Extended Authentication Protocol (Xauth); Einleitung; Xauth In Der Firmware; Konfiguration Von Xauth - Lancom Systems LCOS 9.10 Referenzhandbuch

10.11 Extended Authentication Protocol (XAUTH)

10.11.1 Einleitung

Bei der Einwahl von Gegenstellen über WAN-Verbindungen (z. B. über PPP) werden oft RADIUS-Server eingesetzt, um
die Benutzer zu authentifizieren. Die üblichen WAN-Verbindungen wurden im Laufe der Zeit dann immer mehr von
sichereren (verschlüsselten) und kostengünstigeren VPN-Verbindungen verdrängt. Der Aufbau von VPN-Verbindungen
über IPSec mit IKE erlaubt jedoch keine unidirektionale Authentifizierung von Benutzern über RADIUS o. ä. .
Das Extended Authentication Protocol (XAUTH) bietet eine Möglichkeit, die Authentifizierung bei der Verhandlung von
IPSec-Verbindungen um eine zusätzliche Stufe zu erweitern, in der die Benutzerdaten authentifiziert werden können.
Dazu wird zwischen der ersten und der zweiten IKE-Verhandlungsphase eine zusätzliche Authentifizierung mit
XAUTH-Benutzernamen und XAUTH-Kennwort durchgeführt, welche durch die zuvor ausgehandelte Verschlüsselung
geschützt ist. Diese Authentifizierung kann über einen RADIUS-Server erfolgen und so die Weiterverwendung der
vorhandenen RADIUS-Datenbanken bei der Migration auf VPN-Verbindungen für die Einwahl-Clients ermöglichen.
Alternativ kann die Authentifizierung eine interne Benutzertabelle des Gerätes verwenden.
5
Um die Verwendung von XAUTH besonders sicher zu gestalten, sollten Sie nach Möglichkeit anstelle des
Preshared-Key-Verfahrens (PSK) die Einwahl über RSA-SIG (Zertifikate) verwenden. Stellen Sie dabei sicher, dass
das VPN-Gateway nur das Zertifikat der jeweils richtigen Gegenstelle akzeptiert (und nicht alle von der gleichen
CA ausgestellten Zertifikate).

10.11.2 XAUTH in der Firmware

Im Gerät nutzt das XAUTH-Protokoll die Einträge in der PPP-Tabelle zur Authentifizierung der Gegenstelle. Die Verwendung
der Einträge in der PPP-Tabelle ist dabei von der Richtung des Verbindungsaufbaus abhängig, also von der
XAUTH-Betriebsart:
XAUTH-Betriebsart
XAUTH-Benutzername
XAUTH-Kennwort

10.11.3 Konfiguration von XAUTH

Die Verwendung des XAUTH-Protokolls wird für jede VPN-Gegenstelle separat vorgenommen. Dabei wird lediglich der
XAUTH-Betriebsmodus festgelegt.
Server
Gegenstelle aus der PPP-Tabelle.
Es wird dabei der Eintrag aus der
PPP-Tabelle gewählt, bei dem die
PPP-Gegenstelle dem übermittelten
XAUTH-Benutzernamen entspricht.
Die PPP-Gegenstelle muss dabei auch
der verwendeten VPN-Gegenstelle
entsprechen.
Kennwort aus der PPP-Tabelle.
Referenzhandbuch
10 Virtual Private Networks - VPN
Client
Benutzername aus der PPP-Tabelle.
Es wird dabei der Eintrag aus der
PPP-Tabelle gewählt, bei dem die
PPP-Gegenstelle der verwendeten
VPN-Gegenstelle entspricht.
Kennwort aus der PPP-Tabelle.
663