Sichere WLAN-Benutzer Authentifizierung über Radius

Allgemeine Einleitung

Grundlage des Tutorials ist ein kürzlich im ct'_Magazin_erschienener_Artikel, der den grundlegenden Aufbau im Detail erklärt. Ziel dieses Tutorials ist es Zusatzinformation bzw. Erfahrungen zur Installation und zu Details zu liefern in der Umsetzung, die der ct' Artikel nicht behandelt.
Allgemeine Informationen zur Radius Installation und dem Verwenden von unsicheren Pre Shared Keys und den damit verbundenen gravierenden Nachteilen in Firmennetzen oder größeren Netzen behandelt der o.a. Artikel.
Dieses Tutorial schildert die schnelle und unkomplizierte Installation des kostenfreien FreeRadius Servers in einer virtuellen VmWare Umgebung auf einem Windows Rechner.
So kommt man schnell zu einem laufenden Radius Server, (...und erweitert ganz nebenbei sein Linux KnowHow ) auch in einer reinen Windows Umgebung. Natürlich ist auch eine separate Installation auf einer alten ausgesonderten HW (alter PC) möglich, denn nutzt man nur den FreeRadius Radius Server ,benötigt dieser sehr wenig Resourcen und Performance.
Vorausgesetzt werden einfache Kenntnisse in der Installation von VM Produkten wie VmWare, Virtual Box, Virtual PC usw. Es muss aber eine Virtualisierungs Software sein, die auch die Installation von Linux in der VM unterstützt, da der Server auf Basis von OpenSuSE arbeitet .
Tiefe Linux Kenntnisse sind nicht erforderlich ! Es ergibt sich sogar ein leichter Lerneffekt nebenbei und weckt ggf. das Interess für dieses OS für Linux Laien ?!
Für das Tutorial wurde die kostenfreie Version des VmWare Servers bzw. Workstation verwendet.
https://www.vmware.com/tryvmware/?p=server ...
Wichtig: Für die Installation ist die Netzwerk Einstellung in den Modus: Bridged einzustellen !

Für die sichere Netzwerk Zugangskontrolle via 802.1x auf kabelbasierenden LAN Switches gibt es bei Administrator.de ein separates Tutorial das dieses Setup behandelt:
http://www.administrator.de/index.php?con ...
Das Radius Server Setup basiert aber ebenfalls auf diesem Tutorial !

Der Radius Server

Das Tutorial deckt nicht die Installation von VmWare, VirtualBox, Parallels oder anderer Virtualisierungs Software ab und geht von einer fertigen VM Host Installation auf einem vorhandenen Rechner aus. In der Regel ist diese unkompliziert und mit ein paar Mausklicks erledigt. Die meisten der o.a. Produkte liegen in einer kostenfreien Version vor die ein Testen ohne finanziellen Aufwand erlaubt.
Die Freeradius Anwendung benötigt sehr wenig Resourcen wenn sie nur für Radius Authentifizierungen benutzt wird. Die VM kann deshalb mit folgenden minimalen Optionen eingerichtet werden die heute z.B. jeder aktuelle XP Desktop PC im Handumdrehen bereithält:
OS: Open-SuSE Linux, 32 oder 64 Bit
RAM: 300 Mbit oder, sofern vorhanden, mehr nach Wahl
Disk: 10 GiG oder, sofern vorhanden, mehr nach Wahl
Netzwerk: Bridged Modus
Danach läd man das ISO Image der aktuellen OpenSuSE 12.1 herunter oder benutzt, wenn vorhanden, einfach die SuSe Installtions DVD:
http://software.opensuse.org/121/en
und brennt aus der ISO Datei mit dem CD Brennprogramm seiner Wahl z.B. das freie ImageBurn oder Nero etc. eine DVD !
Diese DVD legt man in dann in den Hostrechner ein und installiert OpenSuSE 12.1 in der zuvor erzeugten virtuellen Maschine.
Noch schneller geht es mit der Netz Installations Boot CD (Download unter "Network"), die alles aktuell direkt über das Internet installiert.
Hier ein paar Tips zur Installation:
Es reicht das normale Standardsetup zu installieren. Auch Linux Laien brauchen keine Angst zu haben und müssen nur Sprache, Uhrzeit, Benutzernamen usw. wie bei einer Windows installation auswählen, der Rest geht vollkommen automatisch.
Etwas Geübte können hier in der Paketauswahl noch überflüssiges wie Spiele, OpenOffice usw. abwählen um die Installation noch schlanker zu machen. Ganz Harte verzichten auch auf die grafische Oberfläche. Für Linux Anfänger ist das aber nicht zu empfehlen !!

Bitte lesen denn dieser Punkt hat verstärkt zu Rückfragen geführt:
Ein WICHTIGER Tip um späteren Frust vorzubeugen und bevor man auf "Installation beginnen" klickt:
In der Einstellung "Firewall/Sicherheit" sollte man für die ersten Schritte der Einrichtug die Linux Firewall erstmal ausgeschaltet lassen und zusätzlich den SSH Zugang aktivieren, um später auch direkt aus dem Netz auf den Server Zugang zu bekommen ohne immer die VmWare Konsole zu bemühen obwohl das ebenfalls recht einfach über eine Webbrowser Session zu machen ist.
Das klappt dann einfach mit einem Terminal Programm wie z.B. Putty (Empfehlung !) oder TeraTerm auch ohne immer über die VM Konsole gehen zu müssen. Natürlich sind auch remote Desktop Zugriffe über VNC, RDP etc. möglich sofern diese Pakete bei der Installation mitinstalliert werden.
Daten die vom und zum Server kopiert werden müssen kann man z.B. mit WinSCP problemlos mit einem Win Explorer like GUI zwischen Host und VM oder anderen Geräten übers Netz auf den Server kopieren.
Wichtig, denn später muss ein Zertifikat vom FreeRadius auf USB Stick kopiert werden !
Um die wichtigsten Punkte noch einmal zu wiederholen:

• VM sollte im Netzwerkmodus "Bridged" betrieben werden !
• Der Server selber muss keine VM sein ! Natürlich kann das auch ein dedizierter Rechner sein wenn man den Radius auf einer eigenen Plattform oder einem alten recycelten PC betreiben möchte !
• Die wichtigstens Windows Tools zum Einrichten: Putty, TeraTerm, WinSCP wie oben beschrieben.

Apple Macs haben all das schon von sich aus an Bord ! Linux sowieso.

• Nochwas wichtiges: Ab SuSE 11.2 wird der SSH Server oftmals nicht gestartet. Wenn ein remoter Zugriff dann trotz deaktivierter oder angepasster Firewall scheitert ist dies oft der Grund !

Das Kommando "service sshd status" zeigt an ob der SSH Server aktiv ist. Ist er es nicht geht man ganz einfach in die Systemeinstellungen mit YAST und klickt System Services (Runlevel). Hier kann man den sshd Server dann automatisch starten lassen beim Systemstart.
Damit funktionieren dann Putty und WinSCP problemlos.

Keine Angst, wer diese Firewall Einstellungen vergisst kann es später nach der Installation von OpenSuSE problemlos in den Systemeinstellungen unter YAST nachholen.
Bitte aber immer bedenken das die Firewall den Radius Zugang (UDP 1812 und UDP 1813) immer blockt wenn sie nicht entsprechend angepasst oder deaktiviert wurde !!!
Es reicht meist sie von der Einstellung "Externe Zone" auf die "Interne Zone" zu setzen sofern der Server sich im sicheren internen Netz befindet !
Firewall Probleme sind das leidige tägliche Brot fast aller Netzwerk Fragen und Threads hier bei Administrator.de !!
Ist die Installation erfolgreich durchgelaufen, sollte man vom OpenSuSE in der VM den Hostrechner und auch einen ggf. im Netz vorhandenen Router pingen können ! Damit ist dann auch bewiesen das der Netzwerkzugriff sauber funktioniert. Dies sollte man VOR den nächsten Schritten immer erst sicherstellen !
Ist der Ping erfolgreich, ist der Server damit fertig installiert und bereit für die Installation des Freeradius Pakets.
Dafür ist eine laufende Internet Verbindung zwingend notwendig, denn das aktuelle Freeradius Packet wird über das Internet dazu installiert !! Man kann dies auch über die Installations DVD machen aber die aktuelle Version schliesst immer aktuelle Sicherheitslücken !
Der OpenSuSE Server in der VM sollte also unbedingt eine funktionierende Verbindung ins Internet haben ! Meist ist das aber gegeben wenn auch der VM Hostrechner einen Internet Zugang hat.
Und nun steht der Installation des Radius Servers nichts mehr im Wege !

Radius Server vorbereiten

Um nun das Freeradius Paket zu installieren geht man in der VM Konsole auf die grafische Oberfläche von OpenSuSE klickt den "Start" Button und dann in die Systemeinstellungen und startet dort unter dem Karteireiter "Erweitert" das System Verwaltungsprogramm YAST.


Dort klickt man dann in die Paketverwaltung....


...und tippt über die Suchfunktion einfach das folgende Paket ein:
freeradius-server ..und lässt es installieren.
Wer noch die FeeRadius Dokumentation und Radius Tools zusätzlich haben möchte (sind zum Betreib nicht zwingend erforderlich, aber hilfreich) installiert zusätzlich noch die Pakete freeradius-server-doc und freeradius-server-utils. Die Pakete installieren sich selbstständig, automatisch ohne weiteres Zutun.


Wichtig ist ferner unbedingt noch das Paket make zum Erzeugen der Zertifikate !


Ist das geschehen und die Pakete installiert, kann man YAST schliessen.

Das Beispiel IP Netzwerk indem sich unser Tutorial Server und die Tutorial WLAN APs befinden ist hier das IP Netz 192.168.100.0 mit einer 24 Bit Maske 255.255.255.0
Schematisch betrachtet sieht das Tutorialnetzwerk dann so aus:

Netzwerk und Benutzer Konfiguration anpassen

Nun ist etwas "Handarbeit" zum individuellen Anpassen der Radius Konfigurations Dateien gefragt. Alle diese Dateien sind simple, lesbare Textdateien die mit einem einfachen Text Editor angepasst werden.
Der in Open SuSe bereits enthaltene Editor joe ist ein hilfreiches Werkzeug dazu. "Hardcore Unixer" nehmen den "vi". Alternativ "pico", "nano" usw. usw. Text Editoren gibt es zuhauf unter Linux und man kann sich den Schönsten aussuchen.
(Für Bedienungshinweise des "joe" Text Editors tippt man einfach CTRL K H wie "Hilfe" ein !)

Man öffnet nun ein Terminalfenster über den "Start" Button (grünes Chamäleon) links unten mit dem man (WICHTIF) als root Benutzer durch Eingabe von su - und dem Root Passwort arbeitet. Der "root" User ist gewissermaßen der Administrator Account bei Windows.
Alle Dateien befinden sich im Verzeichnis /etc/raddb/ in das man nun mit dem Kommando cd /etc/raddb/ wechselt !
Als erstes passt man die Datei clients.conf an, die den Zugang der APs zum Radius regelt bzw. erlaubt.
Mit "joe clients.conf" editiert man diese Datei.
Keine Angst, die Datei hat viele Beispiele in der Konfig die aber alle mit einem "#" auskommentiert sind ! Man hängt nun einfach die folgenden Zeilen ans Ende an:
Dieser Eintrag erlaubt damit allen Endgeräten aus dem 192.168.100.0er IP Netz den Radius Zugriff auf den FreeRadius Server.
Das Passwort "radiustest" sollte man natürlich nach Wunsch ändern und sich notieren da es später in der AP Konfiguration benötigt wird.
Im Editor joe speichert man diese geänderte DateI dann mit ctrl k x und verlässt damit den Editor.

Als nächstes ist die Datei "users" dran, die die einzelnen Benutzer enthält. Auch hier wieder wie gehabt joe users.
Wieder nicht erschrecken...auch diese Datei hat viele Beispiele die mit "#" aber auskommentiert sind. Bzw. evtl. vorhandene kann man zusätzlich auskommentieren.
Ganz am Ende kann man nun seine Benutzer hinzufügen:
Mit ctrl k x sichern !
Der Benutzer Gast hat durch den Parameter "Login-Time" nur Werktags von 7 Uhr bis 18 Uhr Zugang, der Benutzer Service an allen Tagen von 7 Uhr bis 23 Uhr. Auch einzelne Wochentage sind z.B. mit "Su1000" für Sunday = Sonntag, 10 Uhr oder "Tu2300" für Tuesday = Dienstag, 23 Uhr kommagetrennt möglich.

Radius Server Zertifikate erzeugen

Mit dem Kommando cd /etc/raddb/certs wechselt man das Dateiverzeichnis. Als root User (su -) löscht man nun mit dem Kommando rm -f *.pem *.der *.csr *.crt *.key *.p12 serial* index.txt* alle diese Beispieldateien im Verzeichnis /etc/raddb/certs/.
Nun passt man wieder mit dem Texteditor joe ca.cnf die Zertifikats Konfig-Datei an !
Unter der Überschrift [ CA_default ] setzt man den Parameter default_days auf 1826 Tage was 5 Jahren Gültigkeit entspricht. Oder mehr wer eine längere Gültigkeit des Zertifikats wünscht !
Unter der Überschrift [ req ] setzt man eigene und GLEICHE Passwörter unter input_password und output_password den Default "whatever" sollte man tunlichst NICHT übernehmen denn das Passwort kennt jetzt die ganze Welt !!!
Dann unter dem Textblock [certificate_authority] passt man die dortigen Einträge nach seinen persönlichen Gegebenheiten an wie z.B. das folgende Beispiel:
[certificate_authority]
countryName = DE
stateOrProvinceName = Radius
localityName = Frankfurt
organizationName = Firma-Meier
emailAddress = admin@meier.de
commonName = "radiustest"

Datei mit "ctrl k x" wieder sichern.
Wichtig: Diesen oben in der Datei ca.cnf angepassten Abschnitt unter [certificate_authority], [ CA_default ] passt man mit exakt den gleichen Einträgen (Passwörter etc.) zusätzlich auch in der Datei server.cnf an !
Diese beiden Einträge müssen also in beiden Dateien exakt gleich vorhanden sein !

Nun werden in diesem Verzeichnis mit Eingabe des Kommandos make all die Zertifikate erzeugt !
Sind die Zertifikate erzeugt (man siehts am Monitoroutput), kopiert man sich mit Hilfe des o.a Programms WinSCP das erzeugte Stammzertifikat, das in der Datei ca.der im Verzeichnis liegt, auf einen lokalen Windows Rechner und dann auf einen USB Speicher Stick oder eben gleich direkt auf einen USB Stick !
(Nebenbei: eine komplette Dateiliste im aktuellen Verzeichnis des Radius Servers zeigt immer das Kommando ls ! )

Ein letztes Mal muss nun noch einmal der joe (oder ein anderer) Editor bemüht werden....
Im Verzeichnis /etc/raddb/ editiert man mit joe eap.conf die Datei "eap.conf" und sucht dort den Eintrag private_key_password im Abschnitt "EAP-TLS", (Zeile 154 im joe Editor) und trägt dort genau das Passwort ein, was man oben bei [ req] input_password und output_password konfiguriert hat !
Alles wieder mit ctrl k x sichern.
Fertig... !!
Kein Editor Gefummel mehr und dem allerersten Test des Radius Servers steht nun nichts mehr im Wege !

Radius Server testen

Bevor man den Server automatisiert starten lässt ist es sinnvoll ihn erstmal "zu Fuß" zu testen ob alles sauber eingerichtet ist und keine Tippfehler einen Error erzeugen.
Dazu sollte unbedingt erst einmal die Firewall des OpenSuSE Server deaktiviert werden in den Systemeinstellungen wenn nicht, wie oben beschrieben, schon vorher gemacht. Oder sie schon bei der Installation deaktiviert ist um ggf. Frust zu vermeiden.
Die Firewall kann später immer wieder aktiviert werden wenn man den Radius Port UDP 1812 und UDP 1813 freigibt !!
Aber erstmal deaktiviert lassen zum Testen...das erspart nachher graue Haare !!

Man öffnet jetzt wieder ein Terminalfenster als root User (su -) und wechselt ins Verzeichnis /usr/sbin/ und startet hier den Radius Server mit Debug Output Option mit dem Kommando: ./radiusd -X
Nach ein paar Schirmmeldungen sollten die letzten Zeilen sein:
....
Listening on authentication address * port 1812
Listening on accounting address * port 1813
Listening on command file /var/run/radiusd/radiusd.sock
Listening on proxy address * port 1814
Ready to process requests.

Damit ist der Server dann fehlerfrei gestartet !!

Um gleich die fehlerfreie Radius Authentifizierung erst einmal schnell über das LAN zu testen, läd man sich das kostenfreie, grafische Radius Testtool NTRadPing für Windows von
http://www.novell.com/coolsolutions/tools ...
herunter und entpackt es in einem separaten Verzeichnis. Eine Installation ist nicht erforderlich, denn das Programm startet unter Windows auf Mausklick
Hier gibt man nun nach der folgenden Abbildung die Daten einer seiner konfigurierten Radius Benutzer und die Server IP Adresse an:


...und klickt auf SEND !
Nun erscheinen am Server eine Reihe von Status Meldungen und hier wichtig ist der Output "Access accepted".
Im NTRadPing Client muss im Fenster Server reply "Response:Access accept stehen ! (Siehe Abbildung)
So ist ein schneller Radius Server Vorabtest einfach gemacht und man kann beim Troubleshooten den Radius sicher als Fehlerquelle ausschliessen sollte alles bis hierhin klappen !
Damit funktioniert nun das ganze Setup wie es soll und nun steht dem Radius Einsatz im WLAN nichts mehr im Wege !

Alternative: Radius Server im Router integriert

Einige Router mit DD-WRT basierender Firmware wie z.B. der Buffalo WZR-HP-G300NH haben von sich aus schon einen kompletten FreeRadius Server an Bord.
Dieser ist exakt wie in der o.a. Anleitung beschrieben aufzusetzen, hat aber den großen Vorteil das die Zertifikats Generierung mit einem simplen Mausklick funktioniert.
Allerdings erfordert die Freeradius Installation ein bischen manuelle Anpassung wie dieser Thread hier beschreibt.
Für Kleinstinstallationen mit nur einer Handvoll APs bietet sich so eine sehr bequeme Radius Lösung integriert auf dem Router an.
Bei größeren WLANs ist aus Performance-, Skalierungs- und Backup Grunden immer eine Server oder VM Lösung wie oben vorzuziehen !

WLAN Accesspoints konfigurieren

Die Einstellung der Accesspoints ist relativ einfach ! Im Menü der WLAN Sicherheitseinstellungen wählt man hier statt PSK die Option WPA/WPA2 Enterprise, trägt die IP Adresse des Radius Servers ein und das in der Datei clients.conf verwendete Passwort. (Hier "radiustest" im Beispiel, siehe clients.conf Datei oben !)
Als Anhaltspunkt zeigt die folgende Abbildung die funktionierende Einstellung an einem 30 Euro Accesspoint von TP-Link_WA-501G der u.a. für die Radius Installation verwendet wurde !

(Anmerkungen zum obigen Screenshot: Besser ist es die stärkere Verschlüsselung "AES" zu verwenden !! TKIP sollte man verwenden wenn ältere Rechner im WLAN Netz sind (z.B. Win XP ohne SP3), da diese AES oft nicht supporten. Im Zweifelsfall belässt man die Einstellung auf "Auto", dann nimmt der AP die Verschlüsselung die der Client supportet !)

Die folgenden Screenshots zeigen weitere Einstellung an bekannten Routern und Accesspoints wie dem Linksys WRT54 mit original Firmware und einmal mit der freien Firmware DD-WRT, AirLive AP 5460 und Edimax EW-7416APn V2
Linksys WRT54G:

DD-WRT Variante (z.B. D-Link DIR-300 oder Linksys WRT54Gl etc.):

AirLive AP-5460:

Edimax EW-7416APn V2:

Diese o.a Beispiele gelten analog für alle WLAN Accesspoints oder WLAN Router am Markt.
Wie man an den obigen Radius Einstellungen allesamt sehen kann gleichen sich diese Einstellungen im Menü Bereich der Einstellungen zur AP WLAN Security !

WLAN Clients einrichten

Als erstes nimmt man das erzeugte und vorher oben auf den USB Stick kopierte Stammzertifikat ca.der und installiert es auf dem Client.
Bei XP reicht ein einfacher Doppelklick auf diese Datei ca.der, bestätigt dann alle Fragen abnicken und bei der Sicherheitswarnung klickt man auf "JA". XP installiert das Zertifikat damit automatisch an der richtigen Stelle.
Ruft man mit Start --> Ausführen --> certmgr.msc den Zertifikatsmanger auf, kann man den erfolgreichen Import des Zertifikats kontrollieren:


Bei Windows 7 wählt man manuell "Stammzertifizierungsstellen" als Zertifikatsspeicher aus !

Nun richtet man manuell ein WLAN Profil zur SSID (WLAN Kennung) seines Accesspoints ein:
Im Karteireiter "Authentifizierung" werden folgende Daten eingetragen:


Wichtig ist das Zertifikat auszuwählen und in den Eigenschaften von MS-CHAP den Haken zur Verwendung der Domaindaten zur Anmeldung zu entfernen.

Viele die Intel basierende WLAN Chips in Laptops oder Netbooks haben setzen statt des Windows WLAN Tools z.B. Den bekannten "Intel Wireless Pro Connection Manager" der meist im Bundle mit den Intel WLAN Treibern kommt.
Dort sehen die korrekten Einstellungen dann so aus:



Auch für die weit verbreitet Realtek WLAN Chipsätze gibt es statt der Windows Tools ebenfalls ein Realtek WLAN Setup Tool (für die, die nicht mit der Windows eigenen Tool arbeiten wollen..) mit den folgenden Einstellungen:


Bei einem Apple Mac Book sind die Einstellungen ebenfalls analog. Wichtig ist hier nur die Authentifizierungsmethoden PEAP und EAP-TTLS zu erlauben !
Das Stammzertifikat muss man bei einem Mac Book nicht zuvor importieren wie bei Windows sondern es reicht das einmalig vom Server angezeigte Zertifikat per Mausklick händisch zu akzeptieren !

Mehr oder weniger gleichen sich die Einstellungen der Clients.

Praxis Funktionstest

Ist das alles erledigt kann man einen ersten Funktions Test übers WLAN machen und sich mit dem WLAN verbinden.
Am Radius Server Prompt sieht man eine Fülle von Meldungen ! Wenn alles sauber funktioniert und sie am Ende immer mit dem Output "Access accepted" enden, sollte der Zugang erlaubt sein. "Access denied" wenn was schief ging oder der Benutzer keine Berechtigung hat.
Der Debug Output des Radius Servers ist eine sehr wertvolle Hilfe wenn etwas schief geht und führt meist auf den richtigen Weg zur schnellen Störungsbehebung.
Mit ctrl c stoppt man den FreeRadius Server im Terminalfenster wieder.
Mit jeder Änderung an der Userdatei ist auch ein Neustart des FreeRadius fällig damit er die geänderten Daten einlesen kann. Im laufenden Betrieb kann dies mit dem Kommando rcfreeradius restart gemacht werden.
Zum Schluss bleibt nur noch mit dem Kommado als root User chkconfig freeradius on den OpenSuSE Server zu sagen das er beim Start gleich den Freeradius mitstartet. Alternativ kann das auch wieder über die grafische Oberfläche in den Systemeinstellungen und YAST im "Dienste" Menü gemacht werden.
Die Log Datei unter /var/log/radius/radius.log zeigt erfolgreiche Authentifizierungen an.
Ein integriertes Firmenkonzept mit einem Gäste WLAN Netz auf Basis von VLAN und ESSID fähigen Accesspoints wie z.B. dem oben genannten Edimax EW-7416APn V2 zeigt das folgende Tutorial bei administrator.de:
http://www.administrator.de/index.php?con ...

Fazit: Firmen können so mit relativ wenig Aufwand schnell und sicher eine Benutzer spezifische Authentisierung ihres WLANs erreichen. Kompromitierte Passwörter betreffen so niemals mehr das gesamte WLAN Netz sondern nur noch einzelne Benutzer und könne einfach und zentral in einer simplen Text Datei verwaltet werden. Gerade in größeren WLANs ein unschätzbarer Vorteil zur Sicherheit bei der Benutzer Legitimierung.
Bei sehr großen WLANs mit einer sehr hohen Benutzeranzahlen kann aber die Verwaltung einer Textdatei auch an ihre Grenzen stoßen.
FreeRadius bietet hier die Kopplung mit einer SQL Datenbank oder über LDAP die Anbindung z.B. an ein Windows Active Directory.
Anleitungen zur Ankopplung von FreeRadius an ein Windows AD findet man viele wie z.B. hier oder hier oder auch in einer Administrator.de Anleitung ( direkter_Link_zum_PDF ).
Die Grundlagen dafür sprengen aber bei weitem den Rahmen dieses kurzen Tutorials das auch eher eine schnelle, einfache und pragmatische Lösung für kleine Firmen WLANs aufzeigen will, die zudem fast kostenfrei zu realisieren ist und ein erhebliches Maß an Sicherheit im WLAN bietet !
Für kleine und mittlere Netzwerke mit einem relativ statischen Benutzerkreis ist die Benutzung einer festen Datei aber durchaus eine Alternative um schnell und unkompliziert die Zugriffssicherheit im Netzwerk zu erhöhen.

Zum Schluss sein noch darauf hingewiesen das auch eine Radius basierende Benutzer Authentifizierung in der hier vorgestellten HotSpot_Lösung mit diesem Radius Server problemlos möglich ist !

Letzte Aktualisierung: 01/2012

[eap] Request found, released from the list 

[eap] EAP/peap 

[eap] processing type peap 

[peap] processing EAP-TLS 

[peap] Received TLS ACK 

[peap] ACK handshake fragment handler 

[peap] eaptls_verify returned 1 

[peap] eaptls_process returned 13 

[peap] EAPTLS_HANDLED 

++[eap] returns handled 

Sending Access-Challenge of id 58 to 192.168.1.110 port 54928 

        EAP-Message = 0x019c00061900 

        Message-Authenticator = 0x00000000000000000000000000000000 

        State = 0x2ccb8c29295795185d24613f69744851 

Finished request 6. 

Going to the next request 

Waking up in 4.7 seconds. 

Cleaning up request 1 ID 53 with timestamp +74 

Cleaning up request 2 ID 54 with timestamp +74 

Cleaning up request 3 ID 55 with timestamp +74 

Cleaning up request 4 ID 56 with timestamp +74 

Cleaning up request 5 ID 57 with timestamp +74

Sep  9 21:00:01 AP1 daemon.info hostapd: wlan0: STA 00:25:d3:8c:18:22 WPA: pairwise key handshake completed (RSN) 

Sep  9 21:00:01 AP1 daemon.info hostapd: wlan0: STA 00:25:d3:8c:18:22 RADIUS: starting accounting session 4E6A6159-00000000 

Sep  9 21:00:01 AP1 daemon.info hostapd: wlan0: STA 00:25:d3:8c:18:22 IEEE 802.1X: authenticated - EAP type: 25 (PEAP) 

Sep  9 21:01:02 AP1 daemon.info hostapd: wlan0: STA 00:25:d3:8c:18:22 IEEE 802.11: authenticated 

Sep  9 21:23:08 AP1 daemon.info hostapd: wlan0: STA 00:25:d3:8c:18:22 IEEE 802.11: authenticated 

Sep  9 21:23:08 AP1 daemon.info hostapd: wlan0: STA 00:25:d3:8c:18:22 IEEE 802.11: associated (aid 1)