binarybear
Goto Top

Radius-Pakete verraten Benutzername, MAC-Adresse, BSSID und Co?

Ich habe seit einiger Zeit angefangen mit Wireshark mein Netzwerk ein wenig unter die Lupe zu nehmen. Ich habe bei mir WPA2-Enterprise mit einem RADIUS-Server eingerichtet. AP und Server kommunizieren in einem getrennten VLAN.

Nun habe ich mal aus Spaß einen Wireshark-Mitschnitt des VLANs durchgeführt, während ein Client sich mit dem WLAN verbunden hat.

Obwohl ein Secret gesetzt wurde sind einzelne Daten immer noch unverschlüsselt. Gibt es da eine Option um diese Kommunikation komplett zu verschlüsseln?
Ich verwende einen TL-WR841N mit OpenWrt sowie einen HP ProCurve 2626 (Lab) und FreeRadius auf Debian 9.

Content-Key: 366023

Url: https://administrator.de/contentid/366023

Ausgedruckt am: 19.03.2024 um 11:03 Uhr

Mitglied: clubmaster
clubmaster 25.02.2018 um 02:22:29 Uhr
Goto Top
Habe ich grad im Archiv gefunden:

http://www.infosys.tuwien.ac.at/Staff/msiegl/2010/Uebungsarbeiten/Grupp ...

Die Installation des FreeRadius Servers zur Absicherung von LANs (802.1x) und vor allen Dingen WLANs beschreiben schon 2 detailierte Tutorials hier im Forum:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
und
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch

Vielleicht bringts dir was.
Mitglied: 135333
Lösung 135333 25.02.2018 aktualisiert um 09:31:04 Uhr
Goto Top
Obwohl ein Secret gesetzt wurde sind einzelne Daten immer noch unverschlüsselt.
Ist ja allseits bekannt, Radius selbst hat keine Option die Kommunikation selbst zu verschlüsseln.
https://en.m.wikipedia.org/wiki/RADIUS
The RADIUS protocol transmits obfuscated passwords using a shared secret and the MD5 hashing algorithm. As this particular implementation provides only weak protection of the user's credentials,[10] additional protection, such as IPsec tunnels or physically secured data-center networks, should be used to further protect the RADIUS traffic between the NAS device and the RADIUS server. Additionally, the user's security credentials are the only part protected by RADIUS itself, yet other user-specific attributes such as tunnel-group IDs or vlan memberships passed over RADIUS may be considered sensitive (helpful to an attacker) or private (sufficient to identify the individual client) information as well.[citation needed] The RadSec protocol claims to solve aforementioned security issues.  
Es gibt seit einiger Zeit eine Erweiterung die nennt sich RadSec.

Als Nachfolger wird wohl das Diameter Protokoll irgendwann ins Spiel kommen, aber so lange das noch nicht so weit verbreitet ist werden wir mit Radius noch eine Weile auskommen.

Wenn du deine Verbindung also zusätzlich absichern willst, erstelle einfach einen IPSec Tunnel zwischen AP und Radius Server in dem dann die Kommunikation abläuft, dazu kannst du z.B. OpenSwan, Strongswan oder auch racoon hernehmen.

Gruß Snap
Mitglied: rzlbrnft
rzlbrnft 26.02.2018 um 12:05:49 Uhr
Goto Top
Was willst du dadurch erreichen?
Wenn sich in deinem Netzwerk jeder anstöpseln kann wo er möchte dann braucht er deine Radius Daten gar nicht mehr auszulesen, dann ist er schon drin.