WLAN mit WPA2 und 802.1x (PEAP)

Der Nachteil eines Pre-Shared Key (PSK) liegt auf der Hand: Ist er bekannt, kann jeder damit ins Netz. Und wenn man den Key ändern möchte, muss man alle Endgeräte administrieren. Als Alternative kann man auf 802.1x als Authentifizierungsmethode setzen. Man spricht dabei oft auch von WPA2-Enterprise (statt WPA2-Personal bei einem PSK). Vorteil ist, dass alle Benutzer eigene Zugangsdaten für das Netz bekommen. Die Authentifizierung erledigt dann ein Radius Server. Auf dem Radius Server kann man so gezielt Benutzern den Zugriff auf das Netz erlauben und wieder verweigern oder Kennwörter ändern. Das folgende Tutorial soll beschreiben, wie man mit möglichst wenigen Schritten in einer Cisco Umgebung ein WLAN mit 802.1x absichert.

Testequipment:
– Ein Cisco 1230 Accesspoint mit IOS 12.3.8-JEE
– Cisco Secure Access Server 5.1.44.6 (gibt es auch mit Evaluation Lizenz)
– Nexus S mit Android 2.3.4 als WLAN Client (um zu zeigen, dass Android PEAP kann)

Konfiguration ACS:

Network Device Group

Als erstes legen wir verschiedene Network Device Groups an. In meiner Testumgebung habe ich zwei Gruppen angelegt. Eine Gruppe für 802.1x im LAN und eine für WLAN.

Network Devices and AAA

Unter Network Devices and AAA Clients legen wir den Accesspoint an.

Identity Groups

Für die Benutzer, die Zugriff auf das WLAN bekommen sollen, legen wir eine neue User Group an („WLAN User“). Die andere Gruppe („WLAN Clients“) kann ignoriert werden.

Users

Anschliessend werden unter Users die Benutzer in der passenden Gruppe angelegt.

Jetzt fehlt uns nur noch das passende Regelwerk um Radius Anfragen mit „Ja du darfst rein“ oder „Nein du darfst nicht rein“ zu beantworten. Das machen wir unter Access Policies. Standardmässig verweisen Radius Anfragen auf den Service „Default Network Access“. Hier müssen wir nichts ändern. Es sei denn man möchte einen eigenen Service definieren, z.B. „Wireless LAN Access“.

Da ich den vorhandenen Service „Default Network Access“ verwende, editiere ich dort mein Regelwerk. Unter dem Menüpunkt „Identity“ habe ich die Möglichkeit verschiede „Identity Stores“ anzugeben. Ein Identity Store ist eine Datenbank, die meine Benutzer enthält. Das kann entweder eine lokale Datenbank sein, ein Active Directory oder irgendein anderes LDAP Verzeichnis. Ich nutze für meine WLAN Benutzer die lokale Datenbank auf dem Radius Server. Wenn einem die vorhandenen „Conditions“ nicht ausreichen, kann man unten rechts unter „Customize“ neue Conditions hinzufügen. Im nächsten Schritt habe ich davon Gebrauch gemacht.

Zuvor habe ich unter „Identity“ gesagt, dass 802.1x Anfragen von Geräten mit dem Device Type „WLAN“ den Identity Store Internal Users, also die lokale Datenbank, nutzen sollen. Jetzt muss ich nur noch eine Regel dafür erstellen, welche User Zugriff bekommen sollen. In meinem Fall User aus der Identity Group „WLAN User“. Regel 1 (Rule-1) können wir an dieser Stelle wieder ignorieren. Die ist nur wegen eines Tests mit Active Directory drin.

Ich setze die Default Rule ganz unten immer auf DenyAccess. Ich glaube per Default steht dort Permit. Das finde ich etwas unglücklich.

Im Prinzip ist das alles gewesen. Ob die Regeln ziehen kann man ganz gut am Hitcounter sehen. Zusätzliche Informationen bietet das Logfile unter Monitoring and Reports. Unter AAA -> Radius Authentications werden die Anmeldeversuche aufgelistet.

Konfiguration WLAN:

Das WLAN Netz ist mit WPA/WPA2 (AES CCMP mit TKIP) konfiguriert. CCKM (EAP-FAST) funktionierte bei meinem Nexus S und Android 2.3.4 nicht. Mir wird auch keine CCX Version des Nexus auf dem Accesspoint angezeigt und meines Wissens muss mind. CCXv3 vorhanden sein um CCKM zu nutzen. Ähnliches gilt für Management Frame Protection. MFP funktioniert nur mit CCXv5 und das unterstützen nur die wenigsten WLAN Clients (selbst Intel Treiber z.B. unterstützen Stand heute nur CCXv4).

Bei der Konfiguration darf man unter Security/SSID Manager nicht vergessen einen Haken bei WPA und Mandatory zu setzen. Ansonsten stellt sich der AP auf WEP ein. Damit funktioniert das natürlich alles nicht.

WLAN Konfiguration WPA2 mit EAP

For english guests:
Tutorial how to protect Wireless LAN with 802.1x in a Cisco environment with 1230 Accesspoint and Secure Access Server 5.1. For further questions do not hesitate to write an email.

 

6 Gedanken zu „WLAN mit WPA2 und 802.1x (PEAP)

  1. Andreas Beitragsautor

    Hi, habe mich speziell mit diesem Thema länger nicht mehr beschäftigt. Mein Hinweis bezüglich CCX sollte aber noch gültig sein. Hast du das mal mit bspw. einem Samsung Galaxy S4 probiert? Soweit ich diese Geräte kenne, unterstützen sie wenigstens CCXv4.

    Wie sieht denn deine Umgebung aus? Ähnlich wie mein Testfeld oder hast du etwas anderes?

    Antworten
    1. Daniel

      Hi,

      getestet habe ich das bisher mit einem Blackberry Q10, einem iPhone 6 Plus und einem Macbook.

      Ich habe Zuhause vier Cisco Aironet 1232ag und authentifiziere gegen einen Freeradius.

      Antworten
      1. Andreas Beitragsautor

        Laufen die 1232 autonom? Dann dürfte, soweit ich informiert bin, Fast Roaming sowieso nicht gehen. Das wird nur bei „central switched“ APs unterstützt. D.h. man braucht einen Controller. Aber wie gesagt, ich habe mich länger nicht mehr damit beschäftigt.

        Antworten
        1. Daniel

          Ja, der Controller war mir zum spielen Zuhause zu teuer. Die Accesspoints greifen alle auf einen AP zurück der als eine Art abgespeckter Controller für bis zu 30 Accesspoints fungiert.

          BTW: Coole PV Anlage. Werde ich nächstes Jahr auch mal in Angriff nehmen…

          Antworten
  2. Daniel

    Hey,

    hast du CCKM zwischenzeitlich zum laufen bekommen? Ich habe nämlich mit dem selben Problem zu kämpfen. Ich benötige CCKM um „Fast Secure Roaming“ zum laufen zu bekommen.

    Antworten

Kommentar verfassen