High Availability lässt sich heute mit günstiger Hardware und einer großen Auswahl an kommerzieller sowie freier Software realisieren. ADMIN erklärt die ... (mehr)

Supplikanten spielen auf

Das Paket »wpa_supplicant« richtet der Benutzer analog ein und testet es mit:

wpa_supplicant -i eth0 -D wired -c /etc/wpa_supplicant/wired.conf

Die Konfigurationsdatei »wired.conf« richtet er dazu neu ein, wie im Listing  7 angegeben. Da die 802.1X-Authentifizierung kabelgebunden stattfindet, kann er die »eapol_version« mit Version  2 verwenden und das Scannen nach Accesspoints deaktivieren.

Listing 7

wired.conf

 

Die Authentifizierung war erfolgreich, wenn der Supplikant »CTRL-EVENT-EAP-SUCCESS« meldet. Damit er permanent im Hintergrund läuft und bei 802.1X-Ports automatisch den Client authentifiziert, passt der Benutzer unter Debian »/etc/network/interfaces« wie in Listing  8 an, wenn er DHCP verwendet. Ansonsten ändert er »dhcp« in »static« und setzt eine feste IP-Adresse. »/etc/init.d/networking restart« aktiviert die Einstellungen. Falls der Client an einen Port ohne IEEE 802.1X im Modus »authorized« gerät, läuft der Anmeldeversuch zwar ins Leere, der Client arbeitet aber wie gewohnt.

Listing 8

interfaces aktiviert auch DHCP

 

Zum Abschluss überführt der Admin den Radius-Server in den Produktivbetrieb: Er startet den Service mit »service freeradius start« und markiert ihn mit »chkconfig freeradius on« zum Autostart.

Ausbau möglich

Die Komponenten für eine gerätebasierte Authentifizierung von Endgeräten an Switches sind vielerorts vorhanden. Es liegt am Administrator, sie miteinander zu kombinieren. Manche verstehen unter Network Access Control noch zusätzliche Aspekte, etwa technisch überprüfte Versionsstände oder aktuelle Virensignaturen, die einer Security Policy genügen. Insofern bietet NAC noch viele Optionen zum Ausbau: Neben der Anbindung an LDAP oder eine SQL-Datenbank lohnt sich in komplexeren Umgebungen eine PKI, etwa mit Tiny CA [14]. Smartcards wie das E-Token von Aladdin schützen private Benutzerzertifikate [15].

IPv6 stellt Free Radius ab Version  2 vor keine Probleme, jedoch manchen 802.1X-fähigen Switch. Wer mit IKEv2 experimentiert, dem sei die »experimental.conf« des Projekts ans Herz gelegt, aber auch ein gleichnamiges Sourceforge-Projekt forscht daran [16]. Außerdem dürfen sich dank Hostapd-Projekt [17] Administratiren bald auf EAP2 genannte Neu-Implementierungen von EAP in Free Radius freuen.

Infos

  1. IEEE 802.1x-2004: http://www.ieee802.org/1/pages/802.1x-2004.html
  2. Thorsten Dahm, "Layer-2 Security-Features": GUUG Hamburg: http://www.guug.de/lokal/hamburg/talks/IEEE%20802.1x,%20DAI+DHCP-Snooping.pdf
  3. RFC 5216, "EAP-TLS Authentication Protocol": http://tools.ietf.org/rfc/rfc5216.txt
  4. Netgear FSM726: http://netgear.de/Produkte/Switches/Managed/FSM726/
  5. 3Com 2924-SFP: http://3com.com/prod/de_CE_EMEA/detail.jsp?sku=3CBLSG24
  6. Level One GSW-2494: http://download.level1.info/datasheet/GSW-2494.pdf
  7. Cisco 802.1x-Guide: http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/31sg/configuration/guide/dot1x.html
  8. Free-Radius-Wiki zu Cisco-IOS-Befehlen: http://wiki.freeradius.org/Cisco
  9. M. Schwartzkopff, "Free Radius: Schutz in der Tiefe": Linux-Magazin 01/05, S. 66
  10. Free Radius in Github: http://github.com/alandekok/freeradius-server/tree/master
  11. Open1X-Projekt: http://open1x.sf.net
  12. OpenSEA: http://openseaalliance.org
  13. WPA-Supplikant:http://hostap.epitest.fi/wpa_supplicant/
  14. Tiny CA: http://tinyca.sm-zone.net
  15. Aladdin-E-Token-Devices:http://www.aladdin.de/eToken/devices/
  16. EAP-IKEv2-Projekt bei Sourceforge: http://eap-ikev2.sf.net
  17. Von Free Radius unterstützte EAP-Modi: http://freeradius.org/features/eap.html

Der Autor

Sven Übelacker arbeitet bei einem Hamburger IT-Sicherheitsunternehmen. Den Sommer verbringt er am liebsten grillend auf seiner Tux-Terrasse.

comments powered by Disqus
Mehr zum Thema

Portbasierter Zugriffsschutz mit NAP und 802.1X

Während die Einhaltung der Sicherheitsstandards bei verwalteten PCs relativ einfach durchzusetzen ist, schleusen mobile Endgeräte wie Laptops immer wieder Viren ein. Network Access Protection (NAP) kann in Verbindung mit dem portbasierten Zugriffsschutz nach IEEE 802.1X sicherstellen, dass das mobile Endgerät die geforderten Sicherheitsstandards einhält, bevor es Zugriff auf das Unternehmensnetzwerk erhält.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020