16
WLAN absichern 802.1x PEAP - EAP-TLS mit IAS, nur wie?
Ich bin am verzweifen...
Hey Guys
also, ich habe im unser WLAN im Moment mit einem PEAP abgesichert. Dieser funktiniert über einen MS IAS und einem OpenSSL Zertifikat! Bis dahin alles gut.
Leider kann ich in unserem Haus keine komplexen Passwörter einführen! somit kann es vorkommen, dass der WLAN User ein Passwort besitzt welches "12345" oder "passwort" ähnelt.
Kurzum, nicht wirklich sicher!
Die Zertifikats Prüfung ist bei PEAP kein SIcherheits bringendedes Feature, da der Client bei PEAP kein Zertifikat benötigt und dies Abfrage einfach im Cient deaktivieren kann.
Somit ist es jedem möglich, der sich ein wenig Zeit nimmt, mit jedem Rechner und einem "12345" Passwort, sich mit dem PEAP gesicherten Netzwerk zu verbinden.
Ich möchte diese Clients jetzt mit Zertifikaten absichern.
Die aller sicherste Methode scheint PEAP-EAP-TLS zu sein!
Ich bin nun den ganzen Tag am suchen, tun und testen um eine solche Konstallation hinzubekommen.
Bislang ohne Erfog! Ich finde einfach kein vernünftiges HowTo zum konfigurieren.
Kann mit von euch jemand helfen wie die RAS-Regeln im IAS und die Client einstellungen im WinXP/7 sein müssen?
also, ich habe im unser WLAN im Moment mit einem PEAP abgesichert. Dieser funktiniert über einen MS IAS und einem OpenSSL Zertifikat! Bis dahin alles gut.
Leider kann ich in unserem Haus keine komplexen Passwörter einführen! somit kann es vorkommen, dass der WLAN User ein Passwort besitzt welches "12345" oder "passwort" ähnelt.
Kurzum, nicht wirklich sicher!
Die Zertifikats Prüfung ist bei PEAP kein SIcherheits bringendedes Feature, da der Client bei PEAP kein Zertifikat benötigt und dies Abfrage einfach im Cient deaktivieren kann.
Somit ist es jedem möglich, der sich ein wenig Zeit nimmt, mit jedem Rechner und einem "12345" Passwort, sich mit dem PEAP gesicherten Netzwerk zu verbinden.
Ich möchte diese Clients jetzt mit Zertifikaten absichern.
Die aller sicherste Methode scheint PEAP-EAP-TLS zu sein!
Ich bin nun den ganzen Tag am suchen, tun und testen um eine solche Konstallation hinzubekommen.
Bislang ohne Erfog! Ich finde einfach kein vernünftiges HowTo zum konfigurieren.
Kann mit von euch jemand helfen wie die RAS-Regeln im IAS und die Client einstellungen im WinXP/7 sein müssen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 145098
Url: https://administrator.de/contentid/145098
Printed on: May 4, 2024 at 15:05 o'clock
16 Comments
Latest comment
Yo das siehst du ganz richtig mit der sicherheit.
bei peap hängts nur vom passwort ab.
allerdings kannst du eventuell peap fahren und das computerkonto verwenden zur authentisierung anstelle des benutzerkontos, dann wird die computer sid geschickt zum radius, dat ist schon etwas sicherer. da gibz so nen registrykey... gott das ist ne weile her..
Beim TLS braucht der client ein zertifikat, richtig.
du kannst der einfachheit halber auch EIN certifikat für alle clients verwenden, da sparst das rollout von individuellen zertifikaten.
das zertifikat muss im store current user drinsein, dass siehtst auch im Internet Explorer ... extras.. internetoptionen..inhalte...ssl zertifikate ... eigene zertifikate. Wenns da drin ist dann schickt der das autom. zum radius, da brauchst dann eine entspr. policy.
obs mit compuerzertifikat geht hab ich nie getestet.
wenn die clients nicht die radiusserverauthenzität prüfen ist das ein ziemliches sicherheitsrisiko - wenn ein gelangweilter aber sich auskennender admin in der nachbarschaft ein wlan betreibt, und die selbe ssid mit peap anbietet, werden sich deine clients auch mit diesem verbinden - und schön brav und vor allem ungefragt ihr domänenpasswort an den "falschen" radius schicken, der es dann gemütlich entschlüsseln kann - er hat ja den private key des radiuszertifikats.
Andererseits kannst du auch "professionell" (hehe) vorgehen - einfach dem Verantwortlichen in der Firma den Sacherhalt und die Risiken sachlich und ohne viel Theatralik schildern, am besten per mail (schriftlich). wenn er kein bedarf sieht was zu ändern bist du aus dem schneider und kannst dich um wichtigere dinge kümmern, z. B. den Verzehr des köstlichen Mittagessens.
bei peap hängts nur vom passwort ab.
allerdings kannst du eventuell peap fahren und das computerkonto verwenden zur authentisierung anstelle des benutzerkontos, dann wird die computer sid geschickt zum radius, dat ist schon etwas sicherer. da gibz so nen registrykey... gott das ist ne weile her..
Beim TLS braucht der client ein zertifikat, richtig.
du kannst der einfachheit halber auch EIN certifikat für alle clients verwenden, da sparst das rollout von individuellen zertifikaten.
das zertifikat muss im store current user drinsein, dass siehtst auch im Internet Explorer ... extras.. internetoptionen..inhalte...ssl zertifikate ... eigene zertifikate. Wenns da drin ist dann schickt der das autom. zum radius, da brauchst dann eine entspr. policy.
obs mit compuerzertifikat geht hab ich nie getestet.
wenn die clients nicht die radiusserverauthenzität prüfen ist das ein ziemliches sicherheitsrisiko - wenn ein gelangweilter aber sich auskennender admin in der nachbarschaft ein wlan betreibt, und die selbe ssid mit peap anbietet, werden sich deine clients auch mit diesem verbinden - und schön brav und vor allem ungefragt ihr domänenpasswort an den "falschen" radius schicken, der es dann gemütlich entschlüsseln kann - er hat ja den private key des radiuszertifikats.
Andererseits kannst du auch "professionell" (hehe) vorgehen - einfach dem Verantwortlichen in der Firma den Sacherhalt und die Risiken sachlich und ohne viel Theatralik schildern, am besten per mail (schriftlich). wenn er kein bedarf sieht was zu ändern bist du aus dem schneider und kannst dich um wichtigere dinge kümmern, z. B. den Verzehr des köstlichen Mittagessens.
hmmm..
Mit dem Computerkonto ist auch nicht realisierbar! Mehrere User verwenden einen Rechner der eine darf das WLAN nutzen der andere wieder nicht.
Also bleibt mir eigenlich nut TLS(Client Zertifikate).
Aber wie ich gelesen habe, soll es möglich sein PEAP mit EAP-TLS paralel zu betreiben!
Bin mir nun nicht sicher wie diese Methode funktiniert.
Stelle mit eigendlich vor, dass bei der WIn Anmeldung das standard PEAP ausgeführt wird(sprich: check ob der User in der Grupper der erlaupten WLan-User) weiterhin sollte gecheckt werden,
ob das Zertifikat auf dem Client isntalliert ist.(Frage: ein eigenes Client oder das IAS Zertifikat)
Sehe ich das richtig?
Wenn ja kannst du mir nen Tip geben wie das im IAS bzw. am Client konfiguriert wird?
Mit dem Computerkonto ist auch nicht realisierbar! Mehrere User verwenden einen Rechner der eine darf das WLAN nutzen der andere wieder nicht.
Also bleibt mir eigenlich nut TLS(Client Zertifikate).
Aber wie ich gelesen habe, soll es möglich sein PEAP mit EAP-TLS paralel zu betreiben!
Bin mir nun nicht sicher wie diese Methode funktiniert.
Stelle mit eigendlich vor, dass bei der WIn Anmeldung das standard PEAP ausgeführt wird(sprich: check ob der User in der Grupper der erlaupten WLan-User) weiterhin sollte gecheckt werden,
ob das Zertifikat auf dem Client isntalliert ist.(Frage: ein eigenes Client oder das IAS Zertifikat)
Sehe ich das richtig?
Wenn ja kannst du mir nen Tip geben wie das im IAS bzw. am Client konfiguriert wird?
Man kann PEAP-EAP-MSchapv2 und PEAP-EAP-TLS parallell betreiben- einfach eine RAS Policy ÜBER der PEAP Policy im IAS konfigurieren und bei dieser TLS als EAPMethode anglicken.
Die Clients bekommen clientzertifikate, das radiuszertifikat hat damit nix zu tun.
Bei TLS authentisiert sich client bei radius, und auch der radius beim client.
Du machst es dir einfacher wenn du EIN Clientzertifikat benutzt und das einfach im userkontext der anwender installierst, die wlan machen tun dürfen sollen.
Der Radiusserver muss natürlich dem Clientzertifikat vertrauen, daher muss man das Root CA Zertifikat auf dem RAdius installieren, mit dem das Clientzertifikat signiert wurde.
Beim Client kannst ja wählen ob TLS oder Mschapv2. Standardmässig ist zweiteres aktiv.
Kann man aber auch via gruppenrichtlinie einrichten wenn man viele clients hat.
Die Clients bekommen clientzertifikate, das radiuszertifikat hat damit nix zu tun.
Bei TLS authentisiert sich client bei radius, und auch der radius beim client.
Du machst es dir einfacher wenn du EIN Clientzertifikat benutzt und das einfach im userkontext der anwender installierst, die wlan machen tun dürfen sollen.
Der Radiusserver muss natürlich dem Clientzertifikat vertrauen, daher muss man das Root CA Zertifikat auf dem RAdius installieren, mit dem das Clientzertifikat signiert wurde.
Beim Client kannst ja wählen ob TLS oder Mschapv2. Standardmässig ist zweiteres aktiv.
Kann man aber auch via gruppenrichtlinie einrichten wenn man viele clients hat.
also jetzt "frime" ich schon seit 2 Wochen mit freeradius und der implementierung von PEAP herrum! Nix zu machen!!!!
Das howto basierend auf opensuse ist gut und schön aber der wichtige Teil, die integration an das AD steht nicht drin..
Weiterhin fehlt mit bei freeradius die implementierung der Möglichkeit nur AD usern aus eine bestimmten gruppe den zugriff zu gewähren.
Hat denn niemand eine solche "sichere" infrastruktur" aufgebaut?
Nochmal:
ich will die authentifizierung gegen das AD (PEAP) und gegen eine manuel zu installierendendes Zertifikat (EAP-TLS)!
--> !!! Kein Zertifikat, kein WLAN !!! --> kein User in der richtigen Gruppe --> Kein WLAN!!! --> Zertifikat + User in Gruppe vorhanden --> WLAN erlauben!!!!
Mit dem IAS habe ich da keinen Erfiolg!
Kann denn niemand helfen???
Das howto basierend auf opensuse ist gut und schön aber der wichtige Teil, die integration an das AD steht nicht drin..
Weiterhin fehlt mit bei freeradius die implementierung der Möglichkeit nur AD usern aus eine bestimmten gruppe den zugriff zu gewähren.
Hat denn niemand eine solche "sichere" infrastruktur" aufgebaut?
Nochmal:
ich will die authentifizierung gegen das AD (PEAP) und gegen eine manuel zu installierendendes Zertifikat (EAP-TLS)!
--> !!! Kein Zertifikat, kein WLAN !!! --> kein User in der richtigen Gruppe --> Kein WLAN!!! --> Zertifikat + User in Gruppe vorhanden --> WLAN erlauben!!!!
Mit dem IAS habe ich da keinen Erfiolg!
Kann denn niemand helfen???
Das ist mit IAS in gefühlten 10 Min erledigt.
Wenn ich remote supporten kann - ich bin garnicht so teuer wie man denkt!
Wenn ich remote supporten kann - ich bin garnicht so teuer wie man denkt!
auch mit implementierung von OpenSSL als PKI?
Wenn ja würde ich die Konfig soweit erledigen, in ein PDF, dir zusenden und du schaust ma drüber????
Wenn ja würde ich die Konfig soweit erledigen, in ein PDF, dir zusenden und du schaust ma drüber????
Mit Linux PKI hab ich auch rumgemacht, kriegt man hin.
doch auch das geht doch mit drei Klicks in Microsoft, kann manauch locker auf dem IAS mitlaufen lassen die Stammzertifizierungsstelle.
Das sind dann jedoch eher 30min statt 10Min (wenn alles glattgeht).
doch auch das geht doch mit drei Klicks in Microsoft, kann manauch locker auf dem IAS mitlaufen lassen die Stammzertifizierungsstelle.
Das sind dann jedoch eher 30min statt 10Min (wenn alles glattgeht).
Grundlegend besteht die frage, ob ich 2 IAS Rules anlegen muss(1. Peap mit mschapv2 und eine 2. mit EAP Eigenes Zertifikat) oder ob eine ausreicht?
Kannst du mir dazu ne kurze info geben?
Kannst du mir dazu ne kurze info geben?
würde 2 rules nehmen.
die erste mschapv2 wird in der policy das computerkonto abgefragt, noch bevor der user sich anmeldet.
Windowsgroup...Domain Computers gruppe oder die gruppe halt wo die computerkonten in deinem ad drin sind.
hat den vorteil dass loginskript funktioniert.
zweite regel eap-tls da braucht der client ein eigenes zertifikat im userkontext.
so soltle dat wohl funktionieren und die userexpirience ist als wär er am lan angeschlossen.
Aber hey, für nen hunni mach ich dir das via remote support klar, bevor du dich noch totfummelst.
Da gibts schon einige dinge zu beachten, und ich mag kein roman schreiben.
die erste mschapv2 wird in der policy das computerkonto abgefragt, noch bevor der user sich anmeldet.
Windowsgroup...Domain Computers gruppe oder die gruppe halt wo die computerkonten in deinem ad drin sind.
hat den vorteil dass loginskript funktioniert.
zweite regel eap-tls da braucht der client ein eigenes zertifikat im userkontext.
so soltle dat wohl funktionieren und die userexpirience ist als wär er am lan angeschlossen.
Aber hey, für nen hunni mach ich dir das via remote support klar, bevor du dich noch totfummelst.
Da gibts schon einige dinge zu beachten, und ich mag kein roman schreiben.
hmm mit dem Hunni das ist so ne Sache, eigendlich such ich ja in einem Forum Hilfe für lau`...
Das Prinzip "Helfen und Geholfen werden"
Zurück zum Thema!
Ich woll als erstes mal eine Auth via EAP-TLS konfigurieren.
Dazu erstelle ich mir ein Zertifikat für den Client, und installiere dieses + das PKI Zertifikat auf dem XP.
Bis dahin OK!
Auf dem IAS:
1. Neue Regel
1.1 Name definieren
1.2 "Drahtlos" auswählen
1.3 AD Gruppe hinzufügen
!!! jetzt kommt die erste Frage !!!
1.4 "geschütztes EAP(PEAP)" oder "Smartcard oder anderes Zertifikat"
Normaler weise würde ich an dieser Stelle "Smartcard oder anderes Zertifikat" wählen aber in der "geschütztes EAP(PEAP)" konfiguration kann ja auch die Einstellung für "Smartcard oder anderes Zertifikat" gesetzt werden.
Was ist an dieser Stelle richtig?
1.5 Auswählen des Identifikations Zertifikat mit welchem sich der Client authentifiziert --> (hier wird das Client Zertifikat ausgewählt)
Fertig!!! ?
2. Auf dem XP Client:
2.1 Drahtlos Netz konfigurieren(richtige Verschlüsselung etc...!
!!! nächste Frage !!!
2.2 Tab "Authentifizierung" EAP-Typ wählen
Hier stellt sich mir die selbe Frage? "Smartcard oder anderes Zertifikat" oder "geschütztes EAP(PEAP)" Wie schon gesagt unterhlab von PEAP kann ich auch "Smartcard oder anderes Zertifikat" konfigurieren.
2.3 Weiterhin wird dann die Zertifzierungsstelle gewählt, gegen welche das Client Zertifikat geprüft werden kann.
Fertig!!!! ??
Wenn mir jemand diese beiden offenen Fragen beantworten könnte, wäre ich sehr dankbar!
Das Konfigurieren von PEAP ist ja relativ simple, somit sollte, wenn das EAP-TLS läuft meinem Vorhaben nichts im Wege stehen...
Das Prinzip "Helfen und Geholfen werden"
Zurück zum Thema!
Ich woll als erstes mal eine Auth via EAP-TLS konfigurieren.
Dazu erstelle ich mir ein Zertifikat für den Client, und installiere dieses + das PKI Zertifikat auf dem XP.
Bis dahin OK!
Auf dem IAS:
1. Neue Regel
1.1 Name definieren
1.2 "Drahtlos" auswählen
1.3 AD Gruppe hinzufügen
!!! jetzt kommt die erste Frage !!!
1.4 "geschütztes EAP(PEAP)" oder "Smartcard oder anderes Zertifikat"
Normaler weise würde ich an dieser Stelle "Smartcard oder anderes Zertifikat" wählen aber in der "geschütztes EAP(PEAP)" konfiguration kann ja auch die Einstellung für "Smartcard oder anderes Zertifikat" gesetzt werden.
Was ist an dieser Stelle richtig?
1.5 Auswählen des Identifikations Zertifikat mit welchem sich der Client authentifiziert --> (hier wird das Client Zertifikat ausgewählt)
Fertig!!! ?
2. Auf dem XP Client:
2.1 Drahtlos Netz konfigurieren(richtige Verschlüsselung etc...!
!!! nächste Frage !!!
2.2 Tab "Authentifizierung" EAP-Typ wählen
Hier stellt sich mir die selbe Frage? "Smartcard oder anderes Zertifikat" oder "geschütztes EAP(PEAP)" Wie schon gesagt unterhlab von PEAP kann ich auch "Smartcard oder anderes Zertifikat" konfigurieren.
2.3 Weiterhin wird dann die Zertifzierungsstelle gewählt, gegen welche das Client Zertifikat geprüft werden kann.
Fertig!!!! ??
Wenn mir jemand diese beiden offenen Fragen beantworten könnte, wäre ich sehr dankbar!
Das Konfigurieren von PEAP ist ja relativ simple, somit sollte, wenn das EAP-TLS läuft meinem Vorhaben nichts im Wege stehen...
Hat den niemand weiter eine Idee???
Ich bin immernoch am tüfteln! Mit meinen openssl zertifikaten (ca-cert & client-cert) welche auf dem IAS und den Client installiert wurden, funktioniert peap einwandfrei! stelle ich ganze sache auf eap-tls geht nix mehr!
Benutzer "Domain\\wuser" wurde Zugriff verweigert.
Vollqualifizierter Benutzername = domain/users/wuser
NAS-IP-Adresse = 192.168.*.*
NAS-Kennung = wlan221
Kennung der Anrufstation = 00--eb--ed-:ssid-name
Kennung der Empfängerstation = 00--e7--08-
Clientanzeigename = wlan221
Client-IP-Adresse = 192.168.*.*
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 29
Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden
Authentifizierungsanbieter = Windows
Authentifizierungsserver = <unbestimmt>
Richtlinien-Name = EAP-TLS-DEMO
Authentifizierungstyp = EAP
EAP-Typ = Smartcard oder anderes Zertifikat
Code = 295
Ursache = Die Zertifizierungskette wurde korrekt verarbeitet, doch wird eines der Zertifizierungsstellenzertifikate vom Richtlinienanbieter nicht für vertrauenswürdig gehalten.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Woran kann das noch liegen?
Wie schon gesagt, das Zertifizierungsstellen Zertifikat der wurde auf der CA auf dem IAS aus "Vertrauenswürdige Stammzertifizierungsstellen" (für computer konto) installiert.
???
Ich bin immernoch am tüfteln! Mit meinen openssl zertifikaten (ca-cert & client-cert) welche auf dem IAS und den Client installiert wurden, funktioniert peap einwandfrei! stelle ich ganze sache auf eap-tls geht nix mehr!
Benutzer "Domain\\wuser" wurde Zugriff verweigert.
Vollqualifizierter Benutzername = domain/users/wuser
NAS-IP-Adresse = 192.168.*.*
NAS-Kennung = wlan221
Kennung der Anrufstation = 00--eb--ed-:ssid-name
Kennung der Empfängerstation = 00--e7--08-
Clientanzeigename = wlan221
Client-IP-Adresse = 192.168.*.*
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 29
Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden
Authentifizierungsanbieter = Windows
Authentifizierungsserver = <unbestimmt>
Richtlinien-Name = EAP-TLS-DEMO
Authentifizierungstyp = EAP
EAP-Typ = Smartcard oder anderes Zertifikat
Code = 295
Ursache = Die Zertifizierungskette wurde korrekt verarbeitet, doch wird eines der Zertifizierungsstellenzertifikate vom Richtlinienanbieter nicht für vertrauenswürdig gehalten.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Woran kann das noch liegen?
Wie schon gesagt, das Zertifizierungsstellen Zertifikat der wurde auf der CA auf dem IAS aus "Vertrauenswürdige Stammzertifizierungsstellen" (für computer konto) installiert.
???
http://www.sein.de/uploads/hundert-euro.jpg
Ich muss 5 kinder ernähren!
Ich muss 5 kinder ernähren!
".....doch wird eines der Zertifizierungsstellenzertifikate vom Richtlinienanbieter nicht für vertrauenswürdig gehalten. ..."
"..eines der Zertifizierungsstellenzertifikate vom Richtlinienanbieter.." --> bedeutet, dass das CA von dem IAS nicht als vertrauenswürdig ist?
Ich versteh aber wiederum nicht, warum er da checkt, die Zertifikate zum überprüfen der eap-tls verbindung kommen alle aus dem openssl.
Ich habe kein Zertifikat mit der WinCA erstellt...
Muss ich das MSCA Cert auch auf dem Client als "Vertrauenswürdige Zertifizierungsstelle" installieren?
Ich versteh aber wiederum nicht, warum er da checkt, die Zertifikate zum überprüfen der eap-tls verbindung kommen alle aus dem openssl.
Ich habe kein Zertifikat mit der WinCA erstellt...
Muss ich das MSCA Cert auch auf dem Client als "Vertrauenswürdige Zertifizierungsstelle" installieren?
immer noch niemand der eine tolle idee für mich hat, wie ich dieses Projekt endlich zum abschluss bringen kann?
