4
Sicheres WLAN-Netz per RADIUS Server aufsetzen
Hallo werte Forenmitglieder,
bisher war ich nur als stiller „Mitleser“ aktiv.
Da ich nun aber auch mal eine etwas umfangreichere Fragestellung habe, bin ich ab sofort ein aktives Mitglied geworden.
Ich muss ein kleineres Netzwerk WLAN- Fähig machen und wollte dazu den vorhanden Windows 2008R2 Domänencontroller als RADIUS-Server verwenden.
In dem Netzwerk kommen nicht nur Windows Geräte zum Einsatz, sondern auch einige Smartphones (Android/Apple).
Im Wesentlichen habe ich mich für die bisherige Umsetzung auf folgende Anleitung gestützt (http://www.andysblog.de/windows-wireless-lan-802-1x-und-nps) und als Authentifizierung das gesicherte EAP-MSCHAP v2 verwendet.
Nun stört mich jedoch die Tatsache, dass einige Nutzer vermutlich recht schwache Passwörter verwenden und ich in einigen Medien gelesen habe, dass das MSCHAPv2 Verfahren ebenfalls schon angreifbar ist (die Serverprüfung kann bei einer Neueinrichtung durch andere Personen nicht zwingend gewährleistet werden).
Welche Möglichkeiten habe ich, das Netzwerk weiter bzw. besser abzusichern? Benutzerbasierende Zertifikate würde auch aufgrund des Aufwandes vermeiden wollen.
Optimal wäre eine Anmeldung, die sowohl ein Zertifikat (für alle gleich, manuell auf die Geräte kopiert) als auch die Benutzerauthentifizierung verlangt. Ist sowas möglich bzw. empfehlenswert?
(TTLS/MSCHAPV2 ... wenn ich das richtig verstanden habe)
Leider habe ich diesbezüglich wenig Literatur finden können ;(
Die Sicherheit muss in jedem Fall gewährleistet werden.
Ich hoffe hier jemanden anzutreffen, der mir einige Anstöße zu meinem Problem geben kann.
Viele Grüße und einen guten Wochenstart!
PS. Was mir auch etwas unklar ist.
Das nach dem Tutorial bereitstehende Zertifikat hat eine Gültigkeit von einem Jahr.
Erfolgt die Erneuerung automatisch? Oder kann ich direkt das Root Zertifikat des Servers verwenden?
bisher war ich nur als stiller „Mitleser“ aktiv.
Da ich nun aber auch mal eine etwas umfangreichere Fragestellung habe, bin ich ab sofort ein aktives Mitglied geworden.
Ich muss ein kleineres Netzwerk WLAN- Fähig machen und wollte dazu den vorhanden Windows 2008R2 Domänencontroller als RADIUS-Server verwenden.
In dem Netzwerk kommen nicht nur Windows Geräte zum Einsatz, sondern auch einige Smartphones (Android/Apple).
Im Wesentlichen habe ich mich für die bisherige Umsetzung auf folgende Anleitung gestützt (http://www.andysblog.de/windows-wireless-lan-802-1x-und-nps) und als Authentifizierung das gesicherte EAP-MSCHAP v2 verwendet.
Nun stört mich jedoch die Tatsache, dass einige Nutzer vermutlich recht schwache Passwörter verwenden und ich in einigen Medien gelesen habe, dass das MSCHAPv2 Verfahren ebenfalls schon angreifbar ist (die Serverprüfung kann bei einer Neueinrichtung durch andere Personen nicht zwingend gewährleistet werden).
Welche Möglichkeiten habe ich, das Netzwerk weiter bzw. besser abzusichern? Benutzerbasierende Zertifikate würde auch aufgrund des Aufwandes vermeiden wollen.
Optimal wäre eine Anmeldung, die sowohl ein Zertifikat (für alle gleich, manuell auf die Geräte kopiert) als auch die Benutzerauthentifizierung verlangt. Ist sowas möglich bzw. empfehlenswert?
(TTLS/MSCHAPV2 ... wenn ich das richtig verstanden habe)
Leider habe ich diesbezüglich wenig Literatur finden können ;(
Die Sicherheit muss in jedem Fall gewährleistet werden.
Ich hoffe hier jemanden anzutreffen, der mir einige Anstöße zu meinem Problem geben kann.
Viele Grüße und einen guten Wochenstart!
PS. Was mir auch etwas unklar ist.
Das nach dem Tutorial bereitstehende Zertifikat hat eine Gültigkeit von einem Jahr.
Erfolgt die Erneuerung automatisch? Oder kann ich direkt das Root Zertifikat des Servers verwenden?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 247940
Url: https://administrator.de/contentid/247940
Printed on: April 19, 2024 at 19:04 o'clock
4 Comments
Latest comment
Hallo,
hast du grundsätzlich auch mal an Password Policys gedacht. Dann gibt es keine "alten" und zu "schwache" Passwörter mehr.
hast du grundsätzlich auch mal an Password Policys gedacht. Dann gibt es keine "alten" und zu "schwache" Passwörter mehr.
Hallo wiesi200,
ja...das müsste auf jeden Fall umgesetzt werden, sollte lediglich das gesicherte EAP-MSCHAP v2 verwendet werden.
Mir geht es jedoch allgemein um die Sicherheit (http://www.heise.de/security/meldung/Microsoft-warnt-vor-PPTP-und-MS-CH ..) und ob das verwendete Verfahren ausreichend Schutz bietet.
Am liebsten wäre es mir, wenn zu der Benutzerauthentifizierung noch ein Zertifikat erstellt werden könnte, das auf alle Clients verteilt wird.
Somit hätte man zumindest einen doppelten Schutz. Wäre dass denn möglich?
ja...das müsste auf jeden Fall umgesetzt werden, sollte lediglich das gesicherte EAP-MSCHAP v2 verwendet werden.
Mir geht es jedoch allgemein um die Sicherheit (http://www.heise.de/security/meldung/Microsoft-warnt-vor-PPTP-und-MS-CH ..) und ob das verwendete Verfahren ausreichend Schutz bietet.
Am liebsten wäre es mir, wenn zu der Benutzerauthentifizierung noch ein Zertifikat erstellt werden könnte, das auf alle Clients verteilt wird.
Somit hätte man zumindest einen doppelten Schutz. Wäre dass denn möglich?
Hallo,
Geräte per AD/LDAP absichern und die Kabel losen WLAN Klienten mittels eines Radius
Servers wie zum Beispiel FreeRadius.
(Miarbeiter) und dann ein Captive Portal für externe WLAN Benutzer (Besucher).
"Rough AP detection" und auch die WLAN APs mit einem Zertifikat versehen
und das alles mit einem WLAN Controller, sollte Dein Netzwerk schon wesentlich
sicherer machen als es jetzt ist.
Denn wenn die nur in ein eigenes VLAN rein sollen um surfen zu können ist dass das Eine,
aber wenn man damit auch auf die Server und den Rest des Netzwerks zugreifen möchte
sollte eventuell sogar an eine Appliance gedacht werden mit der man die Smartphones und
Tablets managen kann, denn WLAN Klienten sind ncihit gleich WLAN Klienten.
Gruß
Dobby
Ich muss ein kleineres Netzwerk WLAN- Fähig machen und wollte dazu den vorhanden
Windows 2008R2 Domänencontroller als RADIUS-Server verwenden.
Das würde ich schon einmal nicht machen wollen, sondern lieber die Kabel gebundenenWindows 2008R2 Domänencontroller als RADIUS-Server verwenden.
Geräte per AD/LDAP absichern und die Kabel losen WLAN Klienten mittels eines Radius
Servers wie zum Beispiel FreeRadius.
In dem Netzwerk kommen nicht nur Windows Geräte zum Einsatz, sondern
auch einige Smartphones (Android/Apple).
Zertifikate erstellen und verteilen und gut ist es dann.auch einige Smartphones (Android/Apple).
Welche Möglichkeiten habe ich, das Netzwerk weiter bzw. besser abzusichern?
WPA2 mit AES Verschlüsselung aktivieren, Radius Server für interne WLAN Benutzer(Miarbeiter) und dann ein Captive Portal für externe WLAN Benutzer (Besucher).
"Rough AP detection" und auch die WLAN APs mit einem Zertifikat versehen
und das alles mit einem WLAN Controller, sollte Dein Netzwerk schon wesentlich
sicherer machen als es jetzt ist.
Benutzerbasierende Zertifikate würde auch aufgrund des Aufwandes vermeiden wollen.
Optimal wäre eine Anmeldung, die sowohl ein Zertifikat (für alle gleich, manuell auf die
Geräte kopiert) als auch die Benutzerauthentifizierung verlangt. Ist sowas möglich bzw.
empfehlenswert?
Es kommt ja auch drauf an was man mit den mobilen Geräten im Netzwerk machen möchte!Optimal wäre eine Anmeldung, die sowohl ein Zertifikat (für alle gleich, manuell auf die
Geräte kopiert) als auch die Benutzerauthentifizierung verlangt. Ist sowas möglich bzw.
empfehlenswert?
Denn wenn die nur in ein eigenes VLAN rein sollen um surfen zu können ist dass das Eine,
aber wenn man damit auch auf die Server und den Rest des Netzwerks zugreifen möchte
sollte eventuell sogar an eine Appliance gedacht werden mit der man die Smartphones und
Tablets managen kann, denn WLAN Klienten sind ncihit gleich WLAN Klienten.
Gruß
Dobby
Das hiesige Tutorial hast du gelesen ?:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
