Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Wie kann man ein WLAN über EAP-TLS Radius richtig absichern?

Mitglied: m23lit

m23lit (Level 1) - Jetzt verbinden

10.02.2012, aktualisiert 18.10.2012, 5013 Aufrufe, 4 Kommentare

Hallo zusammen, ich habe hier ein kleines Verständnis Problem:

Ich habe mich nun seit einiger Zeit mit dem Thema WLAN Authentifizierung per Radius befasst.
Mein Ziel ist es unser Firmen WLAN mit WPA2 Enterprise RICHTIG zu verschlüsseln und den Benutzern zu ermöglichen sich mit Benutzername und Passwort am WLAN anzumelden.

Hardwaretechnisch wird ein LANCOM 1823 Router eingesetzt der einen intergrierten Radiius Server hat.

Ich habe so ziemlioch alle Anleitungen die das Netz so her gab durchgelesen und konnte das ganze auch bereits funktionstüchtig umsetzen.
Als Default EAP Authentifizierungsmethode habe ich MSCHAPv2 eingestellt und die EAP-TLS Authentifizierung aktiviert.

Jetzt zu meiner Verständnisfrage:
Wenn ich die WLAN Verbindung beim Client einrichte kann ich unter dem Reiter -> Sicherheit -> Einstellungen
die Serverzertifikatüberprüfung ausschalten.
Wenn dann die richtigen Zugangsdaten für den Radius eingetragen werden funktioniert die WLAN Verbindung einwandfrei.
Aber bedeutet das jetzt dass dadurch Benutzername und Passwort unverschlüsselt übertragen wurden?
Oder dient die Zertifikatsüberprüfung nur zur Authentifizierung des richtigen Access Points?

Ich habe natürlich auch Zertifikate für Router und Client erstellt und dann die Serverzertifikat überprüfung eingeschaltet. Auch das funktioniert einwandfrei.
Aber wenn tatsächlich Benutzername und Passwort unverschlüsslt übertragen würden dann müsste ich die Clients doch auch irgendwie zwingen können dass sowohl ein gültiges Zertifikat als auch Benutzername und Passwort vorliegen müssen.
Gibt es dafür keine eigen Variante bei den ganzen EAP Methoden?

Ich wäre euch sehr dankbar wenn ihr mir zumindest meine Frage bzgl. Verschlüsselung von Benuzername und Passwort beantworten könntet.
Vielen Dank schonmal!
Mitglied: aqui
10.02.2012, aktualisiert 18.10.2012
Guckst du hier:
https://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
Das beantwortet dir alle Fragen...
Die Zertifikatsüberprüfung betrifft den Radius, damit keiner einen anderen dazwischen schieben kann. Steht aber auch in den Thread antworten.
Bitte warten ..
Mitglied: m23lit
10.02.2012 um 17:41 Uhr
Vielen Dank für die schnelle Antwort.
Habe mir das HowTo in Ruhe durchgelesen aber mein beiden Fragen beantwortet das leider nicht.
Den CT Artikel hatte ich auch schon gelesen aber auch dort wird meine Frage nicht beantwortet.

1) Bedeutet das deaktivieren der Serverzertifikat Überpüfung dass das Kennwort unverschlüsselt übertragen wird?
2) Gibt es eine Möglichkeit dass man sowohl Benutzername/Passwort als auch ein gültiges Zertifikat benötigt um authentifiziert zu werden?
Bitte warten ..
Mitglied: aqui
10.02.2012 um 22:37 Uhr
ad 1:
Nein, bitte lies den Radius RFC dann weisst du es ! Radius Authorisation Requests bzws Replies sind immer verschlüsselt auch ohne Zertifikat !
Wozu müsstest du sonst in den Device Konfig Files wohl ein Password für den Client (AP oder Controller) angeben !?!
ad 2.
Ja, genau das beschreibt doch das Tutorial ! Du kannst den Zertifikatstest erzwingen. Damit müssen beide Bedingungen User/Pass und Zertifikat erfüllt sein.
Macht ja auch Sinn damit dir nicht jemand einen falschen Authentisierungs Server "unterschiebt" ! Ohne Zertifikatstest ist das einfach möglich !
Steht doch alles so im Tutorial auch im 802.1x Teil, oder hast du das nicht gelesen...
Bitte warten ..
Mitglied: m23lit
18.11.2012 um 11:28 Uhr
Alles klar, vielen Dank für eure Antworten!
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

WLan-Authentifizierung über NPS mit EAP-TLS

Frage von KopeckLAN, WAN, Wireless1 Kommentar

Hallo, ich habe folgendes Problem: Ich würde gerne mein WLan mit Hilfe von (Benutzer)Zertifikaten absichern. Habe nun in einer ...

LAN, WAN, Wireless

WLAN per Radius absichern - Handy unterstützt Radius nicht

Frage von dietziLAN, WAN, Wireless10 Kommentare

Hallo Leute, ich hoffe, dass ich hier eine Antwort auf meine Frage finde. Ich habe einen Server mit Freeradius ...

Firewall

PfSense: Freeradius, NUR EAP-TLS

Frage von mrserious73Firewall

Hallo zusammen, gibt's eine Möglichkeit, den Radiusserver in pfSense wirklich NUR EAP-TLS machen zu lassen? Man kann die restlichen ...

LAN, WAN, Wireless

WLAN EAP-TLS mit FreeRadius unsupported certificate

Frage von Phill93LAN, WAN, Wireless6 Kommentare

Hallo, bin hier am verzweifeln. Bekomme von meinem FreeRadius immer die Fehlermeldung "TLS Alert write:fatal:unsupported certificate ". Beide (Radius ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 1 TagWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 1 TagSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 2 TagenDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 2 TagenSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
DSL, VDSL
Mindestgeschwindigkeiten DSL Telekom
Frage von justlukasDSL, VDSL13 Kommentare

Hallo zusammen, Seit diesem Jahr habe ich Verständnisprobleme mit dem Verhalten der Telekom. Wir haben seit einem Jahr VDSL ...

Switche und Hubs
LANCOM-Switch: Probleme (no link) mit SFP-Modulen?
Frage von THETOBSwitche und Hubs10 Kommentare

Hi zusammen, ich habe folgendes Problem: Und zwar habe ich an einem Standort drei Switche verbaut - LANCOM GS-2326P+, ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall10 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)8 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...