Mit IEEE 802.1X und Zertifikaten Network Access Control implementieren

Supplikanten spielen auf

Das Paket »wpa_supplicant« richtet der Benutzer analog ein und testet es mit:

wpa_supplicant -i eth0 -D wired -c /etc/wpa_supplicant/wired.conf

Die Konfigurationsdatei »wired.conf« richtet er dazu neu ein, wie im Listing 7 angegeben. Da die 802.1X-Authentifizierung kabelgebunden stattfindet, kann er die »eapol_version« mit Version 2 verwenden und deaktiviert das Scannen nach Accesspoints.

Listing 7: »wired.conf«
01 eapol_version=2 02 ap_scan=0 03 fast_reauth=1 04 network={ 05 key_mgmt=IEEE8021X 06 eap=TLS 07 identity="uebelacker" 08 ca_cert="/path/to/ca.pem" 09 client_cert="/path/to/s@uebelhacker.de.pem" 10 private_key="/path/to/s@uebelhacker.de.pem" 11 private_key_passwd="Usercert-Passwort" 12 eapol_flags=0 13 }

Listing 7:
»wired.conf«

01 eapol_version=2
02 ap_scan=0
03 fast_reauth=1
04 network={
05     key_mgmt=IEEE8021X
06     eap=TLS
07     identity="uebelacker"
08     ca_cert="/path/to/ca.pem"
09     client_cert="/path/to/s@uebelhacker.de.pem"
10     private_key="/path/to/s@uebelhacker.de.pem"
11     private_key_passwd="Usercert-Passwort"
12     eapol_flags=0
13 }

Die Authentifizierung war erfolgreich, wenn der Supplikant »CTRL-EVENT-EAP-SUCCESS« meldet. Damit er permanent im Hintergrund läuft und bei 802.1X-Ports automatisch den Client authentifiziert, passt der Benutzer unter Debian »/etc/network/interfaces« wie in Listing 8 an, wenn er DHCP verwendet. Ansonsten ändert er »dhcp« in »static« und setzt eine feste IP-Adresse. »/etc/init.d/networking restart« aktiviert die Einstellungen. Falls der Client an einen Port ohne IEEE 802.1X im Modus »authorized« gerät, läuft der Anmeldeversuch zwar ins Leere, der Client arbeitet aber wie gewohnt.

Zum Abschluss überführt der Admin den Radius-Server in den Produktivbetrieb: Er aktiviert das Init-Skript mit »service freeradius start« und merkt mit »chkconfig freeradius on« den Start für den nächsten Bootvorgang vor.

Ausbau möglich

Die Komponenten für eine gerätebasierte Authentifizierung von Endgeräten an Switches sind vielerorts vorhanden. Es liegt am Administrator, sie miteinander zu kombinieren. Unter Network Access Control verstehen einige noch zusätzliche Aspekte, etwa technisch überprüfte Versionsstände oder aktuelle Virensignaturen, die einer Security Policy genügen. Insofern bietet NAC noch viele Optionen zum Ausbau: Neben der Anbindung an LDAP oder eine SQL-Datenbank lohnt sich in komplexeren Umgebungen eine PKI, etwa mit Tiny CA [14]. Smartcards wie das E-Token von Aladdin schützen private Benutzerzertifikate [15].

IPv6 stellt Free Radius ab Version 2 vor keine Probleme, jedoch manchen 802.1X-fähigen Switch. Wer mit IKEv2 experimentiert, dem sei die »experimental.conf« des Projekts ans Herz gelegt, aber auch ein gleichnamiges Sourceforge-Projekt forscht daran [16]. Außerdem dürfen sich dank Hostapd-Projekt [17] Admins bald auf EAP2 genannte Neu-Implementierungen von EAP in Free Radius freuen.

Der Autor
Sven Übelacker arbeitet bei einem Hamburger IT-Sicherheitsunternehmen. Den Sommer verbringt er am liebsten grillend auf seiner Tux-Terrasse.

Infos
[1] IEEE 802.1x-2004: [http://www.ieee802.org/1/pages/802.1x-2004.html] [2] Thorsten Dahm, "Layer-2 Security-Features": GUUG Hamburg: [http://www.guug.de/lokal/hamburg/talks/IEEE%20802.1x,%20DAI+DHCP-Snooping.pdf] [3] RFC 5216, "EAP-TLS Authentication Protocol": [http://tools.ietf.org/rfc/rfc5216.txt] [4] Netgear FSM726: [http://netgear.de/Produkte/Switches/Managed/FSM726/] [5] 3Com 2924-SFP: [http://3com.com/prod/de_CE_EMEA/detail.jsp?sku=3CBLSG24] [6] Level One GSW-2494: [http://download.level1.info/datasheet/GSW-2494.pdf] [7] Cisco 802.1x-Guide: [http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/31sg/configuration/guide/dot1x.html] [8] Free-Radius-Wiki zu Cisco-IOS-Befehlen: [http://wiki.freeradius.org/Cisco] [9] M. Schwartzkopff, "Free Radius: Schutz in der Tiefe": Linux-Magazin 01/05, S. 66 [10] Free Radius in Github: [http://github.com/alandekok/freeradius-server/tree/master] [11] Open1X-Projekt: [http://open1x.sf.net] [12] OpenSEA: [http://openseaalliance.org] [13] WPA-Supplikant:[http://hostap.epitest.fi/wpa_supplicant/] [14] Tiny CA: [http://tinyca.sm-zone.net] [15] Aladdin-E-Token-Devices:[http://www.aladdin.de/eToken/devices/] [16] EAP-IKEv2-Projekt bei Sourceforge: [http://eap-ikev2.sf.net] [17] Von Free Radius unterstützte EAP-Modi: [http://freeradius.org/features/eap.html]

Infos

[1] IEEE 802.1x-2004: [http://www.ieee802.org/1/pages/802.1x-2004.html]

[2] Thorsten Dahm, "Layer-2 Security-Features": GUUG Hamburg: [http://www.guug.de/lokal/hamburg/talks/IEEE%20802.1x,%20DAI+DHCP-Snooping.pdf]

[3] RFC 5216, "EAP-TLS Authentication Protocol": [http://tools.ietf.org/rfc/rfc5216.txt]

[4] Netgear FSM726: [http://netgear.de/Produkte/Switches/Managed/FSM726/]

[5] 3Com 2924-SFP: [http://3com.com/prod/de_CE_EMEA/detail.jsp?sku=3CBLSG24]

[6] Level One GSW-2494: [http://download.level1.info/datasheet/GSW-2494.pdf]

[7] Cisco 802.1x-Guide: [http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/31sg/configuration/guide/dot1x.html]

[8] Free-Radius-Wiki zu Cisco-IOS-Befehlen: [http://wiki.freeradius.org/Cisco]

[9] M. Schwartzkopff, "Free Radius: Schutz in der Tiefe": Linux-Magazin 01/05, S. 66

[10] Free Radius in Github: [http://github.com/alandekok/freeradius-server/tree/master]

[11] Open1X-Projekt: [http://open1x.sf.net]