Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sicheres WLAN-Netz per RADIUS Server aufsetzen

Frage Netzwerke LAN, WAN, Wireless

Mitglied: NullKommaNix

NullKommaNix (Level 1) - Jetzt verbinden

01.09.2014, aktualisiert 13:18 Uhr, 1274 Aufrufe, 4 Kommentare

Hallo werte Forenmitglieder,

bisher war ich nur als stiller „Mitleser“ aktiv.
Da ich nun aber auch mal eine etwas umfangreichere Fragestellung habe, bin ich ab sofort ein aktives Mitglied geworden.

Ich muss ein kleineres Netzwerk WLAN- Fähig machen und wollte dazu den vorhanden Windows 2008R2 Domänencontroller als RADIUS-Server verwenden.

In dem Netzwerk kommen nicht nur Windows Geräte zum Einsatz, sondern auch einige Smartphones (Android/Apple).
Im Wesentlichen habe ich mich für die bisherige Umsetzung auf folgende Anleitung gestützt (http://www.andysblog.de/windows-wireless-lan-802-1x-und-nps) und als Authentifizierung das gesicherte EAP-MSCHAP v2 verwendet.
Nun stört mich jedoch die Tatsache, dass einige Nutzer vermutlich recht schwache Passwörter verwenden und ich in einigen Medien gelesen habe, dass das MSCHAPv2 Verfahren ebenfalls schon angreifbar ist (die Serverprüfung kann bei einer Neueinrichtung durch andere Personen nicht zwingend gewährleistet werden).

Welche Möglichkeiten habe ich, das Netzwerk weiter bzw. besser abzusichern? Benutzerbasierende Zertifikate würde auch aufgrund des Aufwandes vermeiden wollen.
Optimal wäre eine Anmeldung, die sowohl ein Zertifikat (für alle gleich, manuell auf die Geräte kopiert) als auch die Benutzerauthentifizierung verlangt. Ist sowas möglich bzw. empfehlenswert?
(TTLS/MSCHAPV2 ... wenn ich das richtig verstanden habe)
Leider habe ich diesbezüglich wenig Literatur finden können ;(

Die Sicherheit muss in jedem Fall gewährleistet werden.
Ich hoffe hier jemanden anzutreffen, der mir einige Anstöße zu meinem Problem geben kann.

Viele Grüße und einen guten Wochenstart!


PS. Was mir auch etwas unklar ist.
Das nach dem Tutorial bereitstehende Zertifikat hat eine Gültigkeit von einem Jahr.
Erfolgt die Erneuerung automatisch? Oder kann ich direkt das Root Zertifikat des Servers verwenden?
Mitglied: wiesi200
01.09.2014 um 13:33 Uhr
Hallo,

hast du grundsätzlich auch mal an Password Policys gedacht. Dann gibt es keine "alten" und zu "schwache" Passwörter mehr.
Bitte warten ..
Mitglied: NullKommaNix
01.09.2014 um 14:51 Uhr
Hallo wiesi200,

ja...das müsste auf jeden Fall umgesetzt werden, sollte lediglich das gesicherte EAP-MSCHAP v2 verwendet werden.
Mir geht es jedoch allgemein um die Sicherheit (http://www.heise.de/security/meldung/Microsoft-warnt-vor-PPTP-und-MS-CH ...) und ob das verwendete Verfahren ausreichend Schutz bietet.
Am liebsten wäre es mir, wenn zu der Benutzerauthentifizierung noch ein Zertifikat erstellt werden könnte, das auf alle Clients verteilt wird.
Somit hätte man zumindest einen doppelten Schutz. Wäre dass denn möglich?
Bitte warten ..
Mitglied: Dobby
02.09.2014 um 23:43 Uhr
Hallo,

Ich muss ein kleineres Netzwerk WLAN- Fähig machen und wollte dazu den vorhanden
Windows 2008R2 Domänencontroller als RADIUS-Server verwenden.
Das würde ich schon einmal nicht machen wollen, sondern lieber die Kabel gebundenen
Geräte per AD/LDAP absichern und die Kabel losen WLAN Klienten mittels eines Radius
Servers wie zum Beispiel FreeRadius.

In dem Netzwerk kommen nicht nur Windows Geräte zum Einsatz, sondern
auch einige Smartphones (Android/Apple).
Zertifikate erstellen und verteilen und gut ist es dann.

Welche Möglichkeiten habe ich, das Netzwerk weiter bzw. besser abzusichern?
WPA2 mit AES Verschlüsselung aktivieren, Radius Server für interne WLAN Benutzer
(Miarbeiter) und dann ein Captive Portal für externe WLAN Benutzer (Besucher).
"Rough AP detection" und auch die WLAN APs mit einem Zertifikat versehen
und das alles mit einem WLAN Controller, sollte Dein Netzwerk schon wesentlich
sicherer machen als es jetzt ist.

Benutzerbasierende Zertifikate würde auch aufgrund des Aufwandes vermeiden wollen.
Optimal wäre eine Anmeldung, die sowohl ein Zertifikat (für alle gleich, manuell auf die
Geräte kopiert) als auch die Benutzerauthentifizierung verlangt. Ist sowas möglich bzw.
empfehlenswert?
Es kommt ja auch drauf an was man mit den mobilen Geräten im Netzwerk machen möchte!
Denn wenn die nur in ein eigenes VLAN rein sollen um surfen zu können ist dass das Eine,
aber wenn man damit auch auf die Server und den Rest des Netzwerks zugreifen möchte
sollte eventuell sogar an eine Appliance gedacht werden mit der man die Smartphones und
Tablets managen kann, denn WLAN Klienten sind ncihit gleich WLAN Klienten.

Gruß
Dobby
Bitte warten ..
Neuester Wissensbeitrag
DSL, VDSL

Telekom blockiert immer noch den Port 7547 in ihrem Netz

(3)

Erfahrungsbericht von joachim57 zum Thema DSL, VDSL ...

Ähnliche Inhalte
LAN, WAN, Wireless
Dd-wrt Hotspot mit Radius Server und Traffic Volume Limit (19)

Frage von Kubus0815 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst Portables großes WLAN Netz aufbauen (6)

Frage von Referent zum Thema LAN, WAN, Wireless ...

Windows Server
gelöst Radius-Server auf Win. Srv. 2008R2 (5)

Frage von anak1m zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...