Beschreibung:
In diesem Artikel werden Handlungs-Empfehlungen für die Sicherheitslücke im RADIUS-Protokoll [VU#456537] beschrieben.
Voraussetzungen:
- Beliebiger SSH-Client für den Zugriff auf die Konsole (z.B. PuTTY)
- Beliebiger Web-Browser für den Zugriff auf das Webinterface der Switches
Allgemeine Empfehlung:
LANCOM Systems empfiehlt unverschlüsselte RADIUS-Kommunikation nur in sicheren Umgebungen zu verwenden. Ansonsten sollte der RADIUS-Datenverkehr immer verschlüsselt werden (RADSEC).
Aktivierung der Option "Require-Message-Authenticator" für den RADIUS-Client auf den verschiedenen Betriebssystemen:
Die Schwachstelle kann nur dann ausgenutzt werden, wenn der "Message-Authenticator" in den RADIUS-Paketen nicht gesetzt ist. Wird die Option "Require-Message-Authenticator" aktiviert, muss der "Message-Authenticator" in allen RADIUS-Paketen (Access-Accept, Access-Reject und Access-Challenge) vorhanden sein. Pakete ohne "Message-Authenticator" werden verworfen. Unterstützt der RADIUS-Server den "Message-Authenticator" nicht, führt dies dazu, dass die Authentifizierung über den RADIUS-Server nicht möglich ist! Stellen Sie daher unbedingt sicher, dass der RADIUS-Server den Message-Authenticator setzt.
LCOS:
Im LCOS gibt es mehrere Funktionen, für die der Message-Authenticator forciert werden kann:
- Setup/WAN/RADIUS/Require-Msg-Authenticator
- Konsolen-Befehl: set Setup/WAN/RADIUS/Require-Msg-Authenticator yes
- Setup/WAN/RADIUS/L2TP-Require-Msg-Authenticator
- Konsolen-Befehl: set Setup/WAN/RADIUS/L2TP-Require-Msg-Authenticator yes
- Setup/VPN/IKEv2/RADIUS/Authorization/Server (Require-Msg-Authenticator)
- Konsolen-Befehl: set Setup/VPN/IKEv2/RADIUS/Authorization/Server/<Name des RADIUS-Servers> {Require-Msg-Authenticator} yes
- Setup/Config/Radius/Server (Require-Msg-Authenticator)
- Konsolen-Befehl: set Setup/Config/Radius/Server/<name des RADIUS-Servers> {Require-Msg-Authenticator} yes
- Setup/RADIUS/Server/Clients (Require-Msg-Authenticator)
- Konsolen-Befehl: set Setup/RADIUS/Server/Clients/<IPv4-Adresse des RADIUS-Clients> {Require-Msg-Authenticator} yes
- Setup/RADIUS/Server/IPv6-Clients (Require-Msg-Authenticator)
- Konsolen-Befehl: set Setup/RADIUS/Server/IPv6-Clients/<IPv6-Adresse des RADIUS-Clients> {Require-Msg-Authenticator} yes
- Setup/RADIUS/Server/Forward-Servers (Require-Msg-Authenticator)
- Konsolen-Befehl: set Setup/RADIUS/Server/Forward-Servers/<Name des Realms>{Require-Msg-Authenticator} yes
Verbinden Sie sich per Konsole mit dem Gerät und geben den gewünschten Befehl ein, wie oben beschrieben.
LCOS LX:
Verbinden Sie sich per Konsole mit dem Access Point und geben den Befehl zum Forcieren des Message-Authenticators in dem folgenden Format ein:
set Setup/RADIUS/RADIUS-Server/ <Name des RADIUS-Servers> {Require-Message-Authenticator} yes
LCOS SX:
LCOS SX 3.34:
1. Wechseln Sie im Webinterface in das Menü Security → AAA → Configuration und setzen die Option Enforce Message Authenticator auf Enabled.
Die Option Enforce Message Authenticator wird global aktiviert.
2. Klicken Sie auf Apply, um die Änderung zu übernehmen.
3. Wechseln Sie in das Menü Maintenance → Save/Restore → Save Start und klicken auf Save, um die Konfiguration als Start-Konfiguration zu speichern.
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.
LCOS SX 4.00:
1. Wechseln Sie im Webinterface in das Menü Security → RADIUS → Configuration und aktivieren die Checkbox bei Enforce Message Authenticator. Klicken Sie anschließend auf Apply, um die Änderung zu übernehmen.
Die Option Enforce Message Authenticator wird global aktiviert.
2. Klicken Sie in der rechten oberen Ecke auf das rote Disketten-Symbol, damit die Konfiguration als Start-Konfiguration gespeichert wird.
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.
3. Bestätigen Sie den Speichervorgang mit einem Klick auf OK.
LCOS SX 4.20 / 4.30:
1. Wechseln Sie im Webinterface in das Menü Security → RADIUS → Configuration und aktivieren die Checkbox bei Enforce Message Authenticator. Klicken Sie anschließend auf Apply, um die Änderung zu übernehmen.
Die Option Enforce Message Authenticator wird global aktiviert.
2. Klicken Sie in der rechten oberen Ecke auf das rote Disketten-Symbol, damit die Konfiguration als Start-Konfiguration gespeichert wird.
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.
3. Bestätigen Sie den Speichervorgang mit einem Klick auf OK.
LCOS SX 5.20:
1. Wechseln Sie im Webinterface in das Menü Security → RADIUS → Named Server und klicken auf Add, um einen Eintrag für einen externen RADIUS-Server anzulegen.
Sollte bereits ein Eintrag vorhanden sein, können Sie diesen auswählen und auf Edit klicken, um den Eintrag zu bearbeiten.
2. Tragen Sie die Parameter für den externen RADIUS-Server ein und wählen bei Enforce Message Authenticator die Option Enable aus. Klicken Sie anschließend auf Submit.
Die Option Enforce Message Authenticator muss für jeden RADIUS-Server separat aktiviert werden.
3. Klicken Sie in der rechten oberen Ecke auf Save Configuration, damit die Konfiguration als Start-Konfiguration gespeichert wird.
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.
Die Speicherung der aktuellen Konfiguration als Start-Konfiguration können Sie alternativ auch über die Konsole mit dem Befehl write memory vornehmen.
4.