Univention-App-Highlights: Sichere Zugangskontrolle zu Netzwerken mit RADIUS

Willkommen zur fünften Ausgabe unserer UCS-App-Serie! Diesmal geht es um die RADIUS-App – den unsichtbaren Netzwerk-Wächter, der Ihre IT-Infrastruktur sicher macht. RADIUS sorgt dafür, dass private Geräte nicht zur Schwachstelle werden und schützt Ihr Netzwerk vor Schadsoftware.

RADIUS (Remote Authentication Dial-In User Service) ist ein Client-Server-Protokoll, das zur Authentifizierung, Autorisierung und Accounting von Benutzern bei Verbindungen in ein Netzwerk dient. Stellen Sie sich RADIUS wie eine Art Türsteher vor, der die Zugangskontrolle zu kabellosen und kabelgebundenen Netzwerken übernimmt. Der Dienst überprüft die Befugnis von Benutzeraccounts, Gruppen und Endgeräten:

• Zugangskontrolle: RADIUS überprüft den rechtmäßigen Zugang von Nutzer*innen, bevor sie Zugriff auf das Netzwerk erhalten. Das ist besonders wichtig für Organisationen, die einen sicheren und kontrollierten Netzwerkzugang gewährleisten möchten.
• Authentifizierung und Autorisierung: RADIUS regelt die Authentisierung und Autorisierung für Benutzeraccounts und Gruppen. Das ist besonders relevant für den Zugang zu WLAN-Netzwerken, wo ein leichter Zugang möglich sein soll, ohne die Sicherheit aus den Augen zu verlieren (Bring your Own Device, BYOD).
• Nahtlose Integration: RADIUS bietet eine intuitive Konfiguration, integriert sich nahtlos ins UCS-Managementsystem und unterstützt Sperr- und Freigabelisten für Benutzer-, Gruppen- und Endgeräteobjekte.

RADIUS ist als Client-Server-Architektur umgesetzt. Der RADIUS-Server überprüft, ob ein Gerät oder Benutzer berechtigt ist, einzutreten. Er kümmert sich um die Authentifizierung, also ob die Zugangsdaten stimmen, und die Autorisierung, also welche Rechte der Benutzer hat. Clients, also die „kleinen Helferlein“ des Türstehers, sind WLAN-Zugangspunkte, Netzwerk-Switches usw. Endgeräte wie Laptops, Tablets oder Smartphones sprechen nicht direkt mit dem RADIUS-Server, sondern kommunizieren über diese Helferlein.
RADIUS stellt sicher, dass nur die richtigen Personen Zugriff haben. Die Software übernimmt die Authentifizierung der Benutzer und legt fest, wer auf welche Daten oder Dienste zugreifen darf. Dazu protokolliert der Dienst, wer wann was gemacht hat. Das Schöne daran ist, dass die Zugangsdaten Ihrer Benutzer (wie Domänen-Passwörter) überall und jederzeit verfügbar sind, aber sicher an einer zentralen Stelle verwaltet werden – dem Verzeichnisdienst.
Mit RADIUS erhöhen Sie die Sicherheit Ihres Netzwerks erheblich und können problemlos Konzepte wie Bring Your Own Device (BYOD) für Firmen oder Bildungseinrichtungen umsetzen. So können Schüler*innen und Mitarbeitende ihre eigenen Geräte sicher ins Netzwerk bringen.
Es gibt verschiedene proprietäre und freie Radius-Implementierungen, bei Univention Corporate Server kommt FreeRADIUS zum Einsatz.

Sie installieren das neue Sicherheitssystem über das Univention App Center. Nach einem Klick auf Installieren können Sie über ein Drop-down-Menü einen Rechner aus der UCS-Domäne aussuchen und auf Fortfahren klicken. Nachdem alle Komponenten eingespielt sind startet der FreeRADIUS-Dienst. Dieser Wächter verbindet sich mit dem LDAP-Verzeichnisdienst und erhält von diesem Informationen zu Berechtigungen der Objekte (Accounts, Gruppen, Geräte).
Um WLAN-Geräte wie Laptops, Smartphones oder Tablets den Zutritt über RADIUS zu erlauben, muss zunächst der Access Point (AP) entsprechend konfiguriert sein. Es muss den IEEE-802.1x-Standard (zur Authentifizierung in Rechnernetzen) unterstützen. In der AP-Konfiguration hinterlegen Sie dazu die Daten des RADIUS-Servers.

Damit RADIUS seinen Job als Security-Experte perfekt erledigen kann, müssen alle Access Points (APs) bekannt sein. Es gibt zwei Wege, die Zugangspunkte zu konfigurieren: entweder über eine Konfigurationsdatei oder über ein Rechnerobjekt in der Univention Management Console (UMC).
Auf allen RADIUS-Servern finden Sie die Datei /etc/freeradius/3.0/clients.conf. Diese können Sie mit einem Texteditor Ihrer Wahl (mit Root-Rechten) bearbeiten. Für jeden AP erstellen Sie einen client-Eintrag, der neben der IP-Adresse auch ein Passwort enthält. Den Namen können Sie frei wählen, beim Erzeugen des Kennworts helfen Tools wie makepasswd. Haben Sie die Einstellungen vorgenommen, starten Sie den RADIUS-Dienst neu:
systemctl restart freeradius.service

Möchten Sie eine Konfiguration, die für die ganze Domäne gilt, verwenden Sie am besten die UMC. Öffnen Sie dazu das Modul Geräte / Rechner und erstellen Sie für jeden AP ein neues Rechnerobjekt. Für Access Points eignet sich der Typ IP-Client. Bearbeiten Sie das neue Objekt und aktivieren Sie auf dem Reiter Optionen die Checkbox RADIUS-Authenticator. Wechseln Sie dann zum Reiter RADIUS und aktivieren die Checkbox Netzwerkzugriff erlaubt. Tragen Sie einen gemeinsamen, geheimen Schlüssel (Shared Secret) ein. Die Eigenschaften NAS-Typ und Virtueller Server müssen Sie in der Regel nicht verändern.
Nach einem Klick auf Speichern schreibt der Univention Directory Listener die Konfiguration in die Datei /etc/freeradius/3.0/clients.univention.conf und startet den RADIUS-Server neu. Neue Access Points haben erst nach diesem Neustart Zugriff auf den RADIUS-Server.

In der Voreinstellung hat niemand Zugriff aufs Netzwerk – Sie müssen nach das explizit genehmigen. Stellen Sie sich das wie bei einem exklusiven Club vor: Der Türsteher (RADIUS) lässt nur die Personen rein, die auf der Gästeliste stehen.

Um einzelnen Accounts den Zugang zu gewähren, öffnen Sie das Modul Benutzer und wechseln in der linken Seitenleiste zum Reiter RADIUS. Aktivieren Sie dann auf der rechten Seite die Checkbox Netzwerkzugriff erlaubt und klicken auf Speichern.

Für Gruppen funktioniert es ähnlich: Gehen Sie zum Reiter RADIUS und aktivieren Sie dort die Checkbox Netzwerkzugriff erlaubt. Speichern Sie die Änderungen, und schon haben alle Mitglieder dieser Gruppe Zugang zum Netzwerk.

In der Voreinstellung authentifizieren sich Anwender*innen über das Domänen-Passwort, Administrator*innen können aber eine zusätzliche Sicherheitsebene einbauen und eigene Kennwörter für RADIUS einrichten – wie ein zusätzliches Schloss an der Tür. Den Extraschutz richten Sie über die UCR-Variable radius/use-service-specific-password ein, die auf true stehen muss. Die Univention Configuration Registry erreichen Sie über die UMC, Abteilung System.

Damit Benutzer*innen ihr RADIUS-Kennwort über die App Self Service setzen können, setzen Sie die UCR-Variable umc/self-service/service-specific-passwords/backend/enabled auf true. Im Self-Service-Portal gibt es anschließend die neue Kachel WLAN-Passwort, die beim Erzeugen eines zufälligen Kennworts hilft.

Tipp: Sie können bestimmen, wie die selbst erzeugten Passwörter der Benutzer*innen aussehen sollen. Dazu gibt es mehrere UCR-Variablen, deren Name mit password/radius/quality beginnt. So legen Sie beispielsweise die Minimallänge, die Anzahl von Buchstaben und Ziffern usw. fest. Damit stellen Sie sicher, dass die Kennwörter stark genug sind, um Ihr Netzwerk vor unbefugtem Zugang zu schützen – wie ein starker, sicherer Tresor.

In der Voreinstellung gewährt RADIUS allen Endgeräten Zugang zum Netzwerk, vorausgesetzt, Benutzer*innen kennen die richtige Parole. Etwas strenger wird die Einlasskontrolle, wenn Admins den Zutritt auf bestimmte Geräte begrenzen. Möglich wird das mit MAC-Filtern, die nur bestimmte Geräte hereinlassen.

Dazu setzen Sie die UCR-Variable radius/mac/whitelisting auf true. Beim nächsten Netzwerkzugriff wird das LDAP-Attribut macAddress des Geräts abgefragt und geprüft, ob es berechtigt ist. So stellen Sie sicher, dass nur die Geräte ins Netzwerk kommen, die wirklich zugelassen sind.

Aber was ist mit Druckern, netzwerkfähigen Projektoren, interaktiven Whiteboards und ähnlichen Geräten, die keine 802.1X-Authentifizierung unterstützen, aber dennoch Zugang zum Netzwerk benötigen? Hier kommt der MAC Authentication Bypass (MAB) ins Spiel. In diesem Modus dient die Hardware-Adresse als Benutzername, sodass sich diese Geräte anmelden können – wie eine spezielle Hintertür für wichtige Geräte. Das Handbuch erklärt in Kapitel MAC Authentication Bypass für Computerobjekte ausführlich, wie Sie MAB aktivieren und einrichten. So bleibt Ihr Netzwerk sicher und alle benötigten Geräte sind trotzdem verbunden.

Mit der RADIUS-App können Sie Endgeräte dynamisch zu virtuellen Netzwerken zuordnen. Solche Virtual Local Area Networks (VLANs) unterteilen bestehende physische Netzwerke in mehrere logische Netzwerke. Diese Aufteilung ist ideal für große Umgebungen, in denen verschiedene Netzwerke für Benutzer*innen und Gäste erforderlich sind. Abgekapselte Subnetze erhöhen nicht nur die Sicherheit, sondern verbessern auch die Performance.

Falls Sie für Ihre UCS-Domäne virtuelle Netzwerke eingerichtet haben, können Sie den RADIUS-Dienst dazu verwenden, Accounts und Gruppen zu bestimmten VLANs zuzuweisen. RADIUS übernimmt die Authentifizierung der Benutzer*innen und gibt als Antwort eine VLAN-ID zurück. Dazu weisen Sie einer Gruppe über den Reiter RADIUS eine VLAN-ID zu. Außerdem legen Sie über die UCR-Variable freeradius/vlan-id eine Standard-VLAN-ID fest. Diese dient als Ersatz, falls ein Account keiner Gruppe zugeordnet ist.

Weitere Informationen zu diesem Thema finden Sie in unserem Blogartikel VLANs und RADIUS: virtuelle Netzwerke für Univention Corporate Server (UCS) konfigurieren. Im Handbuch (Kapitel RADIUS) finden Sie zudem detaillierte Hinweise zur Konfiguration und zu den RADIUS-Logfiles.

Mit der RADIUS-App verwandeln Sie Ihr Netzwerk in eine sichere Festung. RADIUS übernimmt die Rolle des strengen Türstehers, der nur berechtigten Benutzer*innen und Geräten Zugang gewährt. Durch die Konfiguration von Access Points, die Nutzung von MAC-Filtern und die Möglichkeit, eigene RADIUS-Kennwörter zu setzen, erhöhen Sie die Sicherheit Ihres Netzwerks erheblich.

Darüber hinaus bietet RADIUS die Flexibilität, Endgeräte dynamisch zu virtuellen Netzwerken (VLANs) zuzuweisen, was besonders in großen Umgebungen für zusätzliche Sicherheit und verbesserte Performance sorgt. Mit den umfassenden Konfigurationsmöglichkeiten und der nahtlosen Integration in die UCS-Umgebung haben Sie alle Werkzeuge an der Hand, um Ihr Netzwerk optimal zu schützen.

Haben Sie Fragen oder Anmerkungen? Hinterlassen Sie uns einen Kommentar und teilen Sie Ihre Erfahrungen und Ideen – hier im Blog oder im Forum Univention Help!

Bild-Quelle: Icon created by Freepic from flaticon.com