Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sicheres WLAN-Netz per RADIUS Server aufsetzen

Frage Netzwerke LAN, WAN, Wireless

Mitglied: NullKommaNix

NullKommaNix (Level 1) - Jetzt verbinden

01.09.2014, aktualisiert 13:18 Uhr, 1288 Aufrufe, 4 Kommentare

Hallo werte Forenmitglieder,

bisher war ich nur als stiller „Mitleser“ aktiv.
Da ich nun aber auch mal eine etwas umfangreichere Fragestellung habe, bin ich ab sofort ein aktives Mitglied geworden.

Ich muss ein kleineres Netzwerk WLAN- Fähig machen und wollte dazu den vorhanden Windows 2008R2 Domänencontroller als RADIUS-Server verwenden.

In dem Netzwerk kommen nicht nur Windows Geräte zum Einsatz, sondern auch einige Smartphones (Android/Apple).
Im Wesentlichen habe ich mich für die bisherige Umsetzung auf folgende Anleitung gestützt (http://www.andysblog.de/windows-wireless-lan-802-1x-und-nps) und als Authentifizierung das gesicherte EAP-MSCHAP v2 verwendet.
Nun stört mich jedoch die Tatsache, dass einige Nutzer vermutlich recht schwache Passwörter verwenden und ich in einigen Medien gelesen habe, dass das MSCHAPv2 Verfahren ebenfalls schon angreifbar ist (die Serverprüfung kann bei einer Neueinrichtung durch andere Personen nicht zwingend gewährleistet werden).

Welche Möglichkeiten habe ich, das Netzwerk weiter bzw. besser abzusichern? Benutzerbasierende Zertifikate würde auch aufgrund des Aufwandes vermeiden wollen.
Optimal wäre eine Anmeldung, die sowohl ein Zertifikat (für alle gleich, manuell auf die Geräte kopiert) als auch die Benutzerauthentifizierung verlangt. Ist sowas möglich bzw. empfehlenswert?
(TTLS/MSCHAPV2 ... wenn ich das richtig verstanden habe)
Leider habe ich diesbezüglich wenig Literatur finden können ;(

Die Sicherheit muss in jedem Fall gewährleistet werden.
Ich hoffe hier jemanden anzutreffen, der mir einige Anstöße zu meinem Problem geben kann.

Viele Grüße und einen guten Wochenstart!


PS. Was mir auch etwas unklar ist.
Das nach dem Tutorial bereitstehende Zertifikat hat eine Gültigkeit von einem Jahr.
Erfolgt die Erneuerung automatisch? Oder kann ich direkt das Root Zertifikat des Servers verwenden?
Mitglied: wiesi200
01.09.2014 um 13:33 Uhr
Hallo,

hast du grundsätzlich auch mal an Password Policys gedacht. Dann gibt es keine "alten" und zu "schwache" Passwörter mehr.
Bitte warten ..
Mitglied: NullKommaNix
01.09.2014 um 14:51 Uhr
Hallo wiesi200,

ja...das müsste auf jeden Fall umgesetzt werden, sollte lediglich das gesicherte EAP-MSCHAP v2 verwendet werden.
Mir geht es jedoch allgemein um die Sicherheit (http://www.heise.de/security/meldung/Microsoft-warnt-vor-PPTP-und-MS-CH ...) und ob das verwendete Verfahren ausreichend Schutz bietet.
Am liebsten wäre es mir, wenn zu der Benutzerauthentifizierung noch ein Zertifikat erstellt werden könnte, das auf alle Clients verteilt wird.
Somit hätte man zumindest einen doppelten Schutz. Wäre dass denn möglich?
Bitte warten ..
Mitglied: Dobby
02.09.2014 um 23:43 Uhr
Hallo,

Ich muss ein kleineres Netzwerk WLAN- Fähig machen und wollte dazu den vorhanden
Windows 2008R2 Domänencontroller als RADIUS-Server verwenden.
Das würde ich schon einmal nicht machen wollen, sondern lieber die Kabel gebundenen
Geräte per AD/LDAP absichern und die Kabel losen WLAN Klienten mittels eines Radius
Servers wie zum Beispiel FreeRadius.

In dem Netzwerk kommen nicht nur Windows Geräte zum Einsatz, sondern
auch einige Smartphones (Android/Apple).
Zertifikate erstellen und verteilen und gut ist es dann.

Welche Möglichkeiten habe ich, das Netzwerk weiter bzw. besser abzusichern?
WPA2 mit AES Verschlüsselung aktivieren, Radius Server für interne WLAN Benutzer
(Miarbeiter) und dann ein Captive Portal für externe WLAN Benutzer (Besucher).
"Rough AP detection" und auch die WLAN APs mit einem Zertifikat versehen
und das alles mit einem WLAN Controller, sollte Dein Netzwerk schon wesentlich
sicherer machen als es jetzt ist.

Benutzerbasierende Zertifikate würde auch aufgrund des Aufwandes vermeiden wollen.
Optimal wäre eine Anmeldung, die sowohl ein Zertifikat (für alle gleich, manuell auf die
Geräte kopiert) als auch die Benutzerauthentifizierung verlangt. Ist sowas möglich bzw.
empfehlenswert?
Es kommt ja auch drauf an was man mit den mobilen Geräten im Netzwerk machen möchte!
Denn wenn die nur in ein eigenes VLAN rein sollen um surfen zu können ist dass das Eine,
aber wenn man damit auch auf die Server und den Rest des Netzwerks zugreifen möchte
sollte eventuell sogar an eine Appliance gedacht werden mit der man die Smartphones und
Tablets managen kann, denn WLAN Klienten sind ncihit gleich WLAN Klienten.

Gruß
Dobby
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
Tipps für Router (ca. 100 clients, VPN) (19)

Frage von oel-auge zum Thema Router & Routing ...

Windows 7
BOOTMGR is missing (auch nach bootrec -RebuildBcd) (17)

Frage von Mipronimo zum Thema Windows 7 ...

TK-Netze & Geräte
gelöst Convert von TAPI auf CAPI gesucht (13)

Frage von StefanKittel zum Thema TK-Netze & Geräte ...