Open Source im professionellen Einsatz
Linux-Magazin 09/2009
572

Supplikanten spielen auf

Das Paket »wpa_supplicant« richtet der Benutzer analog ein und testet es mit:

wpa_supplicant -i eth0 -D wired -c /etc/wpa_supplicant/wired.conf  

Die Konfigurationsdatei »wired.conf« richtet er dazu neu ein, wie im Listing 7 angegeben. Da die 802.1X-Authentifizierung kabelgebunden stattfindet, kann er die »eapol_version« mit Version 2 verwenden und deaktiviert das Scannen nach Accesspoints.

Listing 7:
»wired.conf«

01 eapol_version=2
02 ap_scan=0
03 fast_reauth=1
04 network={
05     key_mgmt=IEEE8021X
06     eap=TLS
07     identity="uebelacker"
08     ca_cert="/path/to/ca.pem"
09     client_cert="/path/to/s@uebelhacker.de.pem"
10     private_key="/path/to/s@uebelhacker.de.pem"
11     private_key_passwd="Usercert-Passwort"
12     eapol_flags=0
13 }

Die Authentifizierung war erfolgreich, wenn der Supplikant »CTRL-EVENT-EAP-SUCCESS« meldet. Damit er permanent im Hintergrund läuft und bei 802.1X-Ports automatisch den Client authentifiziert, passt der Benutzer unter Debian »/etc/network/interfaces« wie in Listing 8 an, wenn er DHCP verwendet. Ansonsten ändert er »dhcp« in »static« und setzt eine feste IP-Adresse. »/etc/init.d/networking restart« aktiviert die Einstellungen. Falls der Client an einen Port ohne IEEE 802.1X im Modus »authorized« gerät, läuft der Anmeldeversuch zwar ins Leere, der Client arbeitet aber wie gewohnt.

Zum Abschluss überführt der Admin den Radius-Server in den Produktivbetrieb: Er aktiviert das Init-Skript mit »service freeradius start« und merkt mit »chkconfig freeradius on« den Start für den nächsten Bootvorgang vor.

Ausbau möglich

Die Komponenten für eine gerätebasierte Authentifizierung von Endgeräten an Switches sind vielerorts vorhanden. Es liegt am Administrator, sie miteinander zu kombinieren. Unter Network Access Control verstehen einige noch zusätzliche Aspekte, etwa technisch überprüfte Versionsstände oder aktuelle Virensignaturen, die einer Security Policy genügen. Insofern bietet NAC noch viele Optionen zum Ausbau: Neben der Anbindung an LDAP oder eine SQL-Datenbank lohnt sich in komplexeren Umgebungen eine PKI, etwa mit Tiny CA [14]. Smartcards wie das E-Token von Aladdin schützen private Benutzerzertifikate [15].

IPv6 stellt Free Radius ab Version 2 vor keine Probleme, jedoch manchen 802.1X-fähigen Switch. Wer mit IKEv2 experimentiert, dem sei die »experimental.conf« des Projekts ans Herz gelegt, aber auch ein gleichnamiges Sourceforge-Projekt forscht daran [16]. Außerdem dürfen sich dank Hostapd-Projekt [17] Admins bald auf EAP2 genannte Neu-Implementierungen von EAP in Free Radius freuen.

Der Autor

Sven Übelacker arbeitet bei einem Hamburger IT-Sicherheitsunternehmen. Den Sommer verbringt er am liebsten grillend auf seiner Tux-Terrasse.

Infos

[1] IEEE 802.1x-2004: [http://www.ieee802.org/1/pages/802.1x-2004.html]

[2] Thorsten Dahm, "Layer-2 Security-Features": GUUG Hamburg: [http://www.guug.de/lokal/hamburg/talks/IEEE%20802.1x,%20DAI+DHCP-Snooping.pdf]

[3] RFC 5216, "EAP-TLS Authentication Protocol": [http://tools.ietf.org/rfc/rfc5216.txt]

[4] Netgear FSM726: [http://netgear.de/Produkte/Switches/Managed/FSM726/]

[5] 3Com 2924-SFP: [http://3com.com/prod/de_CE_EMEA/detail.jsp?sku=3CBLSG24]

[6] Level One GSW-2494: [http://download.level1.info/datasheet/GSW-2494.pdf]

[7] Cisco 802.1x-Guide: [http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/31sg/configuration/guide/dot1x.html]

[8] Free-Radius-Wiki zu Cisco-IOS-Befehlen: [http://wiki.freeradius.org/Cisco]

[9] M. Schwartzkopff, "Free Radius: Schutz in der Tiefe": Linux-Magazin 01/05, S. 66

[10] Free Radius in Github: [http://github.com/alandekok/freeradius-server/tree/master]

[11] Open1X-Projekt: [http://open1x.sf.net]

[12] OpenSEA: [http://openseaalliance.org]

[13] WPA-Supplikant:[http://hostap.epitest.fi/wpa_supplicant/]

[14] Tiny CA: [http://tinyca.sm-zone.net]

[15] Aladdin-E-Token-Devices:[http://www.aladdin.de/eToken/devices/]

[16] EAP-IKEv2-Projekt bei Sourceforge: [http://eap-ikev2.sf.net]

[17] Von Free Radius unterstützte EAP-Modi: [http://freeradius.org/features/eap.html]

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Schutz in der Tiefe

    Das Radius-Protokoll dient meist dazu, Benutzer an Dial-in-Systemen zu authentifizieren. In Kombination mit 802.1X schützt Radius aber auch lokale Netze: Anwender und deren Rechner müssen sich erst in tiefen Protokollschichten authentifizieren, bevor der Switch ihren Port freigibt.

  • In eigener Sache: Artikel-Bundle "Netzwerk total" für echte Profis

    Effiziente Netzwerke betreiben ist die Domäne von Linux schlechthin - da macht ihm kein anderes System etwas vor. Offen und pragmatisch, effizient und anpassbar sind seine Tools und Protokolle. Dieser Schwerpunkt widmet sich dem Klassiker und nimmt Neues und Nützliches unter die Lupe.

  • Schutzwall

    Ein internes Netz ohne virenverseuchte oder einbruchsgefährdete Rechner ist die Idealvorstellung der Network Access Control (NAC). Um das zu erreichen, macht sie für die abgeschottete Produktivumgebung einen Zugangstest obligatorisch. Praktisch durchgesetzt hat sich die Idee jedoch noch nicht.

  • In eigener Sache: Großes Security-Bundle bietet 12 Mal Sicherheit

    Das große Security-Bundle mit 52 Seiten enthält die 12 interessantesten, nützlichsten und unterhaltsamsten Artikel über Open-Source-Security aus 14 Monaten Linux-Magazin.

  • Kostenloses Lesefutter aus dem Linux-Magazin 09/2009 "Netzwerk Total"

    Mit Erscheinen von Linux-Magazin 08/2010 sind die Artikel der Linux-Magazin-Ausgabe 09/2009 "Netzwerk total: Neue Sicherheits-, Performance- und HA-Tools für den Admin" in den frei zugänglichen Bereich von Linux-Magazin Online gerückt.

comments powered by Disqus

Ausgabe 09/2017

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.