In diesem Artikel werden Handlungs-Empfehlungen für die Sicherheitslücke im RADIUS-Protokoll [VU#456537] beschrieben.
LANCOM Systems empfiehlt unverschlüsselte RADIUS-Kommunikation nur in sicheren Umgebungen zu verwenden. Ansonsten sollte der RADIUS-Datenverkehr immer verschlüsselt werden (RADSEC).
Die Schwachstelle kann nur dann ausgenutzt werden, wenn der "Message-Authenticator" in den RADIUS-Paketen nicht gesetzt ist. Wird die Option "Require-Message-Authenticator" aktiviert, muss der "Message-Authenticator" in allen RADIUS-Paketen (Access-Accept, Access-Reject und Access-Challenge) vorhanden sein. Pakete ohne "Message-Authenticator" werden verworfen. Unterstützt der RADIUS-Server den "Message-Authenticator" nicht, führt dies dazu, dass die Authentifizierung über den RADIUS-Server nicht möglich ist! Stellen Sie daher unbedingt sicher, dass der RADIUS-Server den Message-Authenticator setzt. |
LCOS:
Im LCOS gibt es mehrere Funktionen, für die der Message-Authenticator forciert werden kann:
Verbinden Sie sich per Konsole mit dem Gerät und geben den gewünschten Befehl ein, wie oben beschrieben.
LCOS LX:
Verbinden Sie sich per Konsole mit dem Access Point und geben den Befehl zum Forcieren des Message-Authenticators in dem folgenden Format ein:
set Setup/RADIUS/RADIUS-Server/ <Name des RADIUS-Servers> {Require-Message-Authenticator} yes
LCOS SX:
LCOS SX 3.34:
1. Wechseln Sie im Webinterface in das Menü Security → AAA → Configuration und setzen die Option Enforce Message Authenticator auf Enabled.
Die Option Enforce Message Authenticator wird global aktiviert. |
2. Klicken Sie auf Apply, um die Änderung zu übernehmen.
3. Wechseln Sie in das Menü Maintenance → Save/Restore → Save Start und klicken auf Save, um die Konfiguration als Start-Konfiguration zu speichern.
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten. |
LCOS SX 4.00:
1. Wechseln Sie im Webinterface in das Menü Security → RADIUS → Configuration und aktivieren die Checkbox bei Enforce Message Authenticator. Klicken Sie anschließend auf Apply, um die Änderung zu übernehmen.
Die Option Enforce Message Authenticator wird global aktiviert. |
2. Klicken Sie in der rechten oberen Ecke auf das rote Disketten-Symbol, damit die Konfiguration als Start-Konfiguration gespeichert wird.
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten. |
3. Bestätigen Sie den Speichervorgang mit einem Klick auf OK.
LCOS SX 4.20 / 4.30:
1. Wechseln Sie im Webinterface in das Menü Security → RADIUS → Configuration und aktivieren die Checkbox bei Enforce Message Authenticator. Klicken Sie anschließend auf Apply, um die Änderung zu übernehmen.
Die Option Enforce Message Authenticator wird global aktiviert. |
2. Klicken Sie in der rechten oberen Ecke auf das rote Disketten-Symbol, damit die Konfiguration als Start-Konfiguration gespeichert wird.
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten. |
3. Bestätigen Sie den Speichervorgang mit einem Klick auf OK.
LCOS SX 5.20:
1. Wechseln Sie im Webinterface in das Menü Security → RADIUS → Named Server und klicken auf Add, um einen Eintrag für einen externen RADIUS-Server anzulegen.
Sollte bereits ein Eintrag vorhanden sein, können Sie diesen auswählen und auf Edit klicken, um den Eintrag zu bearbeiten. |
2. Tragen Sie die Parameter für den externen RADIUS-Server ein und wählen bei Enforce Message Authenticator die Option Enable aus. Klicken Sie anschließend auf Submit.
Die Option Enforce Message Authenticator muss für jeden RADIUS-Server separat aktiviert werden. |
3. Klicken Sie in der rechten oberen Ecke auf Save Configuration, damit die Konfiguration als Start-Konfiguration gespeichert wird.
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten. Die Speicherung der aktuellen Konfiguration als Start-Konfiguration können Sie alternativ auch über die Konsole mit dem Befehl write memory vornehmen. |
4.
|