RADIUS 802.1X

Das Grundprinzip

Normalerweise steht auf der einen Seite ein netzwerktaugliches Gerät, das sich an einem Netzwerk anmelden möchte. Dabei ist das erst einmal völlig egal, ob das über WLAN oder „Kabel“ geschehen soll. Sobald grundsätzlich die Verbindung hergestellt ist, fragt das Gerät entweder von sich aus nach einer IP-Adresse aus dem Netzwerk, oder meldet sich mit einer manuell zugewiesenen (statischen) IP-Adresse direkt an. Durch eine aktive Port Access Entitiy, kurz PAE, ist das allerdings nicht so „ohne weiteres“ möglich, da die Zugangsvoraussetzungen geändert werden:

Einem netzwerktauglichen Gerät (der „Sublicant“) wird exklusiv ein spezieller Port zum Netzwerk geöffnet, wenn das Gerät seine Daseinsberechtigung im Netzwerk nachweisen kann. Je nach Konfiguration und Funktionsumfang entdscheidet dieses der Router dabei selbst, oder leitet die Anfrage des Sublikanten an eine zuständige Instanz (in diesem Beispiel ein RADIUS - Server) weiter. In beiden Fällen klärt der Router in seiner Funktion als “Authentificator“ also zunächst einmal, ob das anfragende Gerät überhaupt Zugang zum Netzwerk haben darf:

Erst, wenn der Supplikant bestätigt wurde, wird vom zuständigen Router exklusiv ein Port geöffnet, über den dann im Anschluss alle weiterführende Kommunikation mit dem Netzwerk stattfinden kann. Auf diesem Weg stellt man bereits im Vorfeld von einer zentralen Stelle aus – in diesem Fall ein RADIUS Server – sicher, dass unberechtigte oder „fremde“ Geräte gar nicht erst grundsätzlichen Zugang zu einem Netzwerk bekommen, was eine Grundvoraussetzung z.B. für einen Hackerangriff ist.

Konfiguration der 802.1X Unterstützung

Für diesen Konfigurationsschritt aktualisieren Sie bitte auf Firmware-Version 2.06 oder höher.

Sie benötigen den folgenden Menüpunkt:

Zusätzliche Dokumentation:

• Artikel: „Der RADIUS-Server “, im Help Center   

In diesem Artikel erklären wir, wie man einen grundlegenden RADIUS-Testserver einrichtet und damit die Funktionen des CS141 testet.

CS141 für 802.1x einrichten

Der CS141 verwendet ein Maschinenkonto, um sich als Sublikant im Netzwerk anzumelden. Je nach Netzwerk kann auch eine Verschlüsselungsmethode ausgewählt werden, um die Kommunikation zwischen allen Teilnehmern zu erhöhen.

Hinweis:

Welche Verschlüsselungsmethode Sie verwenden müssen, hängt weitgehend von Ihrem Netzwerk ab - diese Informationen können Sie vom zuständigen Administrator Ihres Netzwerks erhalten

Dabei ist der Freigabelevel als Gast bereits vollkommen ausreichend:

TLS – zertifikatsbasierter Zugang ohne Benutzername und Passwort

In vollautomatisierten Netzwerken ist es auch üblich, dass sich die Infrastruktursysteme selbst authentifizieren, ohne dass zusätzliche Benutzername und Passwort eingegeben werden müssen. Der Vorteil des TLS-basierten Zugangs liegt nicht nur in der Skalierbarkeit, sondern auch in der zentralen Verwaltung und der Reduzierung lokaler Konfigurationsfehler, da das Zertifikat per Drag-and-Drop ausgetauscht werden kann. So ist es beispielsweise möglich, den Gast- oder Ingenieurebenutzer global zu sperren und 802.1X PAE zu verwenden.

Da 802.1X PAE die Zugangskontrolle zu einem Netzwerk darstellt, kann hier leider kein „Default-Zertifikat“ existieren - es muss vom zuständigen Administrator erstellt werden. Die TLS-Datei muss im PEM-Format erstellt werden und besteht aus 3 Elementen. Es ist wichtig, dass die genaue Reihenfolge eingehalten wird, da das Zertifikat sonst nicht wie erwartet funktioniert:

-----BEGIN RSA PRIVATE KEY-----
[supplicant private key]
-----END RSA PRIVATE KEY----- 
-----BEGIN CERTIFICATE-----
[supplicant certificate]
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
[supplicant Root certificate]
-----END CERTIFICATE-----

Wenn eine supplicant.pem-Datei verfügbar ist, verwenden Sie Drag-and-Drop, um die Datei in das angegebene Upload-Feld zu legen, und klicken Sie auf „Hochladen“. Der CS141 importiert automatisch den Speicher und startet die benötigten Dienste neu.

PAE-Funktionalität testen

Verbinden Sie den CS141 mit einem 802.1X PAE-gesicherten Router oder Switch-Port. Der entsprechende RADIUS-Server sollte einen Anmeldeversuch protokollieren und zulassen, und der CS141 sollte über LAN verfügbar sein.

Für ein gültiges Zertifikat wenden Sie sich bitte an den zuständigen Systembetreuer oder Systemadministrator.

Hinweis: Befolgen Sie die offiziellen RADIUS-Konfigurationshandbücher

Das CS141-Handbuch bietet ein kleines Handbuch zur Einrichtung eines RADIUS zu Testzwecken – die in diesem Handbuch beschriebene Einrichtung kann auch verwendet werden, um PAE zu testen. Nicht enthalten ist die Konfiguration eines RADIUS-Servers für Linux oder Windows zur Verwendung von TLS-basiertem Zugang, da dies über den Rahmen dieses Leitfadens hinausgeht. Wenn Sie einen vollständigen Testserver benötigen, wenden Sie sich bitte an Ihre lokale IT-Abteilung.

Gibt es eine Beziehung zwischen PAE und RADIUS-Konfiguration innerhalb der „Benutzer“-Einstellung

Es gibt keine Beziehung zwischen diesen beiden Einstellungen: 802.1X PAE ist eine unabhängige Funktion, mit der Sie allgemein den Zugang des Geräts zu einem Netzwerk definieren können. Sie müssen daher nicht wie oben gezeigt eine administrative Genehmigung für den CS141 erteilen; es reicht aus, dass der CS141 allgemein berechtigt ist, einen Port für 802.1X zu verwenden: Dadurch ist es möglich, das Gerät so zu konfigurieren, dass es die Anforderungen erfüllt  

• über RADIUS 802.1X ein genereller Zugang zum lokalen Netzwerk auf Basis der Portfreigabe möglich ist.
• sich ausschließlich lokal eingetragene Nutzer anmelden dürfen.
• ausschließlich RADIUS-Nutzer verwendet werden dürfen.
• Grundsätzlich nur RADIUS-Nutzer verwendet werden dürfen, außer der RADIUS-Server ist nicht verfügbar.

Detaillierte Konfigurationsanleitungen für den RADIUS-Server finden Sie im Artikel "Der RADIUS-Server" im Help Center