Beschreibung:
In diesem Dokument wird beschrieben, wie Sie mittels LEPS (LANCOM Enhanced Passphrase Security) die Konfiguration von separaten Zugangsschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes auf einem LANCOM Access Point mit LCOS sowie in einem WLAN-Controller Szenario einrichten können.

Was ist LEPS-MAC?

Bei LEPS-MAC wird jeder MAC-Adresse in einer zusätzlichen Spalte der ACL (Access Control List) eine individuelle Passphrase zugeordnet – eine beliebige Folge aus 8 bis 63 ASCII-Zeichen. Nur die Verbindung von Passphrase und MAC-Adresse erlaubt die Anmeldung am Access Point.

Da Passphrase und MAC-Adresse verknüpft sind, ist auch das Spoofing der MAC-Adressen wirkungslos – LEPS-MAC schließt damit auch einen möglichen Angriffspunkt gegen die ACL aus. Wenn als Verschlüsselungsart WPA2 verwendet wird, kann zwar die MAC-Adresse abgehört werden – die Passphrase wird bei diesem Verfahren jedoch nie über die WLAN-Strecke übertragen.

Angriffe auf das WLAN werden so deutlich erschwert, da durch die Verknüpfung von MAC-Adresse und Passphrase immer beide Teile bekannt sein müssen, um eine Verschlüsselung zu verhandeln.

LEPS-MAC kann sowohl lokal im Gerät genutzt werden als auch mit Hilfe eines RADIUS-Servers zentral verwaltet werden. LEPS-MAC funktioniert mit sämtlichen am Markt befindlichen WLAN-Client-Adaptern, ohne dass dort eine Änderung stattfinden muss. Da LEPS-MAC ausschließlich im Access Point konfiguriert wird, ist jederzeit die volle Kompatibilität zu Fremdprodukten gegeben.

Im Vergleich zu LEPS-U ist der Verwaltungsaufwand etwas höher, da für jedes Gerät die MAC-Adresse eingetragen werden muss.


Voraussetzungen:
  • LCOS ab Version 7 (download aktuelle Version)
  • LANtools ab Version 7 (download aktuelle Version)
  • In dem verwendeten logischen WLAN-Netzwerk muss die MAC-Prüfung aktiviert sein
    • Standalone Acccess Point: Wireless-LAN → Allgemein → Logische WLAN-Einstellungen → WLAN-Interface x - Netzwerk x → MAC-Filter aktiviert
    • WLAN-Controller: WLAN-Controller → Profile → Logische WLAN-Netzwerke (SSIDs) → MAC-Prüfung aktiviert

In den Verschlüsselungseinstellungen für die SSID muss WPA2 als Verschlüsselung aktiviert sein. WPA1 und WPA3 werden nicht unterstützt.

Ab der LCOS Version 10.42 müssen Sie in der Konfiguration der SSID zwingend eine Passphrase (PSK) eintragen, damit die SSID ausgestrahlt wird!




Vorgehensweise:
1. Konfiguration von LEPS-MAC auf einem Standalone Access Point:
Beim WLAN-Client müssen keine Änderungen an der Konfiguration vorgenommen werden. Bei der Anmeldung am WLAN-Netzwerk muss lediglich die konfigurierte Passphrase zur Authentifizierung eingegeben werden.
Das WLAN-Endgerät kann sich anschließend nicht mehr mit der globalen Passphrase der SSID, definiert unter Wireless-LAN → Allgemein → Logische WLAN-Einstellungen → WLAN-Interface x - Netzwerk x → Verschlüsselung, in das WLAN einbuchen.


1.1 Konfiguration von LEPS-MAC auf einem Standalone Access Point über die Stationsregeln:
1.1.1 Wechseln Sie in den Menüpunkt Wireless-LAN → Stationen/LEPS → LEPS-MAC, wählen die Option Daten von den aufgeführten Stationen übertragen... aus und öffnen das Menü Stationsregeln.

Bis einschließlich LCOS 10.12 ist das Menü in dem Pfad Wireless-LAN → Stationen → Stationsregeln zu finden.

1.1.2 Passen Sie die folgenden Parameter an:

  • MAC-Adressen-Muster: Tragen Sie die MAC-Adresse des WLAN-Endgerätes ein.
  • SSID-Muster: Tragen Sie die Wildcard * ein, damit das WLAN-Endgerät Zugriff auf alle SSIDs hat.
  • Name: Vergeben Sie einen aussagekräftigen Namen für das WLAN-Endgerät.
  • Passphrase: Geben Sie ein WLAN-Passwort ein, welches für dieses WLAN-Endgerät verwendet wird.
Beachten Sie, dass die Passphrase max. 63 Zeichen umfassen kann und keine Umlaute verwendet werden können. Folgende Zeichen können für der Passphrase verwendet werden:
#ABCDEFGHIJKLMNOPQRSTUVWXYZ@{|}~!$%&'()*+-,/:;<=>?[\]^_.0123456789abcdefghijklmnopqrstuvwxyz

Beachten Sie zu den Parametern MAC-Adressen-Muster und SSID-Muster auch den folgenden Knowledge Base Artikel:
Neuerungen und Funktionsweise der Stationsregel-Tabelle


1.2 Konfiguration von LEPS-MAC auf einem Standalone Access Point mit einem externen RADIUS-Server:

1.2.1 Verbinden Sie sich per LANconfig mit dem Access Point, wechseln in das Menü Wireless-LAN → Stationen/LEPS und wählen die Option Daten von den aufgeführten Stationen übertragen... aus.

1.2.2 Wechseln Sie in das Menü RADIUS-Server Einstellungen.


1.2.3 Erstellen Sie einen neuen Eintrag und passen die folgenden Parameter an:

  • Server-Adresse: Geben Sie die IP-Adresse des RADIUS-Servers ein.
  • Schlüssel (Secret): Tragen Sie ein Passwort ein, mit dem sich der Access Point am RADIUS-Server authentifiziert.


1.2.4 Wechseln Sie in das Menü Wireless-LAN → Stationen/LEPS und wählen bei RADIUS-Server Passwort-Quelle die Option MAC-Adresse aus.

In diesem Fall muss der verwendete RADIUS-Server den RADIUS-Parameter LCS-WPA-Passphrase unterstützen. Gegebenenfalls muss dazu auf dem RADIUS-Server noch ein entsprechendes Dictionary importiert werden.



2. Konfiguration von LEPS-MAC auf einem WLAN-Controller:
Beim WLAN-Client müssen keine Änderungen an der Konfiguration vorgenommen werden. Bei der Anmeldung am WLAN-Netzwerk muss lediglich die konfigurierte Passphrase zur Authentifizierung eingegeben werden.
Das WLAN-Endgerät kann sich anschließend nicht mehr mit der globalen Passphrase der SSID, definiert in dem jeweiligen logischen Profil unter WLAN-Controller → Profile → Logische WLAN-Netzwerke (SSIDs), in das WLAN einbuchen.


2.1 Konfiguration von LEPS-MAC auf einem WLAN-Controller über die Stationsregeln:
2.1.1 Wechseln Sie in das Menü RADIUS → Server und aktivieren die Option RADIUS-Authentisierung aktiv, um den RADIUS-Server zu aktivieren.

Auf einem WLAN-Controller muss im Gegensatz zu einem Standalone Access Point der RADIUS-Server aktiviert werden, da die MAC-Filterung hier über RADIUS läuft.

2.1.2 Wechseln Sie in das Menü WLAN-Controller → Stationen/LEPS → Stationsregeln.
2.1.3 Passen Sie die folgenden Parameter an:
  • MAC-Adressen-Muster: Tragen Sie die MAC-Adresse des WLAN-Endgerätes ein.
  • SSID-Muster: Tragen Sie die Wildcard * ein, damit das WLAN-Endgerät Zugriff auf alle SSIDs hat.
  • Name: Vergeben Sie einen aussagekräftigen Namen für das WLAN-Endgerät.
  • Passphrase: Geben Sie ein WLAN-Passwort ein, welches für dieses WLAN-Endgerät verwendet wird.
Beachten Sie, dass die Passphrase max. 63 Zeichen umfassen kann und keine Umlaute verwendet werden können. Folgende Zeichen können für der Passphrase verwendet werden:
#ABCDEFGHIJKLMNOPQRSTUVWXYZ@{|}~!$%&'()*+-,/:;<=>?[\]^_.0123456789abcdefghijklmnopqrstuvwxyz

Beachten Sie zu den Parametern MAC-Adressen-Muster und SSID-Muster auch den folgenden Knowledge Base Artikel:
Neuerungen und Funktionsweise der Stationsregel-Tabelle


2.2 Konfiguration von LEPS-MAC auf einem WLAN-Controller einem externen RADIUS-Server:

2.2.1 Verbinden Sie sich per LANconfig mit dem WLAN-Controller und wechseln in das Menü WLAN-Controller → Profile → RADIUS-Profile.

2.2.2 Klicken Sie auf Hinzufügen, um ein neues RADIUS-Profil zu erstellen.

Die bereits vorhandenen Standard-Profile DEFAULT und BACKUP dürfen auf keinen Fall modifiziert werden. Da das Profil DEFAULT in jedem logischen WLAN-Netzwerk hinterlegt ist, kann dies sonst Auswirkungen auf bereits vorhandene WLANs haben.

2.2.3 Passen Sie die folgenden Parameter an:

  • Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel RADIUS-EXT)
  • IP-Adresse: Geben Sie die IP-Adresse des RADIUS-Servers ein.
  • Schlüssel (Secret): Tragen Sie ein Passwort ein, mit dem sich die Access Points am RADIUS-Server authentifizieren.

Das RADIUS-Profil wird mitsamt dem WLAN-Profil direkt an die Access Points ausgerollt. Die Access Points stellen die RADIUS-Anfragen somit direkt an den RADIUS-Server. Auf dem RADIUS-Server müssen die Anfragen der Access Points dann gegebenenfalls noch erlaubt werden.

Die Access Points verwenden in der Standard-Konfiguration den Parameter Schlüssel (Secret) als RADIUS-Server Passwort-Quelle (siehe Schritt 1.2.4). In diesem Fall muss auf dem externen RADIUS-Server im Benutzer die MAC-Adresse als Benutzername und der Schlüssel (Secret) aus dem RADIUS-Profil als Passwort hinterlegt werden.

Alternativ kann die RADIUS-Server Passwort-Quelle auf dem Access Point auf MAC-Adresse umgestellt werden (siehe Schritt 1.2.4). Dann muss auf dem externen RADIUS-Server im Benutzer die MAC-Adresse als Benutzername und als Passwort hinterlegt werden. 

Die MAC-Adresse muss für Benutzername und Passwort in dem Format aabbcc-ddeeff angegeben werden.

2.2.4 Wechseln Sie in das Menü WLAN-Controller → Profile → Logische WLAN-Netzwerke (SSIDs).

2.2.5 Bearbeiten Sie das logische WLAN-Netzwerk, welches mit LEPS-MAC verwendet werden soll und passen die folgenden Parameter an:

  • Wählen Sie im Dropdown-Menü bei RADIUS-Profil das in Schritt 2.2.3 erstellte Profil aus.
  • Aktivieren Sie die Option MAC-Prüfung aktiviert.

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2019-2024 LANCOM Systems GmbH