Quelle anzeigen

Beschreibung:

Dieses Dokument beschreibt die Vorgehensweise zur Einrichtung einer zertifikatsbasierten (IEEE 802.1X) Zugangskontrolle für Netzwerk-Clients unter Verwendung eines LANCOM Switches der GS-23xx Serie (z.B. LANCOM GS-2326P) und einem RADIUS-Server, welcher von einem LANCOM Router bereitgestellt wird.

Die Authentifizierung zwischen Netzwerk-Client und LANCOM Switch wird in diesem Konfigurationsbeispiel über das Extensible Authentication Protocol (EAP) und dem Authentifizierungsverfahren Protected Extensible Authentication Protocol (PEAP) durchgeführt.

Bei der EAP-basierten Authentifizierung muss immer ein RADIUS-Server verwendet werden, welcher als Authentifizierungs-Server fungiert. Da alle LANCOM Router über einen integrierten RADIUS-Server verfügen, wird in diesem Dokument der RADIUS-Server des LANCOM Routers als Authentifizierungs-Server verwendet.

Die Ports des LANCOM Switch sollen erst für eine Datenübertragung freigeschaltet werden, nachdem ein Netzwerk-Client erfolgreich vom RADIUS-Server authentifiziert wurde. Der LANCOM Switch fungiert daher in diesem Szenario als Authenticator.

Voraussetzungen:

Beliebiger LANCOM Router (als RADIUS-Server)
LANCOM Switch der GS-23xx Serie
LCOS ab Version 10.72 (download aktuelle Version)
LCOS SX ab Version 3.34 (download aktuelle Version)
LANtools ab Version 10.72 (download aktuelle Version)
Beliebiger Web-Browser für den Zugriff auf das Webinterface des GS-23xx Switches
gültiges X.509 Server-Zertifikat und Stamm-Zertifikat der CA
- Ab der LCOS Version 9.10 können Zertifikate auch direkt auf einem LANCOM Router erstellt werden. Eine Anleitung finden Sie in diesem Knowledge Base-Dokument.
- Eine Anleitung zum Erstellen von X.509-Zertifikaten mit der Anwendung XCA ist in diesem Knowledge Base-Dokument enthalten.

Szenario:

Der LANCOM Router stellt bereits die Internet-Verbindung zur Verfügung. Desweiteren wird der integrierte RADIUS-Server des LANCOM Routers für die Authentifizierung der am Switch angeschlossenen Netzwerk-Clients verwendet. Das zur Authentifizierung benötigte X.509 Server-Zertifikat ist auf dem LANCOM Router verfügbar.
Am LANCOM Switch werden die Ports so konfiguriert, dass sich per Kabel verbundene Netzwerk-Clients zunächst mit dem Stamm-Zertifikat der CA am RADIUS-Server authentifizieren müssen, bevor der entsprechende Port zur Datenübertragung freigeschaltet wird. Aus Sicherheitsgründen wird die Port-Konfiguration des Switches im sogenannten Single Mode betrieben, sodass pro Switch-Port immer nur ein Netzwerk-Client authentifiziert werden kann.

Wie in der Szenariografik zu erkennen ist, kann auch ein LANCOM Access Point als Netzwerk-Client am Switch authentifiziert werden. Hierzu muss der LANCOM Access Point lediglich (genau wie alle anderen Netzwerk-Clients) über das Stamm-Zertifikat der CA verfügen.

WLAN-Clients, welche sich zum LANCOM Access Point verbinden, benötigen das Stamm-Zertifikat nicht, da der Access Point bereits am Switch authentifiziert wurde und eine Datenübertragung möglich ist.

Konfigurationsschritte auf dem LANCOM Router:

1. Hochladen des Server-Zertifikates

Eine Anleitung zum Erstellen von X.509-Zertifikaten mit der Anwendung XCA ist in diesem Knowledge Base-Dokument enthalten.

1.1 Führen Sie in LANconfig einen rechten Mausklick auf dem LANCOM Router aus und wählen die Option Konfigurations-Verwaltung → Zertifikat oder Datei hochladen aus.

LANCOM Support Knowledge Base > Konfiguration einer 802.1X-Zugangskontrolle (EAP-PEAP) bei einem LANCOM Switch der GS-23xx Serie unter Verwendung des LANCOM RADIUS-Servers > 1.png

1.2 Wählen Sie im folgenden Dialog die Zertifikats-Datei für den LANCOM Router aus (in diesem Beispiel RADIUS-CA.p12) und passen die folgenden Parameter an:

Zertifikattyp: Wählen Sie im Dropdown-Menü die Option EAP/TLS Container als PKCS#12-Datei aus.
Zert.-Passwort: Geben Sie das Passwort ein, welches Sie beim Erstellen der CA angegeben haben.

1.3 Klicken Sie auf Öffnen, um das Zertifikat in den LANCOM Router zu laden.

Sie können sich das Zertifikat, welches Sie in den LANCOM Router geladen haben, ansehen, indem Sie eine Konsolen-Sitzung auf dem LANCOM Router starten und an der Eingabeaufforderung den Befehl show eaptls eingeben (vor LCOS 10.70 heißt dieser Befehl show eap).

2. Konfiguration des RADIUS-Servers auf dem LANCOM Router:

2.1 Öffnen Sie in der Konfiguration des Routers in das Menü RADIUS → Server und setzen den Haken bei RADIUS-Authentisierung aktiv.

2.2 Wechseln Sie in das Menü RADIUS → Server → RADIUS-Dienste-Ports.

2.3 Stellen Sie sicher, dass der Authentifizierungs-Port 1812 hinterlegt ist.

2.4 Wechseln Sie in das Menü RADIUS → Server → IPv4-Clients.

2.5 Passen Sie die folgenden Parameter an:

IP-Adresse: Tragen Sie die IP-Adresse vom Switch ein.
Netzmaske: Tragen Sie die Subnetzmaske 255.255.255.255 ein. Diese steht für genau eine IP-Adresse.
Protokolle: Stellen Sie sicher, dass die Option RADIUS ausgewählt ist.
Client-Secret: Geben Sie ein Passwort ein, welches der Switch zur Authentifizierung am RADIUS-Server verwenden soll. Dies wird in Schritt 3.4 auf dem Switch eingetragen.

2.6 Wechseln Sie in das Menü RADIUS → Server → Benutzerkonten.

2.7 Erstellen Sie einen neuen Benutzer und passen dazu die folgenden Parameter an:

Name / MAC-Adresse: Vergeben Sie einen aussagekräftigen Namen für den Benutzer, den dieser für die Authentifizierung am RADIUS-Server verwendet (in diesem Beispiel Client-1).
Passwort: Vergeben Sie ein Passwort, welches der Benutzer für die Authentifizierung am RADIUS-Server verwendet.
Protokolleinschränkung für Authentifizierung: AKtivieren Sie die Optionen EAP und MSCHAPv2.
Ablauf-Art: Wählen Sie die Option Niemals aus, damit der Benutzer dauerhaft gültig ist.

Wiederholen Sie diesen Schritt für weitere Benutzer.

2.8 Wechseln Sie in das Menü RADIUS → Server → EAP.

2.9 Wählen Sie bei Default-Methode die Option PEAP aus.

2.10 Die Konfigurationsschritte auf dem Router sind damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.

3. Konfigurationsschritte auf dem LANCOM Switch:

3.1 Wechseln Sie im Webinterface vom Switch in das Menü Security → NAS → Configuration und wählen bei Mode die Option Enabled aus.

3.2 Wählen Sie in der Port Configuration für die gewünschten Ports unter Admin State die Option Port-based 802.1X aus. Klicken Sie anschließend auf Apply.

3.3 Wechseln Sie in das Menü Security → AAA → Configuration.

3.4 Passen Sie unter RADIUS Authentication Server Configuration die folgenden Parameter an und klicken anschließend auf Apply:

Enabled: Setzen Sie den Haken, um den Eintrag zu aktivieren.
IP Address/Hostname: Tragen Sie die IP-Adresse des LANCOM Routers ein, welcher als RADIUS-Server fungiert (in diesem Beispiel 192.168.0.254).
Port: Stellen Sie sicher, dass der Port 1812 hinterlegt ist.
Secret: Tragen Sie das in Schritt 2.5 vergebene Client-Secret ein. Dieses verwendet der Switch, um sich am RADIUS-Server zu authentifizieren.

3.5 Wechseln Sie abschließend in das Menü Maintenance → Save/Restore → Save Start und klicken auf Save, um die Konfiguration als Start-Konfiguration zu speichern.

Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.

4. Konfiguration des Computers:

4.1 Installieren des Stamm-Zertifikates in Windows 10 und Windows 11:

4.1.1 Führen Sie einen Doppelklick auf die Zertifikats-Datei aus und wählen den Speicherort aus (in diesem Beispiel soll das Zertifikat für den Aktuellen Benutzer installiert werden).

Klicken Sie anschließend auf Weiter.

4.1.2 Der Pfad zur Zertifikats-Datei ist bereits hinterlegt. Klicken Sie daher auf Weiter.

4.1.3 Geben Sie das Kennwort ein und klicken auf Weiter.

4.1.4 Wählen Sie die Option Alle Zertifikate in folgendem Speicher speichern aus und klicken auf Durchsuchen.

4.1.5 Wählen Sie die Option Vertrauenswürdige Stammzertifizierungsstellen aus und klicken auf OK.

4.1.6 Klicken Sie auf Weiter.

4.1.7 Klicken Sie auf Fertig stellen, um den Assistenten abzuschließen.

4.2 RADIUS-Dienst auf dem Computer konfigurieren:

4.2.1 Öffnen Sie die App Dienste und führen einen Doppelklick auf den Dienst Automatische Konfiguration (verkabelt) durch, um in die Einstellungen zu gelangen.

4.2.2 Wählen Sie bei Starttyp die Option Automatisch aus und klicken auf Übernehmen.

4.2.3 Führen Sie in der Dienst-Übersicht einen Rechtsklick auf den Dienst Automatische Konfiguration (verkabelt) aus und klicken im Kontextmenü auf Starten.

4.3 Konfiguration der Ethernet-Schnittstelle:

4.3.1 Öffnen Sie in den Netzwerk & Interneteinstellungen die Eigenschaften der Ethernet-Schnittstelle.

4.2.5 Wechseln Sie in den Reiter Authentifizierung und passen die folgenden Parameter an:

Aktivieren Sie die Option IEEE 802.1X-Authentifizierung aktivieren.
Wählen Sie für die Netzwerkauthentifizierung die Methode Microsoft: Geschütztes EAP (PEAP) aus.

4.2.6 Klicken Sie auf Einstellungen.

Konfiguration auf dem PC:

5.1 Starten Sie den Dienste-Manager von Windows und öffnen Sie den Eigenschaften-Dialog des Dienstes Automatische Konfiguration (verkabelt).

5.2 Stellen Sie den Starttyp auf Automatisch ein und schließen Sie den Dialog mit OK.

5.3 Starten Sie den Dienst einmalig manuell. Nach einem Neustart des PC wird der Dienst automatisch gestartet.

5.4 Öffnen Sie im Netzwerk- und Freigabecenter den Eigenschaften-Dialog Ihrer Netzwerkkarte. Aktivieren Sie dort auf der Registerkarte Authentifizierung die Option IEEE 802.1X-Authentifizierung und wählen Sie als Authentifizierungsmethode Geschütztes EAP (PEAP) aus.

5.5 Klicken Sie auf die Schaltfläche Einstellungen.

5.6 Aktivieren Sie die Option Serverzertifikat überprüfen und wählen Sie dann aus der unteren Liste die zum Zertifikat gehörende Stammzertifizierungsstelle aus. In unserem Beispiel ist das CA-LANCOM. Als Authentifizierungsmethode wählen Sie Sicheres Kennwort (EAP-MSCHAPv2) aus.

5.7 Klicken Sie dann auf die Schaltfläche Konfigurieren.

5.8 Deaktivieren Sie die Option Automatisch eigenen Windows-Anmeldenamen und Kennwort verwenden.

5.9 Klicken Sie auf OK, um die Einstellungen zu übernehmen.

5.10. Klicken Sie in der Registerkarte Authentifizierung auf die Schaltfläche Zusätzliche Einstellungen.

5.11 Aktivieren Sie im Dialog 802.1X-Einstellungen den Authentifizierungsmodus und wählen Sie als Methode Benutzer- oder Computerauthentifizierung aus.

5.12. Schließen Sie die Konfigurationsdialoge mit der Schaltfläche OK. Die Konfiguration des PCs ist damit abgeschlossen.

Funktionsüberprüfung:

6.1 Stellen Sie sicher, dass der PC an dem Switch-Port angeschlossen ist, für welchen Sie eine Zugangskontrolle nach IEEE 802.1X konfiguriert haben.

6.2 Starten Sie Ihren PC neu und melden Sie sich wie gewohnt am System an.

6.3 Während der PC versucht, eine Netzwerkverbindung aufzubauen, erhalten Sie in der Taskleiste einen Hinweis, dass zum Aufbau der Netzwerkverbindung weitere Anmeldeinformationen benötigt werden.

6.4 Klicken Sie auf diesen Hinweis und es öffnet sich ein Fenster, in welchem Sie zur Netzwerkauthentifizierung einen Benutzernamen und ein Passwort eingeben müssen.

6.5 Geben Sie die Benutzerdaten ein, welche in der Benutzertabelle des LANCOM RADIUS-Servers im Konfigurationsschritt 2.5 konfiguriert wurden. In diesem Beispiel ist der Benutzername PC1 und das Passwort lautet lancom.

6.6 Nachdem Sie auf OK geklickt haben, wird der PC authentisiert und der Switch-Port, an welchem der PC angeschlossen ist, wird für die Datenübertragung freigeschaltet.