Versionen im Vergleich

Alte Version 7

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version 8

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

Beschreibung:

In diesem Artikel werden allgemeine sicherheitsrelevante Handlungs-Empfehlungen für die Sicherheitslücke im RADIUS-Protokoll [VU#456537] beschrieben. Weiterhin wird beschrieben, wie auf den RADIUS-Clients die Option "Force Message Authenticator" aktiviert werden kann.

...

 

Voraussetzungen:

  • Beliebiger SSH-Client für den Zugriff auf die Konsole (z.B. PuTTY)
  • Beliebiger Web-Browser für den Zugriff auf das Webinterface der Switches

...

LANCOM Systems empfiehlt unverschlüsselte RADIUS-Kommunikation nur in sicheren Umgebungen zu verwenden. Ansonsten sollte der RADIUS-Datenverkehr immer verschlüsselt werden (RADSEC).

Aktivierung

...

der Option "

...

Require-Message

...

-Authenticator" für den RADIUS-Client auf den verschiedenen Betriebssystemen:

Info

Wird die Option "Require-Message-Authenticator" aktiviert, muss der "Message-Authenticator" in einem Access-Accept, einem Access-Reject und bei einer Access-Challenge vorhanden sein. Pakete ohne "Message-Authenticator" werden verworfen. Unterstützt der RADIUS-Server den "Message-Authenticator" nicht, führt dies dazu, dass die Authentifizierung über den RADIUS-Server nicht möglich ist! Stellen Sie daher unbedingt sicher, dass der RADIUS-Server 

LCOS:

Im LCOS gibt es mehrere Funktionen, für die der Message-Authenticator forciert werden kann:

  • Setup/WAN/RADIUS/Require-Msg-Authenticator
    • Konsolen-Befehl: set Setup/WAN/RADIUS/Require-Msg-Authenticator yes
  • Setup/WAN/RADIUS/L2TP-Require-Msg-Authenticator
    • Konsolen-Befehl: set Setup/WAN/RADIUS/L2TP-Require-Msg-Authenticator yes
  • Setup/VPN/IKEv2/RADIUS/Authorization/Server (Require-Msg-Authenticator)
    • Konsolen-Befehl: set Setup/VPN/IKEv2/RADIUS/Authorization/Server/<Name des RADIUS-Servers> {Require-Msg-Authenticator} yes
  • Setup/Config/Radius/Server (Require-Msg-Authenticator)
    • Konsolen-Befehl: set Setup/Config/Radius/Server/<name des RADIUS-Servers> {Require-Msg-Authenticator} yes
  • Setup/RADIUS/Server/Clients (Require-Msg-Authenticator)
    • Konsolen-Befehl: set Setup/RADIUS/Server/Clients/<IPv4-Adresse des RADIUS-Clients> {Require-Msg-Authenticator} yes
  • Setup/RADIUS/Server/IPv6-Clients (Require-Msg-Authenticator)
    • Konsolen-Befehl: set Setup/RADIUS/Server/IPv6-Clients/<IPv6-Adresse des RADIUS-Clients> {Require-Msg-Authenticator} yes
  • Setup/RADIUS/Server/Forward-Servers (Require-Msg-Authenticator)
    • Konsolen-Befehl: set Setup/RADIUS/Server/Forward-Servers/<Name des Realms>{Require-Msg-Authenticator} yes

Verbinden Sie sich per Konsole mit dem Gerät und geben den gewünschten Befehl ein, wie oben beschrieben.

Image Added



LCOS LX:

Verbinden Sie sich per Konsole mit dem Access Point und geben den Befehl zum Forcieren des Message-Authenticators in dem folgenden Format ein:

...