Quelle anzeigen

Beschreibung:

Im folgenden Dokument wird beschrieben, wie Sie mit LEPS-MAC (LANCOM Enhanced Passphrase Security) die Konfiguration von separaten Zugangsschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes auf einem LANCOM Access Point mit LCOS LX einrichten können.

Was ist LEPS-MAC?

Bei LEPS-MAC wird jeder MAC-Adresse in einer zusätzlichen Spalte der ACL (Access Control List) eine individuelle Passphrase zugeordnet – eine beliebige Folge aus 8 bis 63 ASCII-Zeichen. Nur die Verbindung von Passphrase und MAC-Adresse erlaubt die Anmeldung am Access Point.

Da Passphrase und MAC-Adresse verknüpft sind, ist auch das Spoofing der MAC-Adressen wirkungslos – LEPS-MAC schließt damit auch einen möglichen Angriffspunkt gegen die ACL aus. Wenn als Verschlüsselungsart WPA2 verwendet wird, kann zwar die MAC-Adresse abgehört werden – die Passphrase wird bei diesem Verfahren jedoch nie über die WLAN-Strecke übertragen.

Angriffe auf das WLAN werden so deutlich erschwert, da durch die Verknüpfung von MAC-Adresse und Passphrase immer beide Teile bekannt sein müssen, um eine Verschlüsselung zu verhandeln.

LEPS-MAC kann sowohl lokal im Gerät genutzt werden als auch mit Hilfe eines RADIUS-Servers zentral verwaltet werden. LEPS-MAC funktioniert mit sämtlichen am Markt befindlichen WLAN-Client-Adaptern, ohne dass dort eine Änderung stattfinden muss. Da LEPS-MAC ausschließlich im Access Point konfiguriert wird, ist jederzeit die volle Kompatibilität zu Fremdprodukten gegeben.

Im Vergleich zu LEPS-U ist der Verwaltungsaufwand etwas höher, da für jedes Gerät die MAC-Adresse eingetragen werden muss.

LEPS ist auf LANCOM Access Points mit LCOS LX nur mit WPA2 kompatibel.

Voraussetzungen:

LCOS LX ab Version 5.34 RU2 (download aktuelle Version)
LANtools ab Version 10.50 (download aktuelle Version)
Bereits konfiguriertes und funktionsfähiges WLAN-Netzwerk mit WPA2-Verschlüsselung

Vorgehensweise:

1. Konfiguration von LEPS-MAC auf einem Standalone Access Point:

1.1 Konfiguration von LEPS-MAC auf einem Standalone Access Point mit der LEPS-Benutzer-Tabelle:

1.1.1 Öffnen Sie die Konfiguration des Access Points in LANconfig, wechseln in das Menüs Wireless-LAN → Stationen/LEPS und wählen bei LEPS aktiviert die Option Ja aus.

LANCOM Support Knowledge Base > LEPS-MAC: Einrichtung von separaten Zugangsschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes (LCOS LX) > 1.png

1.1.2 Wechseln Sie in das Menü Profile.

LANCOM Support Knowledge Base > LEPS-MAC: Einrichtung von separaten Zugangsschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes (LCOS LX) > 2.png

1.1.3 Erstellen Sie ein neues Profil und passen folgende Parameter an:

Name: Vergeben Sie einen aussagekräftigen Namen für das LEPS-MAC Profil.
Netzwerkname: Wählen Sie im Dropdownmenü das bereits bestehende WLAN-Netzwerk aus.
MAC-Adresse prüfen: Wählen Sie im Dropdownmenü die Option Whitelist aus. Dadurch wird der WLAN-Zugriff nur für die hinterlegten Teilnehmer erlaubt und für alle anderen unterbunden.

LANCOM Support Knowledge Base > LEPS-MAC: Einrichtung von separaten Zugangsschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes (LCOS LX) > 3.png

1.1.4 Wechseln Sie in das Menü Benutzer.

LANCOM Support Knowledge Base > LEPS-MAC: Einrichtung von separaten Zugangsschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes (LCOS LX) > 4.png

1.1.5 Erstellen Sie einen neuen Benutzer und passen folgende Parameter an:

Name: Vergeben Sie einen aussagekräftigen Namen für den LEPS-Benutzer.
Profil: Wählen Sie im Dropdownmenü das in Schritt 3. erstellte LEPS-Profil aus.
WPA-Passphrase: Tragen Sie optional einen WPA-Key (8 bis 64 Zeichen) ein, der auf dem WLAN-Endgerät anstelle des in dem WLAN-Netzwerk hinterlegten Keys eingegeben werden muss. So kann für jedes Endgerät ein eigener WPA-Key hinterlegt werden. Bleibt der Eintrag leer, so wird der WPA-Key des WLAN-Netzwerks verwendet.
MAC-Adresse: Tragen Sie die MAC-Adresse des WLAN-Endgerätes im Format 00:a0:57:12:34:56 ein.

Wiederholen Sie diesen Schritt gegebenenfalls für weitere WLAN-Endgeräte.

LANCOM Support Knowledge Base > LEPS-MAC: Einrichtung von separaten Zugangsschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes (LCOS LX) > 5.png

1.1.6 Die Konfigurationsschritte zur Einrichtung von LEPS-MAC auf einem Standalone Access Point über die LEPS-Benutzer sind damit abgeschlossen. Schreiben Sie die Konfiguration in den Access Point zurück.

1.2 Konfiguration von LEPS-MAC auf einem Standalone Access Point mit einem externen RADIUS-Server:

1.2.1 Wechseln Sie auf dem Access Point in das Menü Wireless-LAN → RADIUS → RADIUS-Server.

LANCOM Support Knowledge Base > LEPS-MAC: Einrichtung von separaten Zugangsschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes (LCOS LX) > LCOS-LX-EXT-RADIUS.png

1.2.2 Erstellen Sie einen neuen Eintrag und passen die folgenden Parameter an:

Name: Vergeben Sie einen aussagekräftigen Namen für das RADIUS-Profil (in diesem Beispiel RADIUS-EXT).
Port: Stellen Sie sicher, dass der Port 1812 hinterlegt ist.
Schlüssel (Secret): Tragen Sie ein Passwort ein, welches der Access Point zur Authentifizierung am RADIUS-Server verwendet.
Server-IP-Adresse: Tragen Sie die IP-Adresse des RADIUS-Servers ein.
RADIUS-MAC-Adr.-Prüfung: Wählen Sie im Dropdown-Menü die Option Ja aus.

Durch Aktivierung der RADIUS-MAC-Adr.-Prüfung verwendet der Access Point die MAC-Adresse als RADIUS-Server Passwort-Quelle. In diesem Fall muss auf dem externen RADIUS-Server im Benutzer die MAC-Adresse als Benutzername und als Passwort hinterlegt werden.

Im Normalfall verwenden die WLAN-Teilnehmer den WPA-Key aus dem WLAN-Netzwerk. Da in diesem Szenario für jeden WLAN-Teilnehmer ein separater WPA-Key verwendet werden soll, muss dieser über den RADIUS-Parameter LCS-WPA-Passphrase übermittelt werden. Dieser Parameter muss auch vom verwendeten RADIUS-Server unterstützt werden. Gegebenenfalls muss dazu auf dem RADIUS-Server noch ein entsprechendes Dictionary importiert werden.

LANCOM Support Knowledge Base > LEPS-MAC: Einrichtung von separaten Zugangsschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes (LCOS LX) > LCOS-LX-EXT-RADIUS2.png

1.2.3 Wechseln Sie in das Menü Wireless-LAN → WLAN-Netzwerke → Verschlüsselung.

LANCOM Support Knowledge Base > LEPS-MAC: Einrichtung von separaten Zugangsschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes (LCOS LX) > LCOS-LX-EXT-RADIUS3.png

1.2.4 Klicken Sie auf Hinzufügen, um ein neues Verschlüsselungs-Profil zu erstellen.

LANCOM Support Knowledge Base > LEPS-MAC: Einrichtung von separaten Zugangsschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes (LCOS LX) > LCOS-LX-EXT-RADIUS4.png

1.2.5 Passen Sie die folgenden Parameter an:

Profilname: Vergeben Sie einen aussagekräftigen Namen für das Verschlüsselungs-Profil (in diesem Beispiel P-PSK-RADIUS-EXT).
Verschlüsselung: Stellen Sie sicher, dass die Option Ja ausgewählt ist.
Methode: Wählen Sie im Dropdown-Menü die Option WPA(2/3)-PSK aus.
WPA-Version: Wählen Sie im Dropdown-Menü die gewünschte WPA-Version aus (in diesem Beispiel WPA2).
RADIUS-Serverprofil: Wählen Sie im Dropdown-Menü das in Schritt 1.2.2 erstellte RADIUS-Profil aus.

LANCOM Support Knowledge Base > LEPS-MAC: Einrichtung von separaten Zugangsschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes (LCOS LX) > LCOS-LX-EXT-RADIUS5.png

1.2.6 Wechseln Sie in das Menü Wireless-LAN → WLAN-Netzwerke → Netzwerke.

LANCOM Support Knowledge Base > LEPS-MAC: Einrichtung von separaten Zugangsschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes (LCOS LX) > LCOS-LX-EXT-RADIUS6.png

1.2.7 Bearbeiten Sie die vorhandene SSID und weisen dieser über das Dropdown-Menü das in Schritt 1.2.5 erstellte Verschlüsselungs-Profil zu.

LANCOM Support Knowledge Base > LEPS-MAC: Einrichtung von separaten Zugangsschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes (LCOS LX) > LCOS-LX-EXT-RADIUS7.png

1.2.8 Die Konfiguration der LEPS-MAC-Authentifizierung über einen externen RADIUS-Server auf einem Standalone Access Point ist damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.

2. Konfiguration von LEPS-MAC auf einem WLAN-Controller:

2.1 Konfiguration von LEPS-MAC auf einem WLAN-Controller über die Stationsregeln:

2.1.1 Wechseln Sie auf dem WLAN-Controller in das Menü WLAN-Controller → Profile → RADIUS-Profile.

LANCOM Support Knowledge Base > LEPS-MAC: Einrichtung von separaten Zugangsschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes (LCOS LX) > WLC1a.png

2.1.2 Stellen Sie sicher, dass im Profil DEFAULT unter Authentifizierungs-Server die Standard-Einstellungen gesetzt sind:

IP-Adresse: 0.0.0.0
Port: 1812
Schlüssel (Secret): Kein Schlüssel

LANCOM Support Knowledge Base > LEPS-MAC: Einrichtung von separaten Zugangsschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes (LCOS LX) > WLC4.png

2.1.3 Wechseln Sie in das Menü WLAN-Controller → Profile → Logische WLAN-Netzwerke (SSIDs).

LANCOM Support Knowledge Base > LEPS-MAC: Einrichtung von separaten Zugangsschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes (LCOS LX) > WLC1.png

2.1.4 Passen Sie in dem vorhandenen logischen WLAN-Netzwerk die folgenden Parameter an:

Stellen Sie sicher, dass das RADIUS-Profil DEFAULT ausgewählt ist.
Aktivieren Sie die Option MAC-Prüfung aktiviert.

LANCOM Support Knowledge Base > LEPS-MAC: Einrichtung von separaten Zugangsschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes (LCOS LX) > WLC3.png

2.1.5 Wechseln Sie in das Menü RADIUS → Server und aktivieren die Option RADIUS-Authentisierung aktiv, um den RADIUS-Server zu aktivieren.

Auf einem WLAN-Controller muss im Gegensatz zu einem Standalone Access Point der RADIUS-Server aktiviert werden, da die MAC-Filterung hier über RADIUS läuft.

LANCOM Support Knowledge Base > LEPS-MAC: Einrichtung von separaten Zugangsschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes (LCOS LX) > WLC-RADIUS.png

2.1.6 Wechseln Sie in das Menü WLAN-Controller → Stationen/LEPS → Stationsregeln.

LANCOM Support Knowledge Base > LEPS-MAC: Einrichtung von separaten Zugangsschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes (LCOS LX) > LEPS-MAC3.png

2.1.7 Passen Sie die folgenden Parameter an:

MAC-Adressen-Muster: Tragen Sie die MAC-Adresse des WLAN-Endgerätes ein.
SSID-Muster: Tragen Sie die Wildcard * ein, damit das WLAN-Endgerät Zugriff auf alle SSIDs hat.
Name: Vergeben Sie einen aussagekräftigen Namen für das WLAN-Endgerät.
Passphrase: Geben Sie ein WLAN-Passwort ein, welches für dieses WLAN-Endgerät verwendet wird.

Beachten Sie, dass die Passphrase max. 63 Zeichen umfassen kann und keine Umlaute verwendet werden können. Folgende Zeichen können für der Passphrase verwendet werden:

#ABCDEFGHIJKLMNOPQRSTUVWXYZ@{|}~!$%&'()*+-,/:;<=>?[\]^_.0123456789abcdefghijklmnopqrstuvwxyz

Beachten Sie zu den Parametern MAC-Adressen-Muster und SSID-Muster auch den folgenden Knowledge Base Artikel:

Neuerungen und Funktionsweise der Stationsregel-Tabelle

LANCOM Support Knowledge Base > LEPS-MAC: Einrichtung von separaten Zugangsschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes (LCOS LX) > LEPS-MAC2.png

2.2 Konfiguration von LEPS-MAC auf einem WLAN-Controller mit einem externen RADIUS-Server:

2.2.1 Verbinden Sie sich per LANconfig mit dem WLAN-Controller und wechseln in das Menü WLAN-Controller → Profile → RADIUS-Profile.

LANCOM Support Knowledge Base > LEPS-MAC: Einrichtung von separaten Zugangsschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes (LCOS LX) > 6.png

2.2.2 Klicken Sie auf Hinzufügen, um ein neues RADIUS-Profil zu erstellen.

Die bereits vorhandenen Standard-Profile DEFAULT und BACKUP dürfen auf keinen Fall modifiziert werden. Da das Profil DEFAULT in jedem logischen WLAN-Netzwerk hinterlegt ist, kann dies sonst Auswirkungen auf bereits vorhandene WLANs haben.

LANCOM Support Knowledge Base > LEPS-MAC: Einrichtung von separaten Zugangsschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes (LCOS LX) > 7.png

2.2.3 Passen Sie die folgenden Parameter an:

Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel RADIUS-EXT).
IP-Adresse: Geben Sie die IP-Adresse des RADIUS-Servers ein.
Port: Stellen Sie sicher, dass der Port 1812 hinterlegt ist.
Schlüssel (Secret): Tragen Sie ein Passwort ein, mit dem sich die Access Points am RADIUS-Server authentifizieren.

Das RADIUS-Profil wird mitsamt dem WLAN-Profil direkt an die Access Points ausgerollt. Die Access Points stellen die RADIUS-Anfragen somit direkt an den RADIUS-Server. Auf dem RADIUS-Server müssen die Anfragen der Access Points dann gegebenenfalls noch erlaubt werden.

Access Points mit LCOS LX verwenden immer die MAC-Adresse als RADIUS-Server Passwort-Quelle. In diesem Fall muss auf dem externen RADIUS-Server im Benutzer die MAC-Adresse als Benutzername und als Passwort hinterlegt werden. Weiterhin muss der verwendete RADIUS-Server den RADIUS-Parameter LCS-WPA-Passphrase unterstützen. Gegebenenfalls muss dazu auf dem RADIUS-Server noch ein entsprechendes Dictionary importiert werden.

LANCOM Support Knowledge Base > LEPS-MAC: Einrichtung von separaten Zugangsschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes (LCOS LX) > 8.png

2.2.4 Wechseln Sie in das Menü WLAN-Controller → Profile → Logische WLAN-Netzwerke (SSIDs).

LANCOM Support Knowledge Base > LEPS-MAC: Einrichtung von separaten Zugangsschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes (LCOS LX) > 9a.png

2.2.5 Passen Sie in dem vorhandenen logischen WLAN-Netzwerk die folgenden Parameter an

Wählen Sie im Dropdown-Menü bei RADIUS-Profil das in Schritt 2.2.3 erstellte Profil aus.
Aktivieren Sie die Option MAC-Prüfung aktiviert.

LANCOM Support Knowledge Base > LEPS-MAC: Einrichtung von separaten Zugangsschlüsseln für jeden Teilnehmer eines WLAN-Netzwerkes (LCOS LX) > 9.png