Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sicheres WLAN-Netz per RADIUS Server aufsetzen

Frage Netzwerke LAN, WAN, Wireless

Mitglied: NullKommaNix

NullKommaNix (Level 1) - Jetzt verbinden

01.09.2014, aktualisiert 13:18 Uhr, 1328 Aufrufe, 4 Kommentare

Hallo werte Forenmitglieder,

bisher war ich nur als stiller „Mitleser“ aktiv.
Da ich nun aber auch mal eine etwas umfangreichere Fragestellung habe, bin ich ab sofort ein aktives Mitglied geworden.

Ich muss ein kleineres Netzwerk WLAN- Fähig machen und wollte dazu den vorhanden Windows 2008R2 Domänencontroller als RADIUS-Server verwenden.

In dem Netzwerk kommen nicht nur Windows Geräte zum Einsatz, sondern auch einige Smartphones (Android/Apple).
Im Wesentlichen habe ich mich für die bisherige Umsetzung auf folgende Anleitung gestützt (http://www.andysblog.de/windows-wireless-lan-802-1x-und-nps) und als Authentifizierung das gesicherte EAP-MSCHAP v2 verwendet.
Nun stört mich jedoch die Tatsache, dass einige Nutzer vermutlich recht schwache Passwörter verwenden und ich in einigen Medien gelesen habe, dass das MSCHAPv2 Verfahren ebenfalls schon angreifbar ist (die Serverprüfung kann bei einer Neueinrichtung durch andere Personen nicht zwingend gewährleistet werden).

Welche Möglichkeiten habe ich, das Netzwerk weiter bzw. besser abzusichern? Benutzerbasierende Zertifikate würde auch aufgrund des Aufwandes vermeiden wollen.
Optimal wäre eine Anmeldung, die sowohl ein Zertifikat (für alle gleich, manuell auf die Geräte kopiert) als auch die Benutzerauthentifizierung verlangt. Ist sowas möglich bzw. empfehlenswert?
(TTLS/MSCHAPV2 ... wenn ich das richtig verstanden habe)
Leider habe ich diesbezüglich wenig Literatur finden können ;(

Die Sicherheit muss in jedem Fall gewährleistet werden.
Ich hoffe hier jemanden anzutreffen, der mir einige Anstöße zu meinem Problem geben kann.

Viele Grüße und einen guten Wochenstart!


PS. Was mir auch etwas unklar ist.
Das nach dem Tutorial bereitstehende Zertifikat hat eine Gültigkeit von einem Jahr.
Erfolgt die Erneuerung automatisch? Oder kann ich direkt das Root Zertifikat des Servers verwenden?
Mitglied: wiesi200
01.09.2014 um 13:33 Uhr
Hallo,

hast du grundsätzlich auch mal an Password Policys gedacht. Dann gibt es keine "alten" und zu "schwache" Passwörter mehr.
Bitte warten ..
Mitglied: NullKommaNix
01.09.2014 um 14:51 Uhr
Hallo wiesi200,

ja...das müsste auf jeden Fall umgesetzt werden, sollte lediglich das gesicherte EAP-MSCHAP v2 verwendet werden.
Mir geht es jedoch allgemein um die Sicherheit (http://www.heise.de/security/meldung/Microsoft-warnt-vor-PPTP-und-MS-CH ...) und ob das verwendete Verfahren ausreichend Schutz bietet.
Am liebsten wäre es mir, wenn zu der Benutzerauthentifizierung noch ein Zertifikat erstellt werden könnte, das auf alle Clients verteilt wird.
Somit hätte man zumindest einen doppelten Schutz. Wäre dass denn möglich?
Bitte warten ..
Mitglied: 108012
02.09.2014 um 23:43 Uhr
Hallo,

Ich muss ein kleineres Netzwerk WLAN- Fähig machen und wollte dazu den vorhanden
Windows 2008R2 Domänencontroller als RADIUS-Server verwenden.
Das würde ich schon einmal nicht machen wollen, sondern lieber die Kabel gebundenen
Geräte per AD/LDAP absichern und die Kabel losen WLAN Klienten mittels eines Radius
Servers wie zum Beispiel FreeRadius.

In dem Netzwerk kommen nicht nur Windows Geräte zum Einsatz, sondern
auch einige Smartphones (Android/Apple).
Zertifikate erstellen und verteilen und gut ist es dann.

Welche Möglichkeiten habe ich, das Netzwerk weiter bzw. besser abzusichern?
WPA2 mit AES Verschlüsselung aktivieren, Radius Server für interne WLAN Benutzer
(Miarbeiter) und dann ein Captive Portal für externe WLAN Benutzer (Besucher).
"Rough AP detection" und auch die WLAN APs mit einem Zertifikat versehen
und das alles mit einem WLAN Controller, sollte Dein Netzwerk schon wesentlich
sicherer machen als es jetzt ist.

Benutzerbasierende Zertifikate würde auch aufgrund des Aufwandes vermeiden wollen.
Optimal wäre eine Anmeldung, die sowohl ein Zertifikat (für alle gleich, manuell auf die
Geräte kopiert) als auch die Benutzerauthentifizierung verlangt. Ist sowas möglich bzw.
empfehlenswert?
Es kommt ja auch drauf an was man mit den mobilen Geräten im Netzwerk machen möchte!
Denn wenn die nur in ein eigenes VLAN rein sollen um surfen zu können ist dass das Eine,
aber wenn man damit auch auf die Server und den Rest des Netzwerks zugreifen möchte
sollte eventuell sogar an eine Appliance gedacht werden mit der man die Smartphones und
Tablets managen kann, denn WLAN Klienten sind ncihit gleich WLAN Klienten.

Gruß
Dobby
Bitte warten ..
Ähnliche Inhalte
Sicherheits-Tools
Problem: 802.1X über Radius Server (WLAN)
gelöst Frage von Flais78Sicherheits-Tools7 Kommentare

Hallo liebe Community, ich bin neu in dem Forum, hoffe das der Thread im richten Teil des Forums ist ...

Netzwerke
Problem mit WLAN Anbindung und Radius Server
gelöst Frage von VerwirrterUserNetzwerke15 Kommentare

Hallo zusammen, folgendes Problem: wir verwenden einen Radius Server damit sich die Geräte im WLAN anmelden können. Dies funktioniert ...

Windows 8
Wlan Verbindung mit einem Radius Server nicht möglich
Frage von staybbWindows 83 Kommentare

Hallo, ich habe ein neues sony Notebook bekommen mit Windows 8. Müsste 8.1 sein. Die wlan Verbindung wird hier ...

LAN, WAN, Wireless
WLAN per Radius absichern - Handy unterstützt Radius nicht
Frage von dietziLAN, WAN, Wireless10 Kommentare

Hallo Leute, ich hoffe, dass ich hier eine Antwort auf meine Frage finde. Ich habe einen Server mit Freeradius ...

Neue Wissensbeiträge
Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 3 StundenWindows 101 Kommentar

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 5 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 1 TagViren und Trojaner2 Kommentare

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 1 TagRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Brainstorming, einfachste Option 1 getrenntes LAN (mit WAN zugang)
Frage von 132954LAN, WAN, Wireless13 Kommentare

Hi, folgendes: Wir bekommen eine Glasfaser Leitung, Und das sollte Optional so aussehen: Ein Modem/Router für das WAN, ein ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen12 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...

Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...