Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 11 Nächste Version anzeigen »


Description:

This article describes how to configure separate access keys for every member in a WiFi network on a LANCOM access point with LCOS LX by means of LEPS-MAC (LANCOM Enhanced Passphrase Security).

What is LEPS-MAC?
LEPS-MAC uses an additional column in the ACL (access-control list) to assign an individual passphrase consisting of any 8 to 63 ASCII characters to each MAC address. Authentication at the access point is only possible with the correct combination of passphrase and MAC address.

This combination makes the spoofing of the MAC addresses futile — and LEPS-MAC thus shuts out a potential attack on the ACL. If WPA2 is used for encryption, the MAC address can indeed be intercepted — but this method never transmits the passphrase over wireless. This greatly increases the difficulty of attacking the WLAN as the combination of MAC address and passphrase requires both to be known before an encryption can be negotiated.

LEPS-MAC can be used both locally in the device and centrally managed by a RADIUS server. LEPS-MAC works with all WLAN client adapters available on the market without any modification. Full compatibility to third-party products is assured as LEPS-MAC only involves configuration in the access point.

Compared to LEPS-U, the administrative overhead is slightly higher because the MAC address has to be entered for each device.

 On LANCOM Access Points with LCOS LX LEPS-MAC can only be used with WPA2.



Requirements:


Procedure:

1. Konfiguration von LEPS-MAC auf einem Standalone Access Point:

1.1 Konfiguration von LEPS-MAC auf einem Standalone Access Point mit der LEPS-Benutzer-Tabelle:

1) Open the configuration of the access point in LANconfig, go to the menu Wireless-LAN → Stations/LEPS and set LEPS active to Yes.

2) Go to the menu Profiles.

3) Create a new profile and modify the following parameters:

  • Name: Enter a descriptive name fo the LEPS-MAC profile.
  • Network-Name: In the dropdownmenu select the existing WiFi network
  • Check MAC Address: In the dropdownmenu select the option Whitelist. Thereby WiFi access is only allowed for all members in the whitelist and access for all other devices is denied. 

4) Go to the menu Users.

5) Create a new user and modify the following parameters:

  • Name: Enter a descriptive name for the LEPS user.
  • Profile: In the dropdownmenu select the LEPS profile created in step 3
  • WPA-Passphrase: Optionally you can enter a WPA key (8 to 64 characters), which has to be entered on the WiFi device instead of the key entered in the configured WiFI network. Thus a separate WPA key can be assigned to each WiFi device. If the entry is left empty, the WPA key of the WiFi network is used.   
  • MAC-Address: Enter the MAC address of the WiFi device in the format 00:a0:57:12:34:56.

Repeat this step for additional WiFi devices if needed.

6) This concludes the configuration of LEPS-MAC. Write back the configuration into the access point. 


1.2 Konfiguration von LEPS-MAC auf einem Standalone Access Point mit einem externen RADIUS-Server:

1.2.1 Wechseln Sie auf dem Access Point in das Menü Wireless-LAN → RADIUS → RADIUS-Server.

1.2.2 Erstellen Sie einen neuen Eintrag und passen die folgenden Parameter an:

  • Name: Vergeben Sie einen aussagekräftigen Namen für das RADIUS-Profil (in diesem Beispiel RADIUS-EXT).
  • Port: Stellen Sie sicher, dass der Port 1812 hinterlegt ist.
  • Schlüssel (Secret): Tragen Sie ein Passwort ein, welches der Access Point zur Authentifizierung am RADIUS-Server verwendet.
  • Server-IP-Adresse: Tragen Sie die IP-Adresse des RADIUS-Servers ein.
  • RADIUS-MAC-Adr.-Prüfung: Wählen Sie im Dropdown-Menü die Option Ja aus.

Durch Aktivierung der RADIUS-MAC-Adr.-Prüfung verwenden die Access Points die MAC-Adresse als RADIUS-Server-Passwort-Quelle. In diesem Fall muss auf dem externen RADIUS-Server im Benutzer die MAC-Adresse als Benutzername und als Passwort hinterlegt werden. 

Im Normalfall verwenden die WLAN-Teilnehmer den WPA-Key aus dem WLAN-Netzwerk. Da in diesem Szenario für jeden WLAN-Teilnehmer ein separater WPA-Key verwendet werden soll, muss dieser über den RADIUS-Parameter LCS-WPA-Passphrase übermittelt werden. Dieser Parameter muss auch vom verwendeten RADIUS-Server unterstützt werden. Gegebenenfalls muss dazu auf dem RADIUS-Server noch ein entsprechendes Dictionary importiert werden.

1.2.3 Wechseln Sie in das Menü Wireless-LAN → WLAN-Netzwerke → Verschlüsselung.

1.2.4 Klicken Sie auf Hinzufügen, um ein neues Verschlüsselungs-Profil zu erstellen.

1.2.5 Passen Sie die folgenden Parameter an:

  • Profilname: Vergeben Sie einen aussagekräftigen Namen für das Verschlüsselungs-Profil (in diesem Beispiel P-PSK-RADIUS-EXT).
  • Verschlüsselung: Stellen Sie sicher, dass die Option Ja ausgewählt ist.
  • Methode: Wählen Sie im Dropdown-Menü die Option WPA(2/3)-802.1X aus.
  • WPA-Version: Wählen Sie im Dropdown-Menü die gewünschte WPA-Version aus (in diesem Beispiel WPA2).
  • RADIUS-Serverprofil: Wählen Sie im Dropdown-Menü das in Schritt 1.2.2 erstellte RADIUS-Profil aus.

1.2.6 Wechseln Sie in das Menü Wireless-LAN → WLAN-Netzwerke → Netzwerke.

1.2.7 Bearbeiten Sie die vorhandene SSID und weisen dieser über das Dropdown-Menü das in Schritt 1.2.5 erstellte Verschlüsselungs-Profil zu.

1.2.8 Die Konfiguration der LEPS-MAC-Authentifizierung über einen externen RADIUS-Server auf einem Stand Alone Access Point ist damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.



2. Konfiguration von LEPS-MAC auf einem WLAN-Controller:

2.1 Konfiguration von LEPS-MAC auf einem WLAN-Controller über die Stationsregeln:

2.1.1 Wechseln Sie auf dem WLAN-Controller in das Menü WLAN-Controller → Profile → RADIUS-Profile.

2.1.2 Stellen Sie sicher, dass im Profil DEFAULT unter Authentifizierungs-Server die Standard-Einstellungen gesetzt sind:

  • IP-Adresse: 0.0.0.0
  • Port: 1812
  • Schlüssel (Secret): Kein Schlüssel

2.1.3 Wechseln Sie in das Menü WLAN-Controller → Profile → Logische WLAn-Netzwerke (SSIDs).

2.1.4 Wählen Sie das gewünschte WLAN-Netzwerk aus und klicken auf Bearbeiten.

2.1.5 Passen Sie die folgenden Parameter an:

  • Stellen Sie sicher, dass das RADIUS-Profil DEFAULT ausgewählt ist.
  • Aktivieren Sie die Option MAC-Prüfung aktiviert.

2.1.6 Wechseln Sie in das Menü RADIUS → Server und aktivieren die Option RADIUS-Authentisierung aktiv, um den RADIUS-Server zu aktivieren.

Auf einem WLAN-Controller muss im Gegensatz zu einem Standalone Access Point der RADIUS-Server aktiviert werden, da die MAC-Filterung hier über RADIUS läuft.

2.1.7 Wechseln Sie in das Menü WLAN-Controller → Stationen/LEPS → Stationsregeln.
2.1.8 Passen Sie die folgenden Parameter an:
  • MAC-Adressen-Muster: Tragen Sie die MAC-Adresse des WLAN-Endgerätes ein.
  • SSID-Muster: Tragen Sie die Wildcard * ein, damit das WLAN-Endgerät Zugriff auf alle SSIDs hat.
  • Name: Vergeben Sie einen aussagekräftigen Namen für das WLAN-Endgerät.
  • Passphrase: Geben Sie ein WLAN-Passwort ein, welches für dieses WLAN-Endgerät verwendet wird.
Beachten Sie, dass die Passphrase max. 63 Zeichen umfassen kann und keine Umlaute verwendet werden können. Folgende Zeichen können für der Passphrase verwendet werden:
#ABCDEFGHIJKLMNOPQRSTUVWXYZ@{|}~!$%&'()*+-,/:;<=>?[\]^_.0123456789abcdefghijklmnopqrstuvwxyz

Beachten Sie zu den Parametern MAC-Adressen-Muster und SSID-Muster auch den folgenden Knowledge Base Artikel:
Neuerungen und Funktionsweise der Stationsregel-Tabelle

2.2 Konfiguration von LEPS-MAC auf einem WLAN-Controller mit einem externen RADIUS-Server:

2.2.1 Verbinden Sie sich per LANconfig mit dem WLAN-Controller und wechseln in das Menü WLAN-Controller → Profile → RADIUS-Profile.

2.2.2 Klicken Sie auf Hinzufügen, um ein neues RADIUS-Profil zu erstellen.

Die bereits vorhandenen Standard-Profile DEFAULT und BACKUP dürfen auf keinen Fall modifiziert werden. Da das Profil DEFAULT in jedem logischen WLAN-Netzwerk hinterlegt ist, kann dies sonst Auswirkungen auf bereits vorhandene WLANs haben.

2.2.3 Passen Sie die folgenden Parameter an:

  • Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel RADIUS-EXT)
  • IP-Adresse: Geben Sie die IP-Adresse des RADIUS-Servers ein.
  • Port: Stellen Sie sicher, dass der Port 1812 hinterlegt ist.
  • Schlüssel (Secret): Tragen Sie ein Passwort ein, mit dem sich die Access Points am RADIUS-Server authentifizieren.

Das RADIUS-Profil wird mitsamt dem WLAN-Profil direkt an die Access Points ausgerollt. Die Access Points stellen die RADIUS-Anfragen somit direkt an den RADIUS-Server. Auf dem RADIUS-Server müssen die Anfragen der Access Points dann gegebenenfalls noch erlaubt werden.

Access Points mit LCOS LX verwenden immer die MAC-Adresse als RADIUS-Server Passwort-Quelle. In diesem Fall muss auf dem externen RADIUS-Server im Benutzer die MAC-Adresse als Benutzername und als Passwort hinterlegt werden. Weiterhin muss der verwendete RADIUS-Server den RADIUS-Parameter LCS-WPA-Passphrase unterstützen. Gegebenenfalls muss dazu auf dem RADIUS-Server noch ein entsprechendes Dictionary importiert werden.

2.2.4 Wechseln Sie in das Menü WLAN-Controller → Profile → Logische WLAN-Netzwerke (SSIDs).

2.2.5 Bearbeiten Sie das logische WLAN-Netzwerk, dem das RADIUS-Profil zugewiesen werden soll und passen die folgenden Parameter an:

  • Wählen Sie im Dropdown-Menü bei RADIUS-Profil das in Schritt 2.2.3 erstellte Profil aus.
  • Aktivieren Sie die Option MAC-Prüfung aktiviert.

  • Keine Stichwörter

All LANCOM products and software versions are subject to LANCOM Software Lifecycle Management.
You can find information on our website at https://www.lancom-systems.com/products/firmware/software-lifecycle-management

© 2019-2024 LANCOM Systems GmbH