Versionen im Vergleich

Alte Version 5

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version Aktuell

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

PageIdMakro

Seiteneigenschaften


Description:

In diesem Artikel werden Handlungs-Empfehlungen für die Sicherheitslücke im RADIUS-Protokoll This article describes recommended actions for the security vulnerability in the RADIUS protocol [VU#456537] beschrieben

Requirements:

  • Beliebiger SSH-Client für den Zugriff auf die Konsole (z.B. PuTTY)
  • Beliebiger Web-Browser für den Zugriff auf das Webinterface der Switches

Allgemeine Empfehlung:

LANCOM Systems empfiehlt unverschlüsselte RADIUS-Kommunikation nur in sicheren Umgebungen zu verwenden. Ansonsten sollte der RADIUS-Datenverkehr immer verschlüsselt werden (RADSEC).

...

  • Any SSH client for accessing the console (e.g. PuTTY)
  • Any web browser for accessing the web interface of the switches

General recommendation:

LANCOM Systems recommends using unencrypted RADIUS communication only in secure environments. Otherwise, RADIUS data traffic should always be encrypted (RADSEC).

Activation of the "Require-Message-Authenticator"

...

option for the RADIUS client on the various operating systems:

Info

Die Schwachstelle kann nur dann ausgenutzt werden, wenn der The vulnerability can only be exploited if the "Message-Authenticator" is not set in den RADIUS-Paketen nicht gesetzt ist. Wird die Option the RADIUS packages. If the "Require-Message-Authenticator" aktiviert, muss der option is activated, the "Message-Authenticator" must be present in allen all RADIUS -Paketen packets (Access-Accept, Access- Reject und and Access-Challenge) vorhanden sein. Pakete ohne Packets without "Message - Authenticator" werden verworfen. Unterstützt der RADIUS-Server den "Message-Authenticator" nicht, führt dies dazu, dass die Authentifizierung über den RADIUS-Server nicht möglich ist! Stellen Sie daher unbedingt sicher, dass der RADIUS-Server den Message-Authenticator setztare discarded.

If the RADIUS server does not support the "Message Authenticator", this means that authentication via the RADIUS server is not possible! It is therefore essential to ensure that the RADIUS server sets the message authenticator.

LCOS:Im LCOS gibt es mehrere Funktionen, für die der Message-Authenticator forciert werden kann

There are several functions in LCOS for which the message authenticator can be forced:

  • Setup/WAN/RADIUS/Require-Msg-Authenticator
    • Konsolen-BefehlConsole command:   set Setup/WAN/RADIUS/Require-Msg-Authenticator yes
  • Setup/WAN/RADIUS/L2TP-Require-Msg-Authenticator
    • Konsolen-BefehlConsole commandset Setup/WAN/RADIUS/L2TP-Require-Msg-Authenticator yes
  • Setup/VPN/IKEv2/RADIUS/Authorization/Server (Require-Msg-Authenticator)
    • Konsolen-BefehlConsole commandl: set Setup/VPN/IKEv2/RADIUS/Authorization/Server/<Name des RADIUS-Servers> {Require-Msg-Authenticator} yes
  • Setup/Config/Radius/Server (Require-Msg-Authenticator)
    • Konsolen-BefehlConsole command: set Setup/Config/Radius/Server/<name des RADIUS-Servers> {Require-Msg-Authenticator} yes
  • Setup/RADIUS/Server/Clients (Require-Msg-Authenticator)
    • Konsolen-BefehlConsole command: set Setup/RADIUS/Server/Clients/<IPv4-Adresse des RADIUS-Clients> {Require-Msg-Authenticator} yes
  • Setup/RADIUS/Server/IPv6-Clients (Require-Msg-Authenticator)
    • Konsolen-BefehlConsole commandl: set Setup/RADIUS/Server/IPv6-Clients/<IPv6-Adresse des RADIUS-Clients> {Require-Msg-Authenticator} yes
  • Setup/RADIUS/Server/Forward-Servers (Require-Msg-Authenticator)
    • Konsolen-BefehlConsole commandl:   set Setup/RADIUS/Server/Forward-Servers/<Name des Realms>{Require-Msg-Authenticator} yes

Verbinden Sie sich per Konsole mit dem Gerät und geben den gewünschten Befehl ein, wie oben beschriebenConnect to the device via the console and enter the desired command as described above.



LCOS LX:Verbinden Sie sich per Konsole mit dem Access Point und geben den Befehl zum Forcieren des Message-Authenticators in dem folgenden Format ein

Connect to the access point via the console and enter the command to force the message authenticator in the following format:

set Setup/RADIUS/RADIUS-Server/ <Name des RADIUS-Servers> {Require-Message-Authenticator} yes



LCOS SX:

LCOS SX 3.34:

1. Wechseln Sie im Webinterface in das Menü In the web interface, go to the menu Security → AAA → Configuration und setzen die Option and set the Enforce Message Authenticator auf Authenticator option to Enabled.

Info

Die Option Enforce Message Authenticator wird global aktiviert.

2. Klicken Sie auf Apply, um die Änderung zu übernehmen.Click Apply to accept the change

3. Wechseln Sie in das Menü Go to the menu Maintenance → Save/Restore → Save Start und klicken auf Save, um die Konfiguration als Start-Konfiguration zu speichern and click on Save to save the configuration as the start configuration.

Info

Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.


LCOS SX 4.00:

1. Wechseln Sie im Webinterface in das Menü In the web interface, go to the menu Security → RADIUS → Configuration und aktivieren die Checkbox bei Enforce Message Authenticator. Klicken Sie anschließend auf Apply, um die Änderung zu übernehmenConfiguration and tick the checkbox next to Enforce Message Authenticator. Then click Apply to apply the change.

Info

Die Option Enforce Message Authenticator wird global aktiviert.

2. Klicken Sie in der rechten oberen Ecke auf das rote Disketten-Symbol, damit die Konfiguration als Start-Konfiguration gespeichert wird.

Info

Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.

Image Removed

Click on the red disc symbol in the top right-hand corner to save the configuration as the start configuration.

Info

The start configuration is retained even after a restart of the device or a power failure

Image Added

3. Confirm the saving process by clicking on 3. Bestätigen Sie den Speichervorgang mit einem Klick auf OK.


LCOS SX 4.20 / 4.30:

1. Wechseln Sie im Webinterface in das Menü In the web interface, go to the menu Security → RADIUS → Configuration und aktivieren die Checkbox bei and tick the checkbox next to Enforce Message Authenticator. Klicken Sie anschließend auf Apply, um die Änderung zu übernehmenThen click Apply to apply the change.

Info

Die Option The Enforce Message Authenticator wird global aktiviert option is activated globally.

2. Klicken Sie in der rechten oberen Ecke auf das rote Disketten-Symbol, damit die Konfiguration als Start-Konfiguration gespeichert wird.

Info

Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.

Image Removed

Click on the red disc symbol in the top right-hand corner to save the configuration as the start configuration.

Info

The start configuration is retained even after a restart of the device or a power failure

Image Added

3. Confirm the saving process by clicking on 3. Bestätigen Sie den Speichervorgang mit einem Klick auf OK.


LCOS SX 5.20:

1. Wechseln Sie im Webinterface in das Menü In the web interface, go to the menu Security → RADIUS → Named Server und klicken auf Add, um einen Eintrag für einen externen RADIUS-Server anzulegenServer and click on Add to create an entry for an external RADIUS server.

Info

Sollte bereits ein Eintrag vorhanden sein, können Sie diesen auswählen und auf Edit klicken, um den Eintrag zu bearbeitenIf an entry already exists, you can select it and click on Edit to edit the entry.

2. Tragen Sie die Parameter für den externen RADIUS-Server ein und wählen bei Enforce Message Authenticator die Option Enable aus. Klicken Sie anschließend auf Enter the parameters for the external RADIUS server and select the Enable option for Enforce Message Authenticator. Then click on Submit.

Info

Die Option The Enforce Message Authenticator muss für jeden RADIUS-Server separat aktiviert werdenoption must be activated separately for each RADIUS server.

3. Klicken Sie in der rechten oberen Ecke auf Save Configuration, damit die Konfiguration als Start-Konfiguration gespeichert wird.

Info

Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.

Die Speicherung der aktuellen Konfiguration als Start-Konfiguration können Sie alternativ auch über die Konsole mit dem Befehl write memory vornehmen.

Image Removed

Click Save Configuration in the top right-hand corner to save the configuration as a Start configuration is saved.

Info

The start configuration is retained even after a restart of the device or a power failure.

Alternatively, you can save the current configuration as the start configuration via the console using the write memory command.

Image Added

4. Confirm the saving process by clicking 4. Bestätigen Sie den Speichervorgang mit einem Klick auf OK.

...

Inhalt nach Stichwort
showLabelsfalse
max5
showSpacefalse
sortcreation
titleWeitere Artikel zu diesem ThemaMore articles on this topic:
excludeCurrenttrue
cqllabel in ("radius","lcos-lx","lcos-sx","lcos","radsec") and space = "KB"currentSpace()