Virtual-LAN-Technik

WLAN-Authentifizierung über 802.1X und VLAN

11.04.2007 | Autor / Redakteur: Lisa Phifer / Andreas Donner

Viele WLAN-Nutzer wissen, dass man mit dem Protokoll 802.1X Anwender authentifizieren kann, die drahtlos auf ein Netzwerk zugreifen. Wenige Nutzer wissen jedoch, dass sich mit 802.1X auch der drahtlose Datenverkehr in einem virtuellen LAN mit all seinen Nutzer- und Gruppenberechtigungen kanalisieren lässt. Doch um die kritische Verbindung zwischen Authentifizierung und Autorisierung zu bewerkstelligen sind einige Kniffe nötig.

Wie bereits im Artikel „WLAN-Datenverkehr zielsicher steuern mit VLANs“ beschrieben, können mit 802.1Q-Tags Ethernet-Pakete in logische Gruppen eingeteilt werden. Die Pakete werden gekennzeichnet, sobald sie in ein LAN gelangen, sodass Geräte wie Gateways, Router und Firewalls Sicherheits- und QoS-Filter anwenden können.

Beispielsweise kann ein Access Point (AP) drahtlosen Datenverkehr so kennzeichnen, dass er sich isoliert vom kabelgebundenen Datenverkehr durchs Netzwerk bewegt – vom AP zum Egde-Switch, vom Core-Switch zum Internet-Router.

Der bereits erwähnte Artikel beschrieb einerseits, wie Tags von kabelgebundenen Geräten angewandt und gefiltert werden, und erläuterte andererseits die besten Vorgehensweisen bei der Konfiguration eines VLANs. Doch wie weiß ein Access Point, welcher VLAN-Tag zu welchem Paket gehört?

• Damit jede drahtlose Netzwerknutzung denselben Sicherheits- und QoS-Richtlinien unterliegt, müssen alle APs und Edge-Switches so konfiguriert sein, dass sie dediziert Tags zuordnen. Dies ist jedoch nur bei kleinen, spezialisierten WLANs praktikabel, z.B. bei WLANs für den Gastzugang ins Internet.
• Um Wireless-Nutzer per Extended Service Set Identifier in Gruppen einzuteilen, müssen die SSIDs in jedem AP eindeutig zu VLAN-Tags zugeordnet werden, z.B. alle Pakete von Teilnehmern, die sich mit dem SSID „Mitarbeiter“ eingeloggt haben, erhalten den Tag 1, solche des SSIDs „Administrator“ den Tag 2. Diese gebräuchliche Methode ist jedoch anfällig für VLAN-Hopping. In diesem Beispiel könnten Anwender die Filter für VLAN 1 umgehen und mit dem SSID „Administrator“ in VLAN 2 gelangen.
• VLAN-Hopping lässt sich vermeiden, wenn der 802.1X-RADIUS-Server eine Liste mit zulässigen SSIDs eines authentifizierten Anwenders zurücksendet. Beispielsweise kann beim Administrator die Meldung „Zugang genehmigt“ zugleich Attribute enthalten, welche die Nutzung der SSIDs „Administrator“ und „Mitarbeiter“ erlauben. Versucht dagegen ein Mitarbeiter, den SSID „Administrator“ zu verwenden, kann der Server melden, dass nur die Berechtigung für den SSID „Mitarbeiter“ besteht. In diesem Fall verweigert der AP den Zugang, bevor irgendwelche Daten fließen können. Diese Methode sorgt bei statischen VLANs für eine bessere Zugangskontrolle.
• Wenn auf bestehende kabelgebundene VLANs drahtlos zugegriffen werden soll, müssen die Tags dynamisch, auf Basis der Nutzer- und Gruppenberechtigungen, zugeordnet werden. Dies lässt sich bewerkstelligen, indem der 802.1X-RADIUS-Server einen Tag für jeden erfolgreich authentifizierten Anwender zurücksendet. Angenommen, das Kabelnetzwerk ist in organisatorische VLANs unterteilt – Management (Tag 1), Buchhaltung (Tag 2), Entwicklung (Tag 3) und Personalabteilung (Tag 4) – und es bestehen Filter für Ethernet-Switches und Firewalls, die z.B. den Zugriff von Entwicklern auf die Datenbanken der Buchhaltung verhindern, dann lassen sich diese Kontrollen für den drahtlosen Zugriff erweitern. Der RADIUS-Server muss in diesem Fall den Tag 3 zurücksenden, und zwar immer, wenn sich jemand aus der Entwicklung über 802.1X einloggen möchte. Die VLAN-Zuordnung wird also Aufgabe des RADIUS-Servers. Die Tag-Konfiguration jedes einzelnen APs wird hinfällig, Verwaltungsaufwand und Fehleranfälligkeit sinken. SSIDs und Tags lassen sich voneinander entkoppeln, etwa wenn SSIDs für andere Zwecke verwendet werden sollen, z.B. für den Wechsel zu WPA2.

VLAN-Zuordnung mit RADIUS

RFC 3580 beschreibt Richtlinien für den Gebrauch von 802.1X mit RADIUS (Remote Authentication Dial In User Service). Diese Richtlinien erklären, wie RADIUS-Attribute den entsprechenden 802.1X-Protokollfeldern – dazu gehören Gründe für das Beenden einer Verbindung, Geräte- und AP-Identifier, Timeouts und herstellerabhängige Attribute – zugeordnet werden. Im Besonderen beschreibt RFC 3580, wie RADIUS-Server getunnelte Attribute einsetzen können, um VLAN-Tags innerhalb von Zugangsberechtigungsprozeduren zurücksenden zu können. In der nachstehenden Zeichenfolge ist der VLAN-ID eine ganze Zahl zwischen 1 und 4094:

Hierbei müssen RADIUS-Server und alle APs diese Zuordnung nach RFC oder die gleichen herstellerabhängigen Attribute unterstützen.

Um nach dieser Methode vorgehen zu können, muss der AP so konfiguriert werden, dass er VLAN-Tag-Werte des RADIUS-Servers akzeptiert und dem Verkehr zuordnet. Abhängig vom AP gelingt dies mit pauschalen AP-Parametern oder mit RADIUS-Profilen, welche einzelnen Wireless-Geräten oder SSIDs zugeordnet werden. Beispielsweise lässt sich ein RADIUS-Profil allen SSIDs zuordnen, die WPA- oder WPA2-Verschlüsselung verwenden, während statische VLAN-Tags solchen SSIDs zugeordnet werden, die nicht 802.1X nutzen (z.B. Gäste-WLANs). Bei dieser Konfiguration ist es sinnvoll, ein eigenes VLAN für die AP-Verwaltung einzurichten.

Außerdem müssen bei der RADIUS-Konfiguration Benutzer und Gruppen sowie die zugehörigen VLAN-Tags berücksichtigt werden. Der Radius-Server kann die Zugriffsberechtigungen auch bei einem anderen Authentifizierungsserver abfragen, etwa bei einem Domain Controller. Beispielsweise kann ein Domain Controller die authentifizierte Mitgliedschaft in einer Benutzergruppe zurücksenden. Der RADIUS-Server verwendet diese, um den richtigen Tag zu finden und dem AP als Tunnel-Private-Group-ID-Attribut zu übermitteln.

Des Weiteren sind VLAN-fähige Geräte nötig (u.a. ein mit den APs verbundener Ethernet-Switch), der RADIUS-Server selbst und eventuell ein DHCP-Server, der drahtlose Geräte mit IP-Adressen versorgt. Die APs und der RADIUS-Server können nicht gekennzeichnete Pakete austauschen oder (vorzugsweise) ihr eigenes VLAN nutzen. Der DHCP-Server muss mit allen aktiven VLANs verbunden sein, um DHCP-Anfragen aus allen VLANs bearbeiten zu können.

Fazit

Auch wenn man das gesamte WLAN einem einzigen VLAN zuordnet, oder via 802.1X alle Anwender auf VLANs aufteilt: Zugangskontrollen bleiben für die Durchführung von Sicherheits- und QoS-Richtlinien in jedem Fall weiter erforderlich. Denn mit VLAN-Tags lassen sich zwar unterschiedliche Richtlinien für LAN-Pakete anwenden, die über dieselbe physische Schnittstelle (Trunk) empfangen werden, doch wo genau diese Richtlinien angewandt, und wie sie letztlich formuliert werden, liegt immer noch im Ermessen des Administrators.

Kommentar zu diesem Artikel

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Spamschutz 

Bitte geben Sie das Resultat dieser Rechenaufgabe (Addition) ein:

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2003953)