LANCOM 1722 VoIP – LANCOM 1723 VoIP – LANCOM 1724 VoIP – LANCOM 1823 VoIP
11.1.2
802.1x / EAP
Der internationale Industrie-Standard IEEE 802.1x und das Extensible
Authentication Protocol (EAP) ermöglichen Access Points die Durchführung
einer zuverlässigen und sicheren Zugangskontrolle. Die Zugangsdaten können
zentral auf einem RADIUS-Server (integrierter RADIUS/EAP-Server im
LANCOM VoIP Router oder externer RADIUS/EAP-Server) verwaltet und von
dem Access Point bei Bedarf von dort abgerufen werden. Das dynamisch
erzeugte und kryptografisch sichere Schlüsselmaterial für 802.11i (WPA1/2)
ersetzt dabei die manuelle Schlüsselverwaltung.
Seit Windows XP ist die IEEE-802.1x-Technologie bereits fest integriert. Für
andere Betriebssysteme existiert Client-Software. Die Treiber der LANCOM
AirLancer-Funkkarten verfügen über einen integrierten 802.1x Client.
11.1.3
LANCOM Enhanced Passphrase Security
Mit LEPS (LANCOM Enhanced Passphrase Security) hat LANCOM Systems ein
effizientes Verfahren entwickelt, das die einfache Konfigurierbarkeit von IEEE
802.11i mit Passphrase nutzt und dabei die möglichen Fehlerquellen beim
Verteilen der Passphrase vermeidet. Bei LEPS wird jeder MAC-Adresse in einer
zusätzlichen Spalte der ACL eine individuelle Passphrase zugeordnet – eine
beliebige Folge aus 4 bis 64 ASCII-Zeichen. Nur die Verbindung von Pass-
phrase und MAC-Adresse erlaubt die Anmeldung am Access Point und die
anschließende Verschlüsselung per IEEE 802.11i oder WPA.
LEPS kann sowohl lokal im Gerät genutzt werden als auch mit Hilfe eines
RADIUS-Servers zentral verwaltet werden und funktioniert mit sämtlichen am
Markt befindlichen WLAN-Client-Adaptern, ohne dass dort eine Änderung
stattfinden muss. Da LEPS ausschließlich im Access Point konfiguriert wird, ist
jederzeit die volle Kompatibilität zu Fremdprodukten gegeben.
Ein weiterer Sicherheitsaspekt: Mit LEPS können auch einzelne Point-to-
Point-Strecken (P2P) mit einer individuellen Passphrase abgesichert werden.
Wenn bei einer P2P-Installationen ein Access Point entwendet wird und
dadurch Passphrase und MAC-Adresse bekannt werden, sind alle anderen per
LEPS abgesicherten WLAN-Strecken weiterhin geschützt, insbesondere wenn
die ACL auf einem RADIUS-Server abgelegt ist.
Gastzugang mit LEPS: LEPS kann auch zur Einrichtung eines Gast-
Zugangs verwendet werden. Dabei werden alle Benutzer des internen
WLAN-Netzes mit individuellen Passphrases ausgestattet. Für Gäste
steht eine eigene SSID mit einer globalen Passphrase zur Verfügung.
Kapitel 11: Sicherheits- Einstellungen
117