Zentrale Tag-Zuweisung reduziert Aufwand bei verteilt WLAN-Traffic

Logische Gruppen mittels SSID und RADIUS-Server im WLAN definieren

14.12.2007 | Autor / Redakteur: Peter Riedlberger / Stephan Augsten

In großen Unternehmen sollte der Netzwerk-Traffic mit VLANs segmentiert werden.
In großen Unternehmen sollte der Netzwerk-Traffic mit VLANs segmentiert werden.

Viele Administratoren wissen, dass 802.1X die Authentifizierung von WLAN-Nutzern ermöglicht. Weniger bekannt ist, dass man IEEE-Standard auch dazu verwenden kann, WLAN-Traffic in virtuelle LANs umzuleiten. Dort lassen sich dann die Benutzer- und Gruppenberechtigungen zuweisen. Dieser Artikel erklärt, wie man diese entscheidende Verbindung zwischen Authentifizierung und Autorisierung herstellt.

Wie sich Ethernet-Pakete mit Hilfe von 802.1Q-Tags in logische Gruppen einteilen lassen konnten Sie bereits im ersten Artikel zum Thema VLANs erfahren. Sobald Pakete in ein LAN einlaufen lassen sie sich mithilfe eines Tags kennzeichnen, damit Upstream-Geräte (wie Gateways, Router oder Firewalls) entsprechende Sicherheits- und QoS-Filter darauf anwenden.

Beispielsweise könnten Access Points mittels Tagging dafür sorgen, dass schnurloser Traffic vom kabelgebundenen Traffic getrennt bleibt. Dies funktioniert innerhalb des gesamten Netzwerks: vom AP zur Edge Switch, von der Core Switch zum Internet-Router.

Der letzte Artikel legte ebenfalls dar, wie Tags von kabelgebundenen Geräten gesetzt und gefiltert werden und welche Best Practices bei der VLAN-Konfiguration zu beachten sind. Aber wie legen APs fest, welches VLAN-Tag in ein gegebenes Paket zu schreiben ist?

VLAN-Tagging in verschiedenen Umgebungen

1. Einerseits können für den gesamten Traffic, der via WLAN ins Netzwerk kommt, dieselben Sicherheits- und QoS-Richtlinien gelten. Hierzu konfiguriert man alle APs oder Edge Switches so, dass sie den Paketen ein und dasselbe Tag zuweisen. Diese Option ist nur für kleine, sehr spezielle WLANs sinnvoll, z. B. Internetzugang für Gäste auf dem Firmengelände.

2. Um WLAN-Benutzer gemäß ihrer ESSID (Extended Service Set Identifier) in Gruppen einzuteilen, konfiguriert man die APs so, dass sie aus den verschiedenen SSIDs jeweils andere VLAN-Tags ableiten. Beispielsweise erhalten alle Pakete von Stationen mit SSID „Mitarbeiter“ das Tag 1, während jene mit der SSID „Administrator“ Tag 2 bekommen.

Diese Methode ist verbreitet, es besteht allerdings die Gefahr von „VLAN-Hopping“. Das bedeutet, dass starrköpfige Anwender, für die eigentlich die Filter von VLAN 1 gelten würden, sich mit der „Administrator“-SSID verbinden und damit in VLAN 2 gelangen.

3. Um VLAN-Hopping zu unterbinden wird der 802.1X-RADIUS-Server so konfiguriert, dass er für jeden authentifizierten Benutzer eine Liste der erlaubten SSIDs zurückgibt. Wenn sich also Adrian Administrator mit 802.1X authentifiziert, dann beinhaltet die Access-Accept-Nachricht Attribute, die ihm gestatten, sich mit den SSIDs „Mitarbeiter“ oder „Administrator“ zu verbinden.

Wenn aber Miriam Mitarbeiterin einen Versuch unternimmt, sich mit der „Administrator“-SSID zu verbinden, dann meldet der RADIUS-Server zurück, dass sie nur die „Mitarbeiter“-SSID verwenden darf. Der AP, mit dem sich Miriam verbunden hat, wirft sie hinaus, ehe sie Daten senden kann. Diese Methode funktioniert auch bei statischen VLANs mit derselben Autorisierungsgranularität, aber stärkerer Zugriffskontrolle.

4. Damit Richtlinien für vorhandene VLANs im kabelgebundenen Netzwerk auch für schnurlose Stationen gelten, müssen Tags abhängig von der Benutzer- oder Gruppenidentität dynamisch zugewiesen werden. Dies lässt sich realisieren, indem man den 802.1X-RADIUS-Server ein Tag für jeden erfolgreich authentifizierten Benutzer zurückgeben lässt.

Angenommen ein schnurgebundenes Netzwerk ist in VLANs für die einzelnen Abteilungen aufgeteilt: Tag 1 für das Management, Tag 2 für die Buchhaltung, Tag 3 für die Entwicklung und Tag 4 für die Personalabteilung. Es gibt bereits Filter für die Ethernet-Switchs und Firewalls, die verhindern, dass Entwicklungs-Traffic die Buchhaltungsdatenbanken erreicht. Damit diese Einschränkungen auch für WLAN-Benutzer gelten, muss der RADIUS-Server so konfiguriert sein, dass er Tag 3 zurückgibt, wann immer sich ein Entwicklungs-Mitarbeiter über 802.1X anmeldet usw.

Diese Methode zentralisiert die VLAN-Zuweisung im RADIUS-Server, anstatt jeden AP einzeln mit Tags zu konfigurieren. Damit verringern sich der administrative Aufwand und das Fehlerrisiko, außerdem sind SSIDs und Tags entkoppelt. Dies ist sehr nützlich, wenn man die SSIDs später anderweitig verwenden will (z.B. für eine WPA2-Migration).

Verwendung von RADIUS für die VLAN-Zuweisung

RFC 3580 definiert Richtlinien für die Kombination von 802.1X mit RADIUS (Remote Authentication Dial In User Service). Diese Richtlinien erklären, wie man RADIUS-Attribute mit den korrespondierenden 802.1X-Protokollfeldern verbindet, u.a. Terminierungsgründe, Station- und AP-Identifikation, Timeouts und herstellerspezifische Attribute.

Insbesondere beschreibt RFC 3580, wie RADIUS-Server die folgenden getunnelten Attribute verwenden können, um VLAN-Tags innerhalb von Access-Accept-Nachrichten zurückzugeben (VLANID ist eine ganze Zahl zwischen 1 und 4094, die als String kodiert ist):

Tunnel-Type=VLAN (13)
Tunnel-Medium-Type=802
Tunnel-Private-Group-ID=VLANID

Ein RADIUS-Server und sämtliche APs müssen entweder diese RFC-definierte Zuweisung unterstützen oder aber identische, proprietäre Attribute, wie sie vom jeweiligen Hersteller definiert wurden.

Bei dieser Methode konfiguriert man den AP so, dass er VLAN-Tag-Werte vom RADIUS-Server erwartet und sie auf seinen Traffic anwendet. In Abhängigkeit vom AP kann dies über globale AP-Parameter oder „RADIUS“-Profile geschehen, die für einzelne Stationen oder SSIDs gelten. So könnte etwa ein RADIUS-Profil für alle SSIDs mit WPA oder WPA2-Enterprise gelten, während statische VLAN-Tags für die anderen SSIDs ohne 802.1X-Authentifizierung benutzt werden (z.B. Besucher-WLANs).

Tipps zum Einrichten des VLANs

Wenn man VLANs konfiguriert, empfiehlt es sich, ein separates VLAN für die AP-Administration einzurichten.Man muss zudem Benutzer und Gruppen auf dem RADIUS-Server definieren, ebenso wie die VLAN-Tags, die für sie gelten sollten.

Der RADIUS-Server kann seinerseits eine Anfrage an einen anderen Authentifizierungssever (z.B. einen Domänencontroller) stellen, um die Anmeldedaten zu verifizieren. So könnte der Domänencontroller die Gruppenmitgliedschaften eines authentifizierten Benutzers zurückmelden, mit denen dann der RADIUS-Server wiederum das richtige Tag erstellt, das als Tunnel-Private-Group-ID an den AP zurückgeht.

VLAN-kompatible Upstream-Geräte sind ebenfalls erforderlich. Das gilt für die Ethernet-Switch, die mit den APs verbunden ist, den RADIUS-Server selbst und eventuell einen DHCP-Server, der IP-Adressen an die WLAN-Stationen ausgibt.

Die APs und der RADIUS-Server können Tag-lose Pakete austauschen oder (besser) ein eigenes VLAN verwenden. Der oder die DHCP-Server müssen in allen aktiven VLANs vertreten sein, damit sie DHCP-Anfragen von Stationen aller VLANs bearbeiten können.

ACLs werden in jedem Fall benötigt

Noch etwas: Auch wenn man das gesamte WLAN als ein einziges VLAN einrichtet oder Benutzer mit 802.1X verschiedenen VLANs zuweist, so bleiben ACLs (Access Control Lists) doch stets notwendig, um Sicherheits- und QoS-Richtlinien durchzusetzen.

VLAN-Tags sorgen zwar dafür, dass Upstream-Geräte verschiedene Richtlinien auf LAN-Pakete anwenden, die über dieselbe physikalische Schnittstelle (Hauptleitung) ankommen. Aber den Inhalt dieser Richtlinien und den Ort ihrer Anwendung festzulegen, das bleibt natürlich Aufgabe des Administrators.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2009731 / Allgemein)