Mit IEEE 802.1X und Zertifikaten Network Access Control implementieren

Switches konfigurieren

Im Cisco IOS aktiviert der Befehl »dot1x system-auth-control« 802.1X im ganzen Switch (Listing 1). Mittels »radius-server host Radius-IP« trägt der Admin den Radius-Server, mit »key« als Radius »secret« ein. Wozu ein »aaa authentication« die Gruppe »radius« zuweist. Die Befehle »dot1x pae authenticator« und »dot1x port-control auto« verwandeln dann das gewählte Interface in ein 802.1X-Interface. Das Gast-VLAN, das bei fehlgeschlagenen Autorisierungsversuchen den Client in ein unkritisches Netz schaltet, konfiguriert der Admin mit »dot1x guest-vlan vlan-id«. Bei weiteren Fragen helfen der IOS-Configuration-Guide [7] oder das Free-Radius-Wiki [8].

Listing 1: Cisco IOS konfigurieren
Switch# configure terminal Switch(config)# dot1x system-auth-control Switch(config)# aaa new-model Switch(config)# aaa authentication dot1x default radius Switch(config)# radius-server host 192.168.123.23 auth-port 1812 key secret Switch(config)# interface fa1/10 Switch(config-if)# switchport mode access Switch(config-if)# dot1x pae authenticator Switch(config-if)# dot1x port-control auto Switch(config-if)# end Switch# show dot1x interface fa1/10 details

Listing 1: Cisco IOS
konfigurieren

Switch# configure terminal  
Switch(config)# dot1x system-auth-control  
Switch(config)# aaa new-model  
Switch(config)# aaa authentication dot1x default radius  
Switch(config)# radius-server host 192.168.123.23 auth-port 1812 key secret  
Switch(config)# interface fa1/10  
Switch(config-if)# switchport mode access  
Switch(config-if)# dot1x pae authenticator  
Switch(config-if)# dot1x port-control auto  
Switch(config-if)# end  
Switch# show dot1x interface fa1/10 details

Radius verwaltet Benutzer

Mit dem RAS-Server, der alle berechtigten Supplikanten kennt, spricht der Switch das in RFC 2865 definierte Radius-Protokoll. Dessen Kommunikation schützt ein Shared Secret, das der Admin beispielsweise mit »pwgen -s -1« generiert und zunächst im Switch hinterlegt. Damit ist das Netzgerät vorbereitet. Alle weiteren Server-seitigen Einstellungen nimmt der Systemverwalter auf dem RAS-Server vor. Dort verwaltet er auch die Zertifikate, es sei denn, er möchte diese Aufgabe aus besonderen Sicherheitsgründen auf einen separaten Rechner verlagern.

Als Remote-Access-Server ist Free Radius die richtige Wahl [9]. Mit ein paar Anpassungen in den Standard-Konfigurationsdateien unter »/etc/raddb/« (Open Suse) oder »/etc/freeradius/« (Ubuntu) aktiviert der Admin EAP-TLS. Die Grundeinstellungen von Free Radius lassen sich in vielfältiger Weise in einer Reihe von Einzeldateien erweitern. So kann die Software ihre Benutzerliste auch aus einer Datenbank oder einem Verzeichnisdienst beziehen oder Benutzern Zeitbeschränkungen auferlegen.

Allgemeine Einstellungen beherbergt »radius.conf«: Da der Server nur authentisieren soll, ist die Sektion »listen« mit »type=auth« relevant. Der Admin setzt die IP-Adresse beim Schlüssel »ipaddr«, anderfalls lauscht die Software auf allen Interfaces nach Anfragen auf UDP-Port 1812. Eventuell passt der Systemverwalter daher seine Firewallregeln an. Um später Anfragen besser nachzuvollziehen, hilft in der Sektion »log« die Einstellung »auth = yes« - sie protokolliert insbesondere fehlgeschlagene Versuche.

Die Datei »clients.conf« legt das Admin-Segment zwischen Server und Radius-Server fest, aus dem Letzterer Anfragen entgegennimmt. Der Eintrag »secret« enthält das gemeinsame Geheimnis zwischen den Partnern:

client 192.168.123.0/24 {
        secret     = hEoLw6DC
        shortname  = uebelhackers
}

Die Datei »radius.conf« bindet »eap.conf« ein. Dort setzt der Admin den Schlüssel »default_eap_type« auf »tls«. In der gleichnamigen Untersektion hinterlegt er noch bei »private_key_password« das Passwort, das ein noch zu erzeugendes Server-Zertifikat freischaltet. Es weist dem Supplikanten später nach, dass der RAS-Server authentisch ist.