Angriffsmöglichkeit durch Verwendung von RADIUS Authentifizierung mit MAC-Adressen

[geppi]

Die Menge der verfügbaren Informationen zur RADIUS Authentifizierung mit MAC-Adressen ist ja recht übersichtlich und in praktisch allen wird beschrieben, dass als Benutzername und Passwort in der Benutzertabelle des RADIUS-Servers die MAC-Adresse in der Form aabbcc-ddeeff anzugeben ist. So zum Beispiel in folgender Kurzanleitung von Alfred im Beitrag lancom-wireless-aktuelle-accesspoints-f ... tml#p97999.

.....
(a) RADIUS->Server->RADIUS-Authentisierung: aktiv. Damit schaltest Du erstmal den RADIUS-Server an.
(b) RADIUS->Server->Benutzerkonten: nach Bedarf füllen. Ein Eintrag muß aktiv sein, als Benutzernamen und Paßwort
die MAC-Adresse im Format aabbcc-ddeeff, PAP muß zugelassen sein.
(c) Wireless LAN -> Stationen, "Daten von den aufgeführten Stationen übertragen, alle anderen über RADIUS authentifizieren oder ausfiltern"
(d) Wireless LAN -> Stationen, RADIUS Server Passwort Quelle -> MAC-Adresse
(e) Wireless LAN -> Stationen->RADIUS-Server Einstellungen -> 127.0.0.1 als Server-Adresse, Port bleibt auf 1812, Secret bleibt leer
(f) Wireless LAN -> Allgemein -> Logische WLAN Einstellungen: "MAC-Filter aktiviert" für die gewünschte SSID setzen.
.....

Wenn nun parallel dazu eine SSID konfiguriert ist, deren Authentifizierung über 802.1X am selben RADIUS-Server läuft, kann man sich an dieser, alleine mit Kenntnis einer im LEPS-Netzwerk zugelassenen MAC-Adresse anmelden. Man muss dazu bei der Anmeldung an diesem WPA-Enterprise Netzwerk lediglich die MAC-Adresse, in der Form aabbcc-ddeeff, sowohl als Benutzername als auch als Passwort eingeben.

Zugegebener Maßen ist das ein recht spezielles Szenario, aber immerhin lassen sich alle notwendigen Informationen durch einfaches belauschen ermitteln.

Abhilfe kann man natürlich damit schaffen, dass unter Punkt (d) der obigen Anleitung für "Wireless LAN->Stationen, RADIUS Server Passwort Quelle" nicht die "MAC-Adresse" sondern "Secret" gewählt wird und entgegen der Angabe in Punkt (e) für "Wireless LAN->Stationen->RADIUS-Server Einstellungen->Secret" ein solches definiert wird.

Dann muss man aber bei jedem MAC-Adressen-Eintrag in der RADIUS Benutzertabelle als Passwort dieses (hoffentlich) kryptische Secret eintragen.

Was auch funktioniert ist, für den entsprechenden Eintrag in der RADIUS Benutzertabelle die erlaubten Protokolle "PAP, CHAP, MSCHAP, MSCHAPv2, EAP" alle auf "off" zu setzen.

Kann jemand sagen ob das auch hinreichend ist, um dieses Angriffszenario komplett auszuschließen?

Mir ist nämlich nicht klar über welches Protokoll die RADIUS Authentifizierung mit MAC-Adressen läuft.
Entgegen der Angabe in Punkt (b) von Alfreds Kurzanleitung muss PAP nämlich nicht zugelassen sein.
Zumindest kann ich bei mir alle Häkchen wegnehmen und die RADIUS Authentifizierung mit MAC-Adressen funktioniert im WPA2-PSK Netzwerk mit LEPS immer noch.

[GrandDixence]

deren Authentifizierung über 802.1X mit PEAP/MSCHAPv2 am selben RADIUS-Server läuft

PEAP und MSCHAPv2 gilt als unsicher und sollte tunlichst durch EAP-TLS mit einer eigenen PKI ersetzt werden. Als Einstieg in diese Thematik:
https://www.heise.de/ratgeber/WLAN-und- ... 79513.html

fragen-zum-thema-vpn-f14/android-vpn-17 ... ml#p108418

EAP-TLS dient der Kommunikation zwischen Mobilgerät und RADIUS-Server.

Die Kommunikation zwischen Netzwerkkomponenten und dem RADIUS-Server sollte mit RADSEC abgesichert werden:
https://en.wikipedia.org/wiki/RadSec

lancom-allgemeine-fragen-f23/verwendung ... t9245.html

WPA3-Personal unterstützt kein LEPS-MAC. Siehe:
lancom-wireless-aktuelle-accesspoints-f ... 20166.html

[geppi]

Das ist ja alles schön und gut, ändert aber nichts an der Tatsache, dass es in der von mir beschriebenen Konfiguration ein konkretes Angriffsszenario gibt.

In der real existierenden Welt gibt es halt leider manchmal Clients, die die beste Methode nicht unterstützen oder Gegebenheiten, die es nicht gestatten für jeden Client ein Zertifikat auszurollen.

Die RADIUS Authentifizierung mit MAC-Adresse im Zusammenhang mit LEPS ist für sich alleine ja auch nicht das Problem. Auch nicht mit der MAC-Adresse als Passwort im RADIUS Eintrag.
So richtig ins Knie schießt man sich erst, wenn man später zu dem LEPS Kram auch noch 802.1X dazu nimmt.

Ob das jetzt empfehlenswert ist oder nicht, man sollte das zumindest mal dokumentieren.

Gemäß den Informationen, die ich bisher zum Thema RADIUS Authentifizierung mit MAC-Adresse gefunden habe, würde ich mal davon ausgehen, dass in der überwiegenden Zahl der Fälle, wo das konfiguriert wurde, nicht das RADIUS Secret benutzt wird.

[geppi]

Achso und RADSEC hilft in dem von mir beschriebenen Scenario auch nix.

[geppi]

Und wenn ich mir's recht überlege hilft glaube ich nicht mal EAP-TLS was.

Wo kann ich denn bei einer SSID die mit 802.1X arbeitet konfigurieren, dass sie keine Clients reinlässt, die sich z.B. mit PEAP/MSCHAPv2 anmelden?

Wenn der RADIUS-Server einen entsprechenden Eintrag in den Benutzerkonten hat und Name sowie Passwort passen, gibt er sein OK und der Client ist drin.

Oder hab' ich da was falsch verstanden?

[GrandDixence]

Ja, es wäre empfehlenswert die Beiträge hier aufmerksam durchzulesen. Und immer vor der Fragestellung einen Blick ins LCOS-Referenzhandbuch und in die LCOS-Menüreferenz zu werfen.

Konfigurationsparameter unter:

LCOS-Menübaum > Setup > Radius > Server > EAP > Erlaubte-Methoden

korrekt gesetzt?

[geppi]

Ja, es wäre empfehlenswert die Beiträge hier aufmerksam durchzulesen. Und immer vor der Fragestellung einen Blick ins LCOS-Referenzhandbuch und in die LCOS-Menüreferenz zu werfen.
.....

Na klar und am besten auch noch im Addendum und den Release Notes nachschauen ob da zum Thema was drin steht.

In diesem Fall fehlt anscheinend sowohl in LANconfig als auch in der WebConfig die Möglichkeit diesen wichtigen Parameter zu setzen.
Dort hatte ich im EAP Menü des RADIUS-Servers lediglich die Möglichkeit gefunden, die Default-Methode auszuwählen.

EAP-Settings.PNG

Im Referenzmanual wird auch nicht erwähnt, dass es die Möglichkeit gibt, die unter EAP erlaubten Protokolle generell einzuschränken.
Oder hab' ich da jetzt auch wieder was übersehen?

.....
Konfigurationsparameter unter:

LCOS-Menübaum > Setup > Radius > Server > EAP > Erlaubte-Methoden
.....

Wieder was gelernt, danke!

Schon irgendwie suboptimal diese Einstellung nur auf der Kommandozeile anzubieten.

Was ich jetzt aber immer noch nicht verstehe ist, warum ich in den Einstellungen des RADIUS Benutzerkontos sämtliche Authentifizierungs-Protokolle entfernen kann, einschließlich PAP und trotzdem noch eine Anmeldung mittels der MAC-Adresse via LEPS möglich ist.

RADIUS-Benutzer-Protokolle.PNG

Im AP ist unter "Wireless-LAN->Stationen/LEPS->Stationsregeln nix eingetragen. Die Authentifizierung muss also über den RADIUS-Server laufen.

[Cytor]

Du solltest deinen RADIUS-Server so konfigurieren, dass die LEPS-Benutzerkonten (also die "MAC-Adress-User") nur für die SSID gelten, auf denen das auch gewünscht ist. LANCOM-APs übermitteln den SSID-Namen während der RADIUS-Authentifizierung im Feld "Called-Station-ID", auf die der RADIUS-Server filtern kann. Wie das genau geht, sollte irgendwo in der LANCOM Knowledge Base stehen, wenn ich mich recht erinnere. Ansonsten schau dir einfach mal das RADIUS-Paket im Trace an, um das genaue Format herauszufinden. Es sollte "[BSSID:SSID]" sein, also könntest du im RADIUS-Server der Einfachheit halber für die gewünschten Accounts einen Filter auf "*:[SSID]" setzen.

Viele Grüße

[geppi]

Guter Tipp, danke.