Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 8 Nächste Version anzeigen »


Beschreibung:

In diesem Artikel werden Handlungs-Empfehlungen für die Sicherheitslücke im RADIUS-Protokoll [VU#456537] beschrieben. 

Voraussetzungen:

  • Beliebiger SSH-Client für den Zugriff auf die Konsole (z.B. PuTTY)
  • Beliebiger Web-Browser für den Zugriff auf das Webinterface der Switches

Allgemeine Empfehlung:

LANCOM Systems empfiehlt unverschlüsselte RADIUS-Kommunikation nur in sicheren Umgebungen zu verwenden. Ansonsten sollte der RADIUS-Datenverkehr immer verschlüsselt werden (RADSEC).

Aktivierung der Option "Require-Message-Authenticator" für den RADIUS-Client auf den verschiedenen Betriebssystemen:

Wird die Option "Require-Message-Authenticator" aktiviert, muss der "Message-Authenticator" in einem Access-Accept, einem Access-Reject und bei einer Access-Challenge vorhanden sein. Pakete ohne "Message-Authenticator" werden verworfen. Unterstützt der RADIUS-Server den "Message-Authenticator" nicht, führt dies dazu, dass die Authentifizierung über den RADIUS-Server nicht möglich ist! Stellen Sie daher unbedingt sicher, dass der RADIUS-Server 

LCOS:

Im LCOS gibt es mehrere Funktionen, für die der Message-Authenticator forciert werden kann:

  • Setup/WAN/RADIUS/Require-Msg-Authenticator
    • Konsolen-Befehl: set Setup/WAN/RADIUS/Require-Msg-Authenticator yes
  • Setup/WAN/RADIUS/L2TP-Require-Msg-Authenticator
    • Konsolen-Befehl: set Setup/WAN/RADIUS/L2TP-Require-Msg-Authenticator yes
  • Setup/VPN/IKEv2/RADIUS/Authorization/Server (Require-Msg-Authenticator)
    • Konsolen-Befehl: set Setup/VPN/IKEv2/RADIUS/Authorization/Server/<Name des RADIUS-Servers> {Require-Msg-Authenticator} yes
  • Setup/Config/Radius/Server (Require-Msg-Authenticator)
    • Konsolen-Befehl: set Setup/Config/Radius/Server/<name des RADIUS-Servers> {Require-Msg-Authenticator} yes
  • Setup/RADIUS/Server/Clients (Require-Msg-Authenticator)
    • Konsolen-Befehl: set Setup/RADIUS/Server/Clients/<IPv4-Adresse des RADIUS-Clients> {Require-Msg-Authenticator} yes
  • Setup/RADIUS/Server/IPv6-Clients (Require-Msg-Authenticator)
    • Konsolen-Befehl: set Setup/RADIUS/Server/IPv6-Clients/<IPv6-Adresse des RADIUS-Clients> {Require-Msg-Authenticator} yes
  • Setup/RADIUS/Server/Forward-Servers (Require-Msg-Authenticator)
    • Konsolen-Befehl: set Setup/RADIUS/Server/Forward-Servers/<Name des Realms>{Require-Msg-Authenticator} yes

Verbinden Sie sich per Konsole mit dem Gerät und geben den gewünschten Befehl ein, wie oben beschrieben.



LCOS LX:

Verbinden Sie sich per Konsole mit dem Access Point und geben den Befehl zum Forcieren des Message-Authenticators in dem folgenden Format ein:

set Setup/RADIUS/RADIUS-Server/ <Name des RADIUS-Servers> {Require-Message-Authenticator} yes



LCOS SX:

LCOS SX 3.34:

1. Wechseln Sie im Webinterface in das Menü Security → AAA → Configuration und setzen die Option Enforce Message Authenticator auf Enabled.

Die Option Enforce Message Authenticator wird global aktiviert.

2. Klicken Sie auf Apply, um die Änderung zu übernehmen.

3. Wechseln Sie in das Menü Maintenance → Save/Restore → Save Start und klicken auf Save, um die Konfiguration als Start-Konfiguration zu speichern.

Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.


LCOS SX 4.00:

1. Wechseln Sie im Webinterface in das Menü Security → RADIUS → Configuration und aktivieren die Checkbox bei Enforce Message Authenticator. Klicken Sie anschließend auf Apply, um die Änderung zu übernehmen.

Die Option Enforce Message Authenticator wird global aktiviert.

2. Klicken Sie in der rechten oberen Ecke auf das rote Disketten-Symbol, damit die Konfiguration als Start-Konfiguration gespeichert wird.

Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.

3. Bestätigen Sie den Speichervorgang mit einem Klick auf OK.


LCOS SX 4.30:

1. Wechseln Sie im Webinterface in das Menü Security → RADIUS → Configuration und aktivieren die Checkbox bei Enforce Message Authenticator. Klicken Sie anschließend auf Apply, um die Änderung zu übernehmen.

Die Option Enforce Message Authenticator wird global aktiviert.

2. Klicken Sie in der rechten oberen Ecke auf das rote Disketten-Symbol, damit die Konfiguration als Start-Konfiguration gespeichert wird.

Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.

3. Bestätigen Sie den Speichervorgang mit einem Klick auf OK.


LCOS SX 5.20:








Weitere Artikel zu diesem Thema:

 

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2019-2024 LANCOM Systems GmbH