802.1X-Authenticator für Ethernet-Ports

Mittels des 802.1X-Authenticators können die an die Ethernet-Ports eines LANCOM Gerätes angeschlossenen Geräte mittels 802.1X authentifiziert werden. Dies kann dazu dienen, die Sicherheit vor ungefugtem Zugriff auf das Netzwerk auch im kabelgebundenen Bereich zu erhöhen.

In LANconfig konfigurieren Sie den 802.1X-Authenticator für Ethernet-Ports unter Schnittstellen > LAN im Abschnitt 802.1x-Authenticator.

Die Konfiguration nehmen sie in der Tabelle 802.1x-Authenticator für ETH-Ports vor. Das Interface wird hier jeweils vorgegeben und gibt die vorhandenen Ethernet-Ports an.

Authentifizierung verlangen
Mittels dieses Schalters legen Sie fest, ob für diesen Port eine 802.1X-Authentifizierung gefordert ist.
Modus
Mögliche Werte:
einzelner Host
Es kann an diesem Port nur ein Client die Authentifizierung durchlaufen und anschließend verwendet werden. Wenn an diesem Port ein weiterer Client mit einer eigenen MAC-Adresse erkannt wird, wird der Port in den unauthentifizierten Zustand zurück versetzt.
mehrere Hosts
Es können an diesem Port mehrere Clients (mit unterschiedlichen MAC-Adressen) verwendet werden. Die Authentifizierung muss nur einmalig durchgeführt werden. Dieser Modus bietet sich z. B. an, wenn an einem so konfigurierten Port ein WLAN Access Point betrieben wird und die Nutzdaten nicht zu einem zentralen Controller getunnelt werden. In diesem Fall würden ebenfalls Datenpakete der WLAN-Clients mit deren eigenen MAC-Adressen an dem so konfigurierten Ethernet-Port gesehen werden.
mehrere Authentifizierungen
An diesem Port können mehrere Clients eine jeweils eigene 802.1X-Authentifizierung durchlaufen.
MAC-basierter Auth-Bypass
Legt fest, ob nach dem erfolglosen Versuch, eine 802.1X-Verhandlung zu starten, die MAC-Adresse des Clients via RADIUS geprüft werden und anschließend der Port freigeschaltet werden soll. Die MAC-Adresse wird hierbei als RADIUS-Benutzername und -Passwort im Format "aabbccddeeff" übermittelt und muss auch so im RADIUS-Server hinterlegt werden.
Wichtig: Die MAC-Adresse ist leicht zu fälschen und bietet keinen Schutz vor böswilligen Angriffen.
Anmerkung: In der Standardkonfiguration wird der 802.1X-Authenticator zuvor für 90 Sekunden versuchen, eine 802.1X-Verhandlung zu starten, bevor der Rückfall auf die MAC-Adress-Prüfung erfolgt. Dieser Zeitraum kann je Port durch das Ändern der Kommandozeilenparameter Setup > IEEE802.1X > Ports > Max-Req (Standard: 3 Versuche) sowie Setup > IEEE802.1X > Ports > Supp-Timeout (Standard: 30 Sekunden) angepasst werden. Alternativ kann für MAC-basierter Auth-Bypass der Modus "Unverzüglich" gesetzt werden. In diesem Modus wird sofort eine MAC-Adress-Prüfung gestartet, ohne einen Timeout abwarten zu müssen.
Mögliche Werte:
Nein
Die Authentifizierung über die MAC-Adresse ist nicht möglich.
Ja
Die Authentifizierung über die MAC-Adresse ist möglich.
Unverzüglich
Die Authentifizierung wird sofort über die MAC-Adresse durchgeführt.
RADIUS-Server
Legt fest, welcher RADIUS-Server sowohl für 802.1X als auch für eine eventuelle MAC-Adress-Prüfung verwendet wird. Referenzieren Sie dazu einen der Einträge unter Schnittstellen > 802.1X > Radius-Server oder legen dort ggfs. einen neuen Eintrag an.
Anmerkung: Das Format der MAC-Adresse, die im Rahmen der MAC-Authentisierung an den RADIUS-Server übermittelt wird, ist mittels der Kommandozeilenoption Setup > LAN > IEEE802.1X > Benutzername-Attribut-Format konfigurierbar. Die einzelnen Bytes der MAC-Adresse sind hier als Variablen %a bis %f repräsentiert. In der hier angegebenen Standardeinstellung werden die Bytes der MAC-Adresse nacheinander ausgegeben. Zusätzlich zu diesen Variablen können beliebige vom LCOS unterstützte Zeichen hinzugefügt werden. Ein häufig verwendetes, weiteres Format für die MAC-Adresse "aabbcc-ddeeff" (mit "-" als Trennzeichen) ließe sich dementsprechend wie folgt konfigurieren: "%a%b%c-%d%e%f"

In der Tabelle Authenticator-Einstellungen pro Port stellen Sie die Anmeldeinformationen für die lokalen Netzwerkinterfaces ein.

Interface
Das Interface wird hier jeweils vorgegeben und gibt die vorhandenen Ethernet- und WLAN-Zugänge an.
Anmeldung erneuern
Hier aktivieren Sie die regelmäßige Neuanmeldung. Wird eine Neuanmeldung gestartet, so bleibt der Benutzer während der Verhandlung weiterhin angemeldet.
Neuanmelde-Intervall
Standardwert für das Neuanmelde-lntervall bei regelmäßiger Neuanmeldung ist 3.600 Sekunden.
Dyn. Schlüssel erzeugen und übertragen
Hier aktivieren Sie die regelmäßige Erzeugung dynamischer WEP-Schlüssel und deren Übertragung.
Schlüssel-Intervall
Standardwert für das Schlüssel-Intervall ist 900 Sekunden.

www.lancom-systems.de

LANCOM Systems GmbH | A Rohde & Schwarz Company | Adenauerstr. 20/B2 | 52146 Würselen | Deutschland | E‑Mail info@lancom.de

LANCOM Logo