...
Beschreibung:
In diesem Artikel werden allgemeine sicherheitsrelevante Handlungs-Empfehlungen für die Sicherheitslücke im RADIUS-Protokoll [VU#456537] beschrieben. Weiterhin wird beschrieben, wie auf den RADIUS-Clients die Option "Force Message Authenticator" aktiviert werden kann.
...
Voraussetzungen:
- Beliebiger SSH-Client für den Zugriff auf die Konsole (z.B. PuTTY)
- Beliebiger Web-Browser für den Zugriff auf das Webinterface der Switches
...
LANCOM Systems empfiehlt unverschlüsselte RADIUS-Kommunikation nur in sicheren Umgebungen zu verwenden. Ansonsten sollte der RADIUS-Datenverkehr immer verschlüsselt werden (RADSEC).
Aktivierung
...
der Option "
...
Require-Message
...
-Authenticator" für den RADIUS-Client auf den verschiedenen Betriebssystemen:
| Info |
|---|
Die Schwachstelle kann nur dann ausgenutzt werden, wenn der "Message-Authenticator" in den RADIUS-Paketen nicht gesetzt ist. Wird die Option "Require-Message-Authenticator" aktiviert, muss der "Message-Authenticator" in allen RADIUS-Paketen (Access-Accept, Access-Reject und Access-Challenge) vorhanden sein. Pakete ohne "Message-Authenticator" werden verworfen. Unterstützt der RADIUS-Server den "Message-Authenticator" nicht, führt dies dazu, dass die Authentifizierung über den RADIUS-Server nicht möglich ist! Stellen Sie daher unbedingt sicher, dass der RADIUS-Server den Message-Authenticator setzt. |
LCOS:
Im LCOS gibt es mehrere Funktionen, für die der Message-Authenticator forciert werden kann:
- Setup/WAN/RADIUS/Require-Msg-Authenticator
- Konsolen-Befehl: set Setup/WAN/RADIUS/Require-Msg-Authenticator yes
- Setup/WAN/RADIUS/L2TP-Require-Msg-Authenticator
- Konsolen-Befehl: set Setup/WAN/RADIUS/L2TP-Require-Msg-Authenticator yes
- Setup/VPN/IKEv2/RADIUS/Authorization/Server (Require-Msg-Authenticator)
- Konsolen-Befehl: set Setup/VPN/IKEv2/RADIUS/Authorization/Server/<Name des RADIUS-Servers> {Require-Msg-Authenticator} yes
- Setup/Config/Radius/Server (Require-Msg-Authenticator)
- Konsolen-Befehl: set Setup/Config/Radius/Server/<name des RADIUS-Servers> {Require-Msg-Authenticator} yes
- Setup/RADIUS/Server/Clients (Require-Msg-Authenticator)
- Konsolen-Befehl: set Setup/RADIUS/Server/Clients/<IPv4-Adresse des RADIUS-Clients> {Require-Msg-Authenticator} yes
- Setup/RADIUS/Server/IPv6-Clients (Require-Msg-Authenticator)
- Konsolen-Befehl: set Setup/RADIUS/Server/IPv6-Clients/<IPv6-Adresse des RADIUS-Clients> {Require-Msg-Authenticator} yes
- Setup/RADIUS/Server/Forward-Servers (Require-Msg-Authenticator)
- Konsolen-Befehl: set Setup/RADIUS/Server/Forward-Servers/<Name des Realms>{Require-Msg-Authenticator} yes
Verbinden Sie sich per Konsole mit dem Gerät und geben den gewünschten Befehl ein, wie oben beschrieben.
LCOS LX:
Verbinden Sie sich per Konsole mit dem Access Point und geben den Befehl zum Forcieren des Message-Authenticators in dem folgenden Format ein:
set Setup/RADIUS/RADIUS-Server/ <Name des RADIUS-Servers> {Require-Message-Authenticator} yes
LCOS SX:
LCOS SX 3.34:
1. Wechseln Sie im Webinterface in das Menü Security → AAA → Configuration und setzen die Option Enforce Message Authenticator auf Enabled.
| Info |
|---|
Die Option Enforce Message Authenticator wird global aktiviert. |
2. Klicken Sie auf Apply, um die Änderung zu übernehmen.
...
| Info |
|---|
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten. |
LCOS SX 4.00:
1. Wechseln Sie im Webinterface in das Menü Security → RADIUS → Configuration und aktivieren die Checkbox bei Enforce Message Authenticator. Klicken Sie anschließend auf Apply, um die Änderung zu übernehmen.
| Info |
|---|
Die Option Enforce Message Authenticator wird global aktiviert. |
2. Klicken Sie in der rechten oberen Ecke auf das rote Disketten-Symbol, damit die Konfiguration als Start-Konfiguration gespeichert wird.
| Info |
|---|
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten. |
3. Bestätigen Sie den Speichervorgang mit einem Klick auf OK.
LCOS SX 4.20 / 4.30:
1. Wechseln Sie im Webinterface in das Menü Security → RADIUS → Configuration und aktivieren die Checkbox bei Enforce Message Authenticator. Klicken Sie anschließend auf Apply, um die Änderung zu übernehmen.
| Info |
|---|
Die Option Enforce Message Authenticator wird global aktiviert. |
2. Klicken Sie in der rechten oberen Ecke auf das rote Disketten-Symbol, damit die Konfiguration als Start-Konfiguration gespeichert wird.
| Info |
|---|
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten. |
3. Bestätigen Sie den Speichervorgang mit einem Klick auf OK.
LCOS SX 5.20:
1. Wechseln Sie im Webinterface in das Menü Security → RADIUS → Named Server und klicken auf Add, um einen Eintrag für einen externen RADIUS-Server anzulegen.
| Info |
|---|
Sollte bereits ein Eintrag vorhanden sein, können Sie diesen auswählen und auf Edit klicken, um den Eintrag zu bearbeiten. |
2. Tragen Sie die Parameter für den externen RADIUS-Server ein und wählen bei Enforce Message Authenticator die Option Enable aus. Klicken Sie anschließend auf Submit.
| Info |
|---|
Die Option Enforce Message Authenticator muss für jeden RADIUS-Server separat aktiviert werden. |
3. Klicken Sie in der rechten oberen Ecke auf Save Configuration, damit die Konfiguration als Start-Konfiguration gespeichert wird.
| Info |
|---|
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten. Die Speicherung der aktuellen Konfiguration als Start-Konfiguration können Sie alternativ auch über die Konsole mit dem Befehl write memory vornehmen. |
4.
...
| Inhalt nach Stichwort | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|