Beschreibung:
Dieses Dokument beschreibt die Vorgehensweise zur Einrichtung einer zertifikatsbasierten (IEEE 802.1X) Zugangskontrolle für Netzwerk-Clients unter Verwendung eines LANCOM Switches (z.B. LANCOM GS-2326P) und einem RADIUS-Server, welcher von einem LANCOM Router bereitgestellt wird.
Die Authentifizierung zwischen Netzwerk-Client und LANCOM-Switch wird in diesem Konfigurationsbeispiel über das Extensible Authentication Protocol (EAP) und dem Authentifizierungsverfahren Transport Layer Security (TLS) durchgeführt.
Bei der EAP-basierten Authentifizierung muss immer ein RADIUS-Server verwendet werden, welcher als Authentifizierungs-Server fungiert. Da alle LANCOM Router über einen integrierten RADIUS-Server verfügen, wird in diesem Dokument der RADIUS-Server des LANCOM als Authentifizierungs-Server verwendet.
Die Ports des LANCOM Switch sollen erst für eine Datenübertragung freigeschaltet werden, nachdem ein Netzwerk-Client erfolgreich vom RADIUS-Server authentifiziert wurde. Der LANCOM Switch fungiert daher in diesem Szenario als Authenticator.



Voraussetzungen:


Szenario:
  • Der LANCOM Router stellt bereits die Internet-Verbindung zur Verfügung. Des weiteren wird der integrierte RADIUS-Server des LANCOM Routers für die Authentifizierung der am LANCOM Switch angeschlossenen Netzwerk-Clients verwendet. Das zur Authentifizierung benötigte X.509 Server-Zertifikat ist auf dem LANCOM-Router verfügbar.
  • Am LANCOM Switch werden die Ports so konfiguriert, dass sich per Kabel verbundene Netzwerk-Clients zunächst mit dem Stamm-Zertifikat der CA am RADIUS-Server authentifizieren müssen, bevor der entsprechende Port zur Datenübertragung freigeschaltet wird. Aus Sicherheitsgründen wird die Port-Konfiguration des Switch im sogenannten Single Mode betrieben, sodass pro Switch Port immer nur ein Netzwerk-Client authentifiziert werden kann.
Wie in der Szenariografik zu erkennen ist, kann auch ein LANCOM Access Point als Netzwerk-Client am Switch authentifiziert werden. Hierzu muss der LANCOM Access Point (genau wie alle anderen Netzwerk-Clients) über das Stamm-Zertifikat der CA verfügen. Weiterhin muss auf dem Access Point der Konsolen-Befehl set Setup/LAN/IEEE802.1x/Supplicant-Ifc-Setup/LAN-1 TLS ausgeführt werden, damit dieser sich über die LAN-Schnittstelle per TLS authentifiziert (ändern Sie den LAN-Port in dem Befehl auf LAN-2 ab, sofern der Access Point per LAN-2 mit dem Switch verbunden ist).
WLAN-Clients, welche sich zum LANCOM Access Point verbinden, benötigen das Stamm-Zertifikat nicht, da der Access Point bereits am Switch authentifiziert wurde und eine Datenübertragung möglich ist.


Konfigurationsschritte auf dem LANCOM Router:
1. Hochladen des Server Zertifikates
Info:
Eine Anleitung zum Erstellen von X.509-Zertifikaten mit der Anwendung XCA ist in diesem Knowledge Base-Dokument enthalten.
1.1 Führen Sie in LANconfig einen rechten Mausklick auf dem LANCOM Router aus und wählen Sie die Option Konfigurations-Verwaltung → Zertifikat als Datei hochladen.
1.2 Wählen Sie im folgenden Dialog die Zertifikats-Datei für den LANCOM Router aus. In diesem Beispiel wird die Datei LANCOM_Router.p12 verwendet.
1.3 Wählen Sie im Auswahlfeld Zertifikattyp die Einstellung EAP/TLS-Container als PKCS#12-Datei aus.
1.4 Geben Sie im Feld Passwort das Passwort des Zertifikates ein. In diesem Beispiel lautet das Passwort lancom.
1.5 Klicken Sie auf Öffnen, um das Zertifikat in den LANCOM Router zu laden.
Sie können sich das Zertifikat, welches Sie in den LANCOM Router geladen haben, ansehen, indem Sie eine Telnet- oder SSH-Sitzung auf dem LANCOM Router starten und an der Eingabeaufforderung den Befehl show eap eingeben (ab LCOS 10.70 heißt dieser Befehl show eaptls).



2. Konfiguration des im LANCOM Router integrierten RADIUS-Servers
2.1 Öffnen Sie das Menü RADIUS → Server und aktivieren den RADIUS-Server, indem Sie den Haken bei RADIUS-Authentisierung aktiv setzen.
2.2 Wechseln Sie in das Menü RADIUS-Dienste Ports.
2.3 Stellen Sie sicher, dass bei Authentifizierungs-Port der Port 1812 hinterlegt ist.
2.4 Wechseln Sie in das Menü IPv4-Clients.
2.5 Erstellen Sie einen neuen Eintrag und fügen den LANCOM Switch als erlaubten RADIUS-Kommunikationspartner hinzu.
  • IP-Adresse: In diesem Beispiel hat der LANCOM Switch die lokale IP-Adresse 192.168.1.11.
  • Netzmaske: Tragen Sie die Netzmaske 255.255.255.255 ein. Dieser Wert steht für ein einzelne IP-Adresse.  
  • Protokolle: Stellen Sie sicher, dass das Protokoll RADIUS hinterlegt ist.
  • Client-Secret: Geben Sie ein Passwort an, mit dem der Switch sich am RADIUS-Server authentifiziert. Dieses muss auch in der Konfiguration des LANCOM Switch hinterlegt werden (siehe Schritt 3.3).
2.6 Wechseln Sie in das Menü EAP.
2.7 Stellen Sie im Auswahlfeld Default-Methode den Wert TLS ein.
2.8 Die Einrichtung des RADIUS-Servers auf dem LANCOM Router ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.


Konfigurationsschritte auf dem LANCOM Switch:
3.1 Öffnen Sie die Konfigurationsoberfläche des LANCOM Switch und wechseln Sie in das Menü Security → NAS → Configuration.
  • Stellen Sie die Option Mode auf Enabled.
  • In der Port Configuration müssen Sie für die Ports, auf welchen eine Authentifizierung nach 802.1X durchgeführt werden soll, die Option Port-based 802.1X einstellen.
3.2 Scrollen Sie an das Ende der Konfigurationsseite und klicken Sie auf Apply, um die geänderten Einstellungen zu übernehmen.
3.3 Wechseln Sie in das Menü Security → AAA → Configuration. Im Bereich RADIUS Authentication Server Configuration aktivieren Sie in der ersten Zeile die Option Enabled.
  • Im Feld IP-Address/Hostname geben Sie die lokale IP-Adresse des LANCOM Routers ein.
  • Der Standard-Port 1812 kann übernommen werden, da der LANCOM Router diesen ebenfalls als RADIUS-Authentifizierungsport verwendet.
  • Im Feld Secret müssen Sie das gleiche Shared Secret eingeben, welches Sie bei der Konfiguration des LANCOM Routers im Schritt 2.5 verwendet haben.
3.4 Scrollen Sie an das Ende der Konfigurationsseite und klicken Sie auf Apply, um die geänderten Einstellungen zu übernehmen. Die Konfiguration des LANCOM Switches ist damit abgeschlossen.


Konfiguration eines Netzwerk-Clients (PC):
Installieren des Stamm-Zertifikates in Windows Vista und Windows 7:

Eine Anleitung zum Erstellen von X.509-Zertifikaten mit der Anwendung XCA ist in diesem Knowledge Base-Dokument enthalten.

4.1 Führen Sie einen doppelten Mausklick auf dem Stamm-Zertifikat der CA aus.

4.2 Klicken Sie auf Zertifikat installieren.
4.3 Klicken Sie auf Weiter.
4.4 Stellen Sie sicher, dass der Pfad zur Zertifikatedatei richtig angegeben ist und klicken Sie auf Weiter.
4.5 Geben Sie das Kennwort ein, mit welchem der private Schlüssel des Zertifikates geschützt ist. Bei unserem Beispiel-Zertifikat lautet das Kennwort lancom.
4.6 Belassen Sie die Einstellung bei Zertifikatspeicher automatisch auswählen und klicken Sie auf Weiter.
4.7 Klicken Sie auf Fertig stellen, um den Zertifikats-Import abzuschließen.
4.8 Bestätigen Sie die folgende Sicherheitswarnung mit Ja.
4.9 Der erfolgreiche Zertifikats-Import wird mit einer Meldung angezeigt.



Konfiguration des PCs:
5.1 Starten Sie den Dienste-Manager von Windows und öffnen Sie den Eigenschaften-Dialog des Dienstes Automatische Konfiguration (verkabelt).
5.2 Stellen Sie den Starttyp auf Automatisch ein und schließen Sie den Dialog mit OK.
5.3 Starten Sie den Dienst einmalig manuell. Nach einem Neustart des PC wird der Dienst automatisch gestartet.
5.4 Öffnen Sie im Netzwerk- und Freigabecenter den Eigenschaften-Dialog Ihrer Netzwerkkarte. Aktivieren Sie dort auf der Registerkarte Authentifizierung die Option IEEE 802.1X-Authentifizierung und wählen Sie als Authentifizierungsmethode Smartcard oder anderes Zertifikat aus.
5.5 Klicken Sie auf die Schaltfläche Einstellungen.
5.6 Legen Sie fest, dass beim Herstellen der Verbindung ein Zertifikat auf diesem Computer verwendet wird (Standardeinstellung). Deaktivieren Sie die Verwendung der einfachen Zertifikatauswahl.
5.7 Aktivieren Sie die Option Serverzertifikat überprüfen und wählen Sie dann aus der unteren Liste die zum Zertifikat gehörende Stammzertifizierungsstelle aus. In unserem Beispiel ist das CA-LANCOM.
5.8 Schließen Sie die Konfigurationsdialoge mit der Schaltfläche OK. Die Konfiguration des PCs ist damit abgeschlossen.


Funktionsüberprüfung:
6.1 Stellen Sie sicher, dass der PC an dem Switch-Port angeschlossen ist, für welchen Sie eine Zugangskontrolle nach IEEE 802.1X konfiguriert haben.
6.2 Starten Sie Ihren PC neu und melden Sie sich wie gewohnt am System an.
6.3 Der PC authentifiziert sich automatisch mit dem Zertifikat.
6.4 Nach einer erfolgreichen Authentifizierung wird der Switch-Port, an welchem der PC angeschlossen ist, für die Datenübertragung freigeschaltet.