Open Source im professionellen Einsatz
Linux-Magazin 09/2009
450

Switches konfigurieren

Im Cisco IOS aktiviert der Befehl »dot1x system-auth-control« 802.1X im ganzen Switch (Listing 1). Mittels »radius-server host Radius-IP« trägt der Admin den Radius-Server, mit »key« als Radius »secret« ein. Wozu ein »aaa authentication« die Gruppe »radius« zuweist. Die Befehle »dot1x pae authenticator« und »dot1x port-control auto« verwandeln dann das gewählte Interface in ein 802.1X-Interface. Das Gast-VLAN, das bei fehlgeschlagenen Autorisierungsversuchen den Client in ein unkritisches Netz schaltet, konfiguriert der Admin mit »dot1x guest-vlan vlan-id«. Bei weiteren Fragen helfen der IOS-Configuration-Guide [7] oder das Free-Radius-Wiki [8].

Listing 1: Cisco IOS
konfigurieren

Switch# configure terminal  
Switch(config)# dot1x system-auth-control  
Switch(config)# aaa new-model  
Switch(config)# aaa authentication dot1x default radius  
Switch(config)# radius-server host 192.168.123.23 auth-port 1812 key secret  
Switch(config)# interface fa1/10  
Switch(config-if)# switchport mode access  
Switch(config-if)# dot1x pae authenticator  
Switch(config-if)# dot1x port-control auto  
Switch(config-if)# end  
Switch# show dot1x interface fa1/10 details 

Radius verwaltet Benutzer

Mit dem RAS-Server, der alle berechtigten Supplikanten kennt, spricht der Switch das in RFC 2865 definierte Radius-Protokoll. Dessen Kommunikation schützt ein Shared Secret, das der Admin beispielsweise mit »pwgen -s -1« generiert und zunächst im Switch hinterlegt. Damit ist das Netzgerät vorbereitet. Alle weiteren Server-seitigen Einstellungen nimmt der Systemverwalter auf dem RAS-Server vor. Dort verwaltet er auch die Zertifikate, es sei denn, er möchte diese Aufgabe aus besonderen Sicherheitsgründen auf einen separaten Rechner verlagern.

Als Remote-Access-Server ist Free Radius die richtige Wahl [9]. Mit ein paar Anpassungen in den Standard-Konfigurationsdateien unter »/etc/raddb/« (Open Suse) oder »/etc/freeradius/« (Ubuntu) aktiviert der Admin EAP-TLS. Die Grundeinstellungen von Free Radius lassen sich in vielfältiger Weise in einer Reihe von Einzeldateien erweitern. So kann die Software ihre Benutzerliste auch aus einer Datenbank oder einem Verzeichnisdienst beziehen oder Benutzern Zeitbeschränkungen auferlegen.

Allgemeine Einstellungen beherbergt »radius.conf«: Da der Server nur authentisieren soll, ist die Sektion »listen« mit »type=auth« relevant. Der Admin setzt die IP-Adresse beim Schlüssel »ipaddr«, anderfalls lauscht die Software auf allen Interfaces nach Anfragen auf UDP-Port 1812. Eventuell passt der Systemverwalter daher seine Firewallregeln an. Um später Anfragen besser nachzuvollziehen, hilft in der Sektion »log« die Einstellung »auth = yes« - sie protokolliert insbesondere fehlgeschlagene Versuche.

Die Datei »clients.conf« legt das Admin-Segment zwischen Server und Radius-Server fest, aus dem Letzterer Anfragen entgegennimmt. Der Eintrag »secret« enthält das gemeinsame Geheimnis zwischen den Partnern:

client 192.168.123.0/24 {
        secret     = hEoLw6DC
        shortname  = uebelhackers
}

Die Datei »radius.conf« bindet »eap.conf« ein. Dort setzt der Admin den Schlüssel »default_eap_type« auf »tls«. In der gleichnamigen Untersektion hinterlegt er noch bei »private_key_password« das Passwort, das ein noch zu erzeugendes Server-Zertifikat freischaltet. Es weist dem Supplikanten später nach, dass der RAS-Server authentisch ist.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Schutz in der Tiefe

    Das Radius-Protokoll dient meist dazu, Benutzer an Dial-in-Systemen zu authentifizieren. In Kombination mit 802.1X schützt Radius aber auch lokale Netze: Anwender und deren Rechner müssen sich erst in tiefen Protokollschichten authentifizieren, bevor der Switch ihren Port freigibt.

  • In eigener Sache: Artikel-Bundle "Netzwerk total" für echte Profis

    Effiziente Netzwerke betreiben ist die Domäne von Linux schlechthin - da macht ihm kein anderes System etwas vor. Offen und pragmatisch, effizient und anpassbar sind seine Tools und Protokolle. Dieser Schwerpunkt widmet sich dem Klassiker und nimmt Neues und Nützliches unter die Lupe.

  • Schutzwall

    Ein internes Netz ohne virenverseuchte oder einbruchsgefährdete Rechner ist die Idealvorstellung der Network Access Control (NAC). Um das zu erreichen, macht sie für die abgeschottete Produktivumgebung einen Zugangstest obligatorisch. Praktisch durchgesetzt hat sich die Idee jedoch noch nicht.

  • In eigener Sache: Großes Security-Bundle bietet 12 Mal Sicherheit

    Das große Security-Bundle mit 52 Seiten enthält die 12 interessantesten, nützlichsten und unterhaltsamsten Artikel über Open-Source-Security aus 14 Monaten Linux-Magazin.

  • Kostenloses Lesefutter aus dem Linux-Magazin 09/2009 "Netzwerk Total"

    Mit Erscheinen von Linux-Magazin 08/2010 sind die Artikel der Linux-Magazin-Ausgabe 09/2009 "Netzwerk total: Neue Sicherheits-, Performance- und HA-Tools für den Admin" in den frei zugänglichen Bereich von Linux-Magazin Online gerückt.

comments powered by Disqus

Ausgabe 10/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.