profile.

2.2.2 Klicken Sie auf Hinzufügen, um ein neues RADIUS-Profil zu erstellen.

Die bereits vorhandenen Standard-Profile DEFAULT und BACKUP dürfen auf keinen Fall modifiziert werden. Da das Profil DEFAULT in jedem logischen WLAN-Netzwerk hinterlegt ist, kann dies sonst Auswirkungen auf bereits vorhandene WLANs haben.

2.2.3 Passen Sie die folgenden Parameter an:

  • Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel RADIUS-EXT)
  • IP-Adresse: Geben Sie die IP-Adresse des RADIUS-Servers ein.
  • Port: Stellen Sie sicher, dass der Port 1812 hinterlegt ist.
  • Schlüssel (Secret): Tragen Sie ein Passwort ein, mit dem sich die Access Points am RADIUS-Server authentifizieren.

Das RADIUS-Profil wird mitsamt dem WLAN-Profil direkt an die Access Points ausgerollt. Die Access Points stellen die RADIUS-Anfragen somit direkt an den RADIUS-Server. Auf dem RADIUS-Server müssen die Anfragen der Access Points dann gegebenenfalls noch erlaubt werden.

Access Points mit LCOS LX verwenden immer die MAC-Adresse als RADIUS-Server Passwort-Quelle. In diesem Fall muss auf dem externen RADIUS-Server im Benutzer die MAC-Adresse als Benutzername und als Passwort hinterlegt werden. Weiterhin muss der verwendete RADIUS-Server den RADIUS-Parameter LCS-WPA-Passphrase unterstützen. Gegebenenfalls muss dazu auf dem RADIUS-Server noch ein entsprechendes Dictionary importiert werden.

2.2.4 Wechseln Sie in das Menü WLAN-Controller → Profile → Logische WLAN-Netzwerke (SSIDs).

2.2.5 Bearbeiten Sie das logische WLAN-Netzwerk, dem das RADIUS-Profil zugewiesen werden soll und passen die folgenden Parameter an:

  • Wählen Sie im Dropdown-Menü bei RADIUS-Profil das in Schritt 2.2.3 erstellte Profil aus.
  • Aktivieren Sie die Option MAC-Prüfung aktiviert.

  • Keine Stichwörter

All LANCOM products and software versions are subject to LANCOM Software Lifecycle Management.
You can find information on our website at https://www.lancom-systems.com/products/firmware/software-lifecycle-management

© 2019-2024 LANCOM Systems GmbH