Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Verständnisfrage RADIUS WLAN

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Philipp711

Philipp711 (Level 2) - Jetzt verbinden

08.10.2012, aktualisiert 18:33 Uhr, 4752 Aufrufe, 5 Kommentare

Hallo!

Ich habe 1-2 allgemeine Fragen zur RADIUS-Authetifizierung + Verschlüsselung eines WLANs.

Kurz zu meinem Aufbau:
Habe hier eine funktionierende, virtuelle Umgebung mit 3 V-Servern und einer virtuellen Firewall/WLAN-Controller aufgebaut.

1x DC
1x Unternehmens CA
1x NPS/Radius Server
1x Astaro UTM mit Wireless Security

Zusätzlich dazu habe ich noch einen kleinen Astaro "AP10 Access Point" der an die Astaro angeschlossen wird.

Ich lasse das Zertifikat der CA über eine GPO in den "vertrauenswürdige Stammzertifizierungsstellen"-Ordner importieren <- klappt soweit einwandfrei.

Den NPS + Astaro habe ich nach diesen beiden Anleitungen eingerichtet:

NPS: http://bent-blog.de/w-lan-mit-ieee-802-1x-und-radius-in-einer-windows-s ...
Astaro: http://www.sophos.com/de-de/support/knowledgebase/116144.aspx

Es sind nur Benutzer aus einer bestimmten Gruppe berechtigt sich ins WLAN anzumelden (Grp.: WLAN-User)

WLAN-Clients werden erst per Kabel an die Domäne angebunden und nachdem die GPOs gezogen wurden ins WLAN "überführt"
Die Einwahl in das WLAN klappt. Benutzer die z.b. nicht in der Gruppe sind bekommen keine Verbindung.

Allerdings verstehe ich eine 1-2 Kleinigkeit nicht wirklich bzw. bin mir unsicher:

1) Bei den normalen WLANs mit WPA-PSK ist der WPA-Schlüssel für die Authentisierung + Verschlüsselung zuständig.
Wie sieht das denn hier aus? Klar das PW+Benutzername authentisiert den User aber was verschlüsselt die Verbindung? Das CA-Zertifikat oder das Computerzertifikat vom NPS? Das einzige den Client bekannte Zertifikat ist doch das CA-Zertifikat, aber die CA hat doch nichts mit der Verschlüsselung zwischen AP und Client zu tun...hä?

2) Wenn ich das richtig verstanden habe ist es zwingend notwendig das Zertifikat meiner Zertifizierungstelle auf den betreffenden WLAN-Clients zu verteilen.
Das würde ja bedeuten: Wenn ein "Mitarbeiter/Externer" mit seinem Laptop, sagen wir es wäre ein Win7-Laptop, in die Reichweite des WLANs kommen würde und dummerweise ein Passwort + Benutzernamen eines "WLAN-Berechtigten" kennt, würde dieser dann trotzdem nicht ins WLAN kommen, da er ja kein CA-Cert hat? <- sorry für die Frage! Würde es ja ausprobieren, habe aber gerade nichts da was noch nie an der Domäne hing!

Danke!

P.S.: Ich habe die Authentifizierung von "Benutzerzertifikat" auf "Computerzertifikat" geändert. Zusätzlich dazu dann auch die GPO angepasst wobei sich ein Client automatisch das Zertifikat austellt. Im NPS habe ich dann logischweise bei den Netzwerkrichtlinien unter "Bedinungen" die Benutzergruppe durch ein Computergruppe geändert.

Wieder eine Verständnissfrage: Jetzt muss gar kein Passwort mehr eingegeben werden, da es ja jetz Gerätespzifisch gehandhabt wird. Ist dies so überhaupt noch sicher? Ich meine prinzipiell muss doch jetzt der "Bösewicht" nur das Computerzertifikat von einem der WLAN-Clients klauen und er kommt rein oder??
Mitglied: dog
08.10.2012 um 14:39 Uhr
Das CA-Zertifikat oder das Computerzertifikat vom NPS? Das einzige den Client bekannte Zertifikat ist doch das CA-Zertifikat, aber die CA hat doch nichts mit der Verschlüsselung zwischen AP und Client zu tun...hä?

Grob gesagt: Funktioniert wie bei SSL auch.

Wenn ich das richtig verstanden habe ist es zwingend notwendig das Zertifikat meiner Zertifizierungstelle auf den betreffenden WLAN-Clients zu verteilen.

Nein, ist es nicht.
Man kann (sollte aber nicht!) die Prüfung auch einfach deaktivieren.
Zertifikate sind nur dann zwingend notwendig wenn sich damit der Client identifiziert, aber das ist bei dir scheinbar nicht der Fall.

P.S.: Ich habe die authentifizierungs von "Benutzerzertifikat" auf "Computerzertifikat" geändert. Zusättlich dazu dann auch die GPO angepasst wobei sich ein Client automatisch das Zertifikat austellt.

s.o.

Ich meine prinzipiell muss doch jetzt der "Bösewicht" nur das Computerzertifikat von einem der WLAN-Clients klauen und er kommt rein oder??

Ja, aber du willst doch nicht etwa sagen, dass du kein BitLocker o.Ä. auf deinen Laptops benutzt?
Im laufenden Betrieb können höchstens Administratoren das Zertifikat wieder exportieren.
Bitte warten ..
Mitglied: Philipp711
08.10.2012, aktualisiert um 18:34 Uhr
Zitat von dog:
> Das CA-Zertifikat oder das Computerzertifikat vom NPS? Das einzige den Client bekannte Zertifikat ist doch das CA-Zertifikat,
aber die CA hat doch nichts mit der Verschlüsselung zwischen AP und Client zu tun...hä?

Grob gesagt: Funktioniert wie bei SSL auch.

Okay, also muss ich mir das vorstellen als ob ich in meinem Browser eine Https-Seite aufrufe, dort wird ja dann auch einfach das Computerzertifikat vom Webserver genommen um zu verschlüsseln, richtig?
Also wird einfach mit dem Computerzertifikat vom Radius verschlüsselt.

> P.S.: Ich habe die authentifizierung von "Benutzerzertifikat" auf "Computerzertifikat" geändert.
Zusäztlich dazu dann auch die GPO angepasst wobei sich ein Client automatisch das Zertifikat austellt.
s.o.

Was meinst du damit? Sorry steh aufm Schlauch

> Ich meine prinzipiell muss doch jetzt der "Bösewicht" nur das Computerzertifikat von einem der WLAN-Clients
klauen und er kommt rein oder??

Ja, aber du willst doch nicht etwa sagen, dass du kein BitLocker o.Ä. auf deinen Laptops benutzt?
Im laufenden Betrieb können höchstens Administratoren das Zertifikat wieder exportieren.

Okay, Admin ist nur der Dom-Admin + der lokale Admin. Die Kisten sind alle per SafeGuardEasy verschlüsselt.

Kurz zusammengefasst:
Schwachstelle bei WPA-PSK: irgendeiner plappert den PSK aus.
Schwachstelle bei Radius+Computerzertifikat sollte jemand das Computerzertifikat haben gibts Probleme
Bitte warten ..
Mitglied: aqui
09.10.2012 um 13:40 Uhr
Ja, richtig, das WPA Passwort hat mit der User Authentisierung nichts zu tun.
Wenn das "ausgeplappert" wird betrifft das aber nur die Datensicherheit bei der Übertragung, d.h. Daten können mitgelesen werden.
Wer wann ins WLAN darf regelt das aber keineswegs...andere Baustelle mit Radius und Zertifikaten usw.
Ein Zertifikat kann man nicht weitergeben. Derzeit ist das der sicherste Zugang, da du nicht nur eine User Authentisierung hast sondern auch eine Geräte Authentisierung. Man kommt also nur mit dem spezifischen Gerät (HW) ins WLAN.
Wenns geklaut wird musst du nur das eine Zertifikat revoken und das wars... weniger Arbeit als mit Username Passwort.
Dieses Tutorial hat noch ein paar Grundlagen dazu:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
Bitte warten ..
Mitglied: Philipp711
09.10.2012, aktualisiert um 16:22 Uhr
Zitat von aqui:
Ein Zertifikat kann man nicht weitergeben. Derzeit ist das der sicherste Zugang, da du nicht nur eine User Authentisierung hast sondern auch eine Geräte Authentisierung. Man kommt also nur mit dem spezifischen Gerät (HW) ins WLAN.

Eigentlich möchte ich die Userauthentifizierung weg lassen und nur bestimmte Computer/Geräte zulassen. Die Zugelassenen Geräte sind "Leihgeräte" die die Mitarbeiter bei mir ausleihen und nach Gebrauch wieder mitbringen. Also muss quasi jeder Domänenmember berechtiget sein das WLAN zu nutzen. Aber nur über diese bestimmten Geräte.

Problematisch wirds ja auch weil bei der Userauthentifizierung die Verbindung zum WLAN noch nicht steht und dann logischerweise auch die GPOs, Netzlaufwerke etc nicht gezogen/verbunden werden.

"nur Geräteauthentifizierung" doch immernoch ziemlich sicher oder?


Wenns geklaut wird musst du nur das eine Zertifikat revoken und das wars... weniger Arbeit als mit Username Passwort.

Sprich: in der Root-CA das Zertifikat sperren und die Sperrliste "ausliefern"?

P.S.: kann ich auch User + Computerauthentifizierung anwenden? -> bestimmte Benutzer können nur über bestimmte Clients ins WLAN...
Bitte warten ..
Mitglied: aqui
09.10.2012 um 17:44 Uhr
Was du beschreibst ist die klassische Authentisierung über Client Zertifikate die auf deinen Leihgeräten installiert sein müssen.
Man kommt dann nur mit dieser HW ins WLAN also genau das was du willst mit den Leihgeräten.
Wie die Authentisierung mit Username / Passwort gelingt zeigt dir das oben zitierte Tutorial im Detail.
Das dortige Zertifikat ist nur ein Radius Server Zertifikat das keiner einen anderen Radius Server heimlich im Netz "unterjubeln" kann um ungewollte User zu authentisieren.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Utilities
gelöst WLan Repeater Verständnisfrage (5)

Frage von trxit0 zum Thema Utilities ...

LAN, WAN, Wireless
Wlan Zero-Handoff - Hidden Station Problem - Verständnisfrage (1)

Frage von Der-Phil zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst Laptop über WLAN anmelden mit RADIUS im active directory (2)

Frage von tobivan zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...