Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Verständnisfrage RADIUS WLAN

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Philipp711

Philipp711 (Level 2) - Jetzt verbinden

08.10.2012, aktualisiert 18:33 Uhr, 4978 Aufrufe, 5 Kommentare

Hallo!

Ich habe 1-2 allgemeine Fragen zur RADIUS-Authetifizierung + Verschlüsselung eines WLANs.

Kurz zu meinem Aufbau:
Habe hier eine funktionierende, virtuelle Umgebung mit 3 V-Servern und einer virtuellen Firewall/WLAN-Controller aufgebaut.

1x DC
1x Unternehmens CA
1x NPS/Radius Server
1x Astaro UTM mit Wireless Security

Zusätzlich dazu habe ich noch einen kleinen Astaro "AP10 Access Point" der an die Astaro angeschlossen wird.

Ich lasse das Zertifikat der CA über eine GPO in den "vertrauenswürdige Stammzertifizierungsstellen"-Ordner importieren <- klappt soweit einwandfrei.

Den NPS + Astaro habe ich nach diesen beiden Anleitungen eingerichtet:

NPS: http://bent-blog.de/w-lan-mit-ieee-802-1x-und-radius-in-einer-windows-s ...
Astaro: http://www.sophos.com/de-de/support/knowledgebase/116144.aspx

Es sind nur Benutzer aus einer bestimmten Gruppe berechtigt sich ins WLAN anzumelden (Grp.: WLAN-User)

WLAN-Clients werden erst per Kabel an die Domäne angebunden und nachdem die GPOs gezogen wurden ins WLAN "überführt"
Die Einwahl in das WLAN klappt. Benutzer die z.b. nicht in der Gruppe sind bekommen keine Verbindung.

Allerdings verstehe ich eine 1-2 Kleinigkeit nicht wirklich bzw. bin mir unsicher:

1) Bei den normalen WLANs mit WPA-PSK ist der WPA-Schlüssel für die Authentisierung + Verschlüsselung zuständig.
Wie sieht das denn hier aus? Klar das PW+Benutzername authentisiert den User aber was verschlüsselt die Verbindung? Das CA-Zertifikat oder das Computerzertifikat vom NPS? Das einzige den Client bekannte Zertifikat ist doch das CA-Zertifikat, aber die CA hat doch nichts mit der Verschlüsselung zwischen AP und Client zu tun...hä?

2) Wenn ich das richtig verstanden habe ist es zwingend notwendig das Zertifikat meiner Zertifizierungstelle auf den betreffenden WLAN-Clients zu verteilen.
Das würde ja bedeuten: Wenn ein "Mitarbeiter/Externer" mit seinem Laptop, sagen wir es wäre ein Win7-Laptop, in die Reichweite des WLANs kommen würde und dummerweise ein Passwort + Benutzernamen eines "WLAN-Berechtigten" kennt, würde dieser dann trotzdem nicht ins WLAN kommen, da er ja kein CA-Cert hat? <- sorry für die Frage! Würde es ja ausprobieren, habe aber gerade nichts da was noch nie an der Domäne hing!

Danke!

P.S.: Ich habe die Authentifizierung von "Benutzerzertifikat" auf "Computerzertifikat" geändert. Zusätzlich dazu dann auch die GPO angepasst wobei sich ein Client automatisch das Zertifikat austellt. Im NPS habe ich dann logischweise bei den Netzwerkrichtlinien unter "Bedinungen" die Benutzergruppe durch ein Computergruppe geändert.

Wieder eine Verständnissfrage: Jetzt muss gar kein Passwort mehr eingegeben werden, da es ja jetz Gerätespzifisch gehandhabt wird. Ist dies so überhaupt noch sicher? Ich meine prinzipiell muss doch jetzt der "Bösewicht" nur das Computerzertifikat von einem der WLAN-Clients klauen und er kommt rein oder??
Mitglied: dog
08.10.2012 um 14:39 Uhr
Das CA-Zertifikat oder das Computerzertifikat vom NPS? Das einzige den Client bekannte Zertifikat ist doch das CA-Zertifikat, aber die CA hat doch nichts mit der Verschlüsselung zwischen AP und Client zu tun...hä?

Grob gesagt: Funktioniert wie bei SSL auch.

Wenn ich das richtig verstanden habe ist es zwingend notwendig das Zertifikat meiner Zertifizierungstelle auf den betreffenden WLAN-Clients zu verteilen.

Nein, ist es nicht.
Man kann (sollte aber nicht!) die Prüfung auch einfach deaktivieren.
Zertifikate sind nur dann zwingend notwendig wenn sich damit der Client identifiziert, aber das ist bei dir scheinbar nicht der Fall.

P.S.: Ich habe die authentifizierungs von "Benutzerzertifikat" auf "Computerzertifikat" geändert. Zusättlich dazu dann auch die GPO angepasst wobei sich ein Client automatisch das Zertifikat austellt.

s.o.

Ich meine prinzipiell muss doch jetzt der "Bösewicht" nur das Computerzertifikat von einem der WLAN-Clients klauen und er kommt rein oder??

Ja, aber du willst doch nicht etwa sagen, dass du kein BitLocker o.Ä. auf deinen Laptops benutzt?
Im laufenden Betrieb können höchstens Administratoren das Zertifikat wieder exportieren.
Bitte warten ..
Mitglied: Philipp711
08.10.2012, aktualisiert um 18:34 Uhr
Zitat von dog:
> Das CA-Zertifikat oder das Computerzertifikat vom NPS? Das einzige den Client bekannte Zertifikat ist doch das CA-Zertifikat,
aber die CA hat doch nichts mit der Verschlüsselung zwischen AP und Client zu tun...hä?

Grob gesagt: Funktioniert wie bei SSL auch.

Okay, also muss ich mir das vorstellen als ob ich in meinem Browser eine Https-Seite aufrufe, dort wird ja dann auch einfach das Computerzertifikat vom Webserver genommen um zu verschlüsseln, richtig?
Also wird einfach mit dem Computerzertifikat vom Radius verschlüsselt.

> P.S.: Ich habe die authentifizierung von "Benutzerzertifikat" auf "Computerzertifikat" geändert.
Zusäztlich dazu dann auch die GPO angepasst wobei sich ein Client automatisch das Zertifikat austellt.
s.o.

Was meinst du damit? Sorry steh aufm Schlauch

> Ich meine prinzipiell muss doch jetzt der "Bösewicht" nur das Computerzertifikat von einem der WLAN-Clients
klauen und er kommt rein oder??

Ja, aber du willst doch nicht etwa sagen, dass du kein BitLocker o.Ä. auf deinen Laptops benutzt?
Im laufenden Betrieb können höchstens Administratoren das Zertifikat wieder exportieren.

Okay, Admin ist nur der Dom-Admin + der lokale Admin. Die Kisten sind alle per SafeGuardEasy verschlüsselt.

Kurz zusammengefasst:
Schwachstelle bei WPA-PSK: irgendeiner plappert den PSK aus.
Schwachstelle bei Radius+Computerzertifikat sollte jemand das Computerzertifikat haben gibts Probleme
Bitte warten ..
Mitglied: aqui
09.10.2012 um 13:40 Uhr
Ja, richtig, das WPA Passwort hat mit der User Authentisierung nichts zu tun.
Wenn das "ausgeplappert" wird betrifft das aber nur die Datensicherheit bei der Übertragung, d.h. Daten können mitgelesen werden.
Wer wann ins WLAN darf regelt das aber keineswegs...andere Baustelle mit Radius und Zertifikaten usw.
Ein Zertifikat kann man nicht weitergeben. Derzeit ist das der sicherste Zugang, da du nicht nur eine User Authentisierung hast sondern auch eine Geräte Authentisierung. Man kommt also nur mit dem spezifischen Gerät (HW) ins WLAN.
Wenns geklaut wird musst du nur das eine Zertifikat revoken und das wars... weniger Arbeit als mit Username Passwort.
Dieses Tutorial hat noch ein paar Grundlagen dazu:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
Bitte warten ..
Mitglied: Philipp711
09.10.2012, aktualisiert um 16:22 Uhr
Zitat von aqui:
Ein Zertifikat kann man nicht weitergeben. Derzeit ist das der sicherste Zugang, da du nicht nur eine User Authentisierung hast sondern auch eine Geräte Authentisierung. Man kommt also nur mit dem spezifischen Gerät (HW) ins WLAN.

Eigentlich möchte ich die Userauthentifizierung weg lassen und nur bestimmte Computer/Geräte zulassen. Die Zugelassenen Geräte sind "Leihgeräte" die die Mitarbeiter bei mir ausleihen und nach Gebrauch wieder mitbringen. Also muss quasi jeder Domänenmember berechtiget sein das WLAN zu nutzen. Aber nur über diese bestimmten Geräte.

Problematisch wirds ja auch weil bei der Userauthentifizierung die Verbindung zum WLAN noch nicht steht und dann logischerweise auch die GPOs, Netzlaufwerke etc nicht gezogen/verbunden werden.

"nur Geräteauthentifizierung" doch immernoch ziemlich sicher oder?


Wenns geklaut wird musst du nur das eine Zertifikat revoken und das wars... weniger Arbeit als mit Username Passwort.

Sprich: in der Root-CA das Zertifikat sperren und die Sperrliste "ausliefern"?

P.S.: kann ich auch User + Computerauthentifizierung anwenden? -> bestimmte Benutzer können nur über bestimmte Clients ins WLAN...
Bitte warten ..
Mitglied: aqui
09.10.2012 um 17:44 Uhr
Was du beschreibst ist die klassische Authentisierung über Client Zertifikate die auf deinen Leihgeräten installiert sein müssen.
Man kommt dann nur mit dieser HW ins WLAN also genau das was du willst mit den Leihgeräten.
Wie die Authentisierung mit Username / Passwort gelingt zeigt dir das oben zitierte Tutorial im Detail.
Das dortige Zertifikat ist nur ein Radius Server Zertifikat das keiner einen anderen Radius Server heimlich im Netz "unterjubeln" kann um ungewollte User zu authentisieren.
Bitte warten ..
Ähnliche Inhalte
Utilities
WLan Repeater Verständnisfrage
gelöst Frage von trxit0Utilities5 Kommentare

Hallo zusammen, wenn ein Repeater z.B noch 25mbit/s empfängt, kann der dann nur diese 25mbit/s gut genug verteilen, dass ...

LAN, WAN, Wireless
WLAN per Radius absichern - Handy unterstützt Radius nicht
Frage von dietziLAN, WAN, Wireless10 Kommentare

Hallo Leute, ich hoffe, dass ich hier eine Antwort auf meine Frage finde. Ich habe einen Server mit Freeradius ...

Windows Server
RADIUS Authentifizierung in WLAN
Frage von osze90Windows Server7 Kommentare

Hallo Ich bin bald sicher 1 Jahr a üben aber bringe es einfach nicht hin. Da das ursprüngliche Thema ...

LAN, WAN, Wireless
Wlan radius computer authentifizierung
Frage von q16marvinLAN, WAN, Wireless4 Kommentare

Hallo, ich habe nun sehr lange nach einer Lösung gesucht, leider nichts gefunden. Ziel: ich habe nun 12 Laptops ...

Neue Wissensbeiträge
Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 2 StundenVerschlüsselung & Zertifikate

Interessant SSH-Kommando in CMD.exe und PowerShell

Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 1 TagApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 1 TagWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 1 TagWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Heiß diskutierte Inhalte
Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server19 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Kein Bild mit nur einer bestimmten Grafikkarten - Mainboard Konfiguration
gelöst Frage von bestelittHardware18 Kommentare

Hallo zusammen, ich hatte schon einmal eine ähnliche Frage gestellt. Damals hatte ich genau das gleiche Problem. Allerdings lies ...

Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement17 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...