2
Pfsense an Radius (NPS) mit PEAP Verfahren
Liebe Community,
wie ihr vielleicht aus einer vorangegangenen Frage von mir wisst, möchte ich Pfsense mit einen Windows Radius Server 2012 R2 anbinden und den Zugang ins Internet über ein Captive Portal ermöglichen. Das ganze hat auch gut funktioniert. Als Authentifizierungsmethode habe ich am Radius Server "MS-CHAP-v2" gewählt.
Von einem Guru kam der berechtigte Einwand, dass es besser wäre, mit einem PEAP-Verfahren zw. Pfsense und Radius zu authentifizieren.
Wenn ich mich jetzt richtig informiert habe, sichert PEAP im Gegensatz zu EAP "MS-CHAP-v2" durch ein Zertifikat am Radius zusätzlich ab. Ist das soweit richtig?
Wie ich jetzt in meinem Fall weiter vorgehe, ist mir nicht klar. Ich habe eine Zertifizierungsstelle im Ad installiert.
Was muss ich beim generieren des Zertifikates beachten?
Wie sehen die Einstellungen am NPS (Radius) aus?
Muss bei der Pfsense im etwas geändert werden? Derzeit: MS-CHAP-v2", Ip des Radius, shared secret
Ich bin über jedes Kommentar dankbar. Das Ganze ist für mich sehr komplex.
wie ihr vielleicht aus einer vorangegangenen Frage von mir wisst, möchte ich Pfsense mit einen Windows Radius Server 2012 R2 anbinden und den Zugang ins Internet über ein Captive Portal ermöglichen. Das ganze hat auch gut funktioniert. Als Authentifizierungsmethode habe ich am Radius Server "MS-CHAP-v2" gewählt.
Von einem Guru kam der berechtigte Einwand, dass es besser wäre, mit einem PEAP-Verfahren zw. Pfsense und Radius zu authentifizieren.
Wenn ich mich jetzt richtig informiert habe, sichert PEAP im Gegensatz zu EAP "MS-CHAP-v2" durch ein Zertifikat am Radius zusätzlich ab. Ist das soweit richtig?
Wie ich jetzt in meinem Fall weiter vorgehe, ist mir nicht klar. Ich habe eine Zertifizierungsstelle im Ad installiert.
Was muss ich beim generieren des Zertifikates beachten?
Wie sehen die Einstellungen am NPS (Radius) aus?
Muss bei der Pfsense im etwas geändert werden? Derzeit: MS-CHAP-v2", Ip des Radius, shared secret
Ich bin über jedes Kommentar dankbar. Das Ganze ist für mich sehr komplex.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 266491
Url: https://administrator.de/contentid/266491
Printed on: April 23, 2024 at 23:04 o'clock
2 Comments
Latest comment
Lieber Warrender!
Wie wird denn an der PfSense authentifiziert? Warum ist der Weg zwischen PfSense und RADIUS Server so gefährdet?
Warum brauchst du das? Weil es "besser" ist? Es gibt Leute, die verwenden 256-stellige Schlüssel im IpSec weil es "besser" ist.
Habe das in der PfSense nicht im Einsatz, daher kann ich dir "konkret" nicht weiterhelfen, frage mich nur, wo du hin willst.
LG
Buc
Wie wird denn an der PfSense authentifiziert? Warum ist der Weg zwischen PfSense und RADIUS Server so gefährdet?
Warum brauchst du das? Weil es "besser" ist? Es gibt Leute, die verwenden 256-stellige Schlüssel im IpSec weil es "besser" ist.
Habe das in der PfSense nicht im Einsatz, daher kann ich dir "konkret" nicht weiterhelfen, frage mich nur, wo du hin willst.
LG
Buc
Lieber Buc,
danke für dein Kommentar. Die Clients melden sich über https an der PfSense an. Da man diese Passwörter auch für fast alle Anwendungen bei uns nutzen kann, sind sie dementsprechend sensibel.
Warum ich PEAP und nicht nur MS-CHAP verwenden sollte, wird hier beschrieben:
https://technet.microsoft.com/de-at/library/cc754179.aspx
PEAP-MS-CHAP v2 bietet im Vergleich zu MS-CHAP v2 eine wesentlich verbesserte Sicherheit durch die Schlüsselgenerierung mithilfe von TLS und die gegenseitige Authentifizierung. Dadurch wird verhindert, dass ein nicht autorisierter Server die am wenigsten sichere Authentifizierungsmethode mit dem PEAP-Client aushandelt.
danke für dein Kommentar. Die Clients melden sich über https an der PfSense an. Da man diese Passwörter auch für fast alle Anwendungen bei uns nutzen kann, sind sie dementsprechend sensibel.
Warum ich PEAP und nicht nur MS-CHAP verwenden sollte, wird hier beschrieben:
https://technet.microsoft.com/de-at/library/cc754179.aspx
PEAP-MS-CHAP v2 bietet im Vergleich zu MS-CHAP v2 eine wesentlich verbesserte Sicherheit durch die Schlüsselgenerierung mithilfe von TLS und die gegenseitige Authentifizierung. Dadurch wird verhindert, dass ein nicht autorisierter Server die am wenigsten sichere Authentifizierungsmethode mit dem PEAP-Client aushandelt.
