...
In diesem Artikel werden Handlungs-Empfehlungen für die Sicherheitslücke im RADIUS-Protokoll [VU#456537] beschrieben.
Voraussetzungen:
...
Aktivierung der Option "Require-Message-Authenticator" für den RADIUS-Client auf den verschiedenen Betriebssystemen:
Info |
---|
Die Schwachstelle kann nur dann ausgenutzt werden, wenn der "Message-Authenticator" in den RADIUS-Paketen nicht gesetzt ist. Wird die Option "Require-Message-Authenticator" aktiviert, muss der "Message-Authenticator" in einem allen RADIUS-Paketen (Access-Accept, einem Access-Reject und bei einer Access-Challenge) vorhanden sein. Pakete ohne "Message-Authenticator" werden verworfen. Unterstützt der RADIUS-Server den "Message-Authenticator" nicht, führt dies dazu, dass die Authentifizierung über den RADIUS-Server nicht möglich ist! Stellen Sie daher unbedingt sicher, dass der RADIUS-Server -Server den Message-Authenticator setzt. |
LCOS:
Im LCOS gibt es mehrere Funktionen, für die der Message-Authenticator forciert werden kann:
...
Verbinden Sie sich per Konsole mit dem Gerät und geben den gewünschten Befehl ein, wie oben beschrieben.
LCOS LX:
Verbinden Sie sich per Konsole mit dem Access Point und geben den Befehl zum Forcieren des Message-Authenticators in dem folgenden Format ein:
set Setup/RADIUS/RADIUS-Server/ <Name des RADIUS-Servers> {Require-Message-Authenticator} yes
LCOS SX:
LCOS SX 3.34:
...
Info |
---|
Die Option Enforce Message Authenticator wird global aktiviert. |
2. Klicken Sie auf Apply, um die Änderung zu übernehmen.
...
Info |
---|
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten. |
LCOS SX 4.00:
...
Info |
---|
Die Option Enforce Message Authenticator wird global aktiviert. |
2. Klicken Sie in der rechten oberen Ecke auf das rote Disketten-Symbol, damit die Konfiguration als Start-Konfiguration gespeichert wird.
Info |
---|
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten. |
3. Bestätigen Sie den Speichervorgang mit einem Klick auf OK.
LCOS SX 4.20 / 4.30:
1. Wechseln Sie im Webinterface in das Menü Security → RADIUS → Configuration und aktivieren die Checkbox bei Enforce Message Authenticator. Klicken Sie anschließend auf Apply, um die Änderung zu übernehmen.
Info |
---|
Die Option Enforce Message Authenticator wird global aktiviert. |
2. Klicken Sie in der rechten oberen Ecke auf das rote Disketten-Symbol, damit die Konfiguration als Start-Konfiguration gespeichert wird.
Info |
---|
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten. |
3. Bestätigen Sie den Speichervorgang mit einem Klick auf OK.
LCOS SX 5.20:
1. Wechseln Sie im Webinterface in das Menü Security → RADIUS → Named Server und klicken auf Add, um einen Eintrag für einen externen RADIUS-Server anzulegen.
Info |
---|
Sollte bereits ein Eintrag vorhanden sein, können Sie diesen auswählen und auf Edit klicken, um den Eintrag zu bearbeiten. |
2. Tragen Sie die Parameter für den externen RADIUS-Server ein und wählen bei Enforce Message Authenticator die Option Enable aus. Klicken Sie anschließend auf Submit.
Info |
---|
Die Option Enforce Message Authenticator muss für jeden RADIUS-Server separat aktiviert werden. |
3. Klicken Sie in der rechten oberen Ecke auf Save Configuration, damit die Konfiguration als Start-Konfiguration gespeichert wird.
Info |
---|
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten. Die Speicherung der aktuellen Konfiguration als Start-Konfiguration können Sie alternativ auch über die Konsole mit dem Befehl write memory vornehmen. |
4.
...
Inhalt nach Stichwort | ||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|