Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WLan Authentifizierung über Freeradius mit EAP und ldap

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Kubaschi

Kubaschi (Level 1) - Jetzt verbinden

22.01.2014 um 09:12 Uhr, 3069 Aufrufe, 6 Kommentare

Hallo zusammen,

Ich bin neuer Azubi als Fachinformatiker und habe gleich eine knackige Aufgabe von meinem Chef gestellt bekommen.
Das Firmen interne WLan ist mehr als nur schlecht gesichert und meine Aufgabe ist es nun eine gute Lösung vorzustellen, wie wir das ganze anders lösen können.

Nun zu meinem Plan:

Ich möchte mittles Access Points und Repeatern das WLan "durch" die Firma verteilen und die Anmeldung soll über einen von mir konfiguriertem FreeRadius Server über die in unserer Firma vorhanden OpenLdap Datenbank erfolgen.
Dabei soll alles durch OpenSSL Zertifikate gesichert werden.

Was ich bisher hinbekomme ist das sich ein nutzer mit seinen Ldap Daten am Access Point anmeldet und wenn auf dem zu verbindendem Gerät das von mir erstellte ca Zertifikat vorhanden ist klappt auch alles soweit.

Eig. sollte es das ja sein, aber das reicht mir noch nicht ganz an Sicherheit. Deshalb meine frage:

Gibt es die Möglichkeit am FreeRadius Server Einstellungen zu machen das der Client der ins WLan möchte nicht nur das ca Zertifikat benötigt, sondern auch ein Client Zertifikat das mit dem ca.key "unterschrieben" wurde ? Sodass fals ein Laptop geklaut wird oder ein Mitarbeiter aus der Firma ausscheidet, man nur noch das Zertifikat des Clients sperren braucht und das Gerät dann nicht mehr ins WLan kommt ?

Danke für Antworten im voraus
Mitglied: aqui
22.01.2014 um 10:20 Uhr
Die entsprechenden Forums Tutorials zu dem Thema hier hast du alle gelesen ??
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
und
http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...
und als Plattform für den FreeRadius:
http://www.administrator.de/wissen/netzwerk-management-server-mit-raspb ...

Das sollte (fast) alle Fragen beantworten. Und Ja...du kannst auch mit Client Zertifikaten arbeiten musst dann aber EAP-TLS verwenden.
Bitte warten ..
Mitglied: Kubaschi
22.01.2014 um 12:26 Uhr
Danke erstmal für die schnelle Antwort.
Die ersten beiden Links bin ich am Anfang meines "Experiments" schon mal durchgegangen und hat mir auch sehr weiter geholfen. Bin es jetzt nochmal überflogen. In den beiden Tutorials geht es ja mehr oder weniger um das was ich bisher eingerichtet habe, aber weniger um die Einstellung der Client Zertifikate. Nach meinem Verständnis müsste es ja eig. reichen den "EAP-TLS-REQUIRE-CLIENT-CERT = Yes" aus den Kommentaren zu entfernen, laut den Kommentaren in der Config setzt Peap dann ein Client Cert vorraus. Nur irgendwie will es nicht so recht funktionieren. Bin mir nicht sicher ob ich was bei den Zertifikaten falsch mache oder am Freeradius Server noch andere Dinge einstellen muss.

Zu deinem dritten Link, um ein Bediener freundliches Front-End für die ganze Geschichte wollte ich mich kümmern, wenn ich das alles 100% über die Kommandozeile hinkriege
Bitte warten ..
Mitglied: aqui
22.01.2014, aktualisiert um 14:30 Uhr
Du hast Recht...auf Client Zertifikate geht das Tutorial nicht im Detail ein. Ist mal ne Anregung für die Erweiterung
Es gibt im Web aber ne Menge Anleitungen. Einfach mal nach User Certificate suchen....
Da kommt schon was Grundlegendes wie z.B. hier:
https://www2.lancom.de/kb.nsf/1276/9D2DB33FAF75A9E0C12578FE00428158?Open ...
http://www.cisco.com/en/US/products/sw/secursw/ps2086/products_white_pa ...
usw.
Bitte warten ..
Mitglied: Kubaschi
28.01.2014 um 21:36 Uhr
Sooo ich bins dann nochmal ....

Ich komm irgendwie überhaupt nicht weiter und habe kein blassen schimmer woran es liegen kann.
Soweit ich es jetzt verstanden habe, bestätigt der Server den Client und umgekehrt mit Zertifikaten ihre Vertrauenswürdigkeit bei der Methode Eap-Tls, ohne das man groß was umstellt.

Was ich bei meiner Testumgebung nicht verstehe ist, wenn ich das Root Ca am Client installiere reicht es um ihn zu authentifizieren. Der Server will anscheind überhaupt kein Client Zertifikat sehen ?

Hat evt. jmd. ein Tipp wo ich ein Fehler machen könnte ?

Danke für Antworten
Bitte warten ..
Mitglied: kingkong
12.02.2014 um 14:30 Uhr
Schon weitergekommen? Prinzipiell hast Du nämlich schon recht - mit EAP-TLS müssen auf beiden Seiten Zertifikate vorhanden sein, die von der gleichen CA unterschrieben wurden (bzw. irgendwie von der gleichen CA abstammen - geht auch mit Zwischenzertifizierungsstellen). Hast Du vielleicht EAP-TTLS ausgewählt?
Das ist nämlich nicht das gleiche wie EAP-TLS - hier baut der Client quasi wie bei einer HTTPS-Verbindung eine verschlüsselte Verbindung auf und benutzt dazu das Zertifikat, das der Radius-Server ihm präsentiert - der Client selbst braucht aber keins. Innerhalb dieses verschlüsselten Tunnels wird dann das Passwort übertragen, was in verschiedenen Formen möglich ist (z.B. als MD5-Hash, mittels MSCHAP/v2, etc.). PEAP funktioniert übrigens sehr ähnlich...
Bitte warten ..
Mitglied: aqui
12.02.2014 um 16:26 Uhr
Was ich bei meiner Testumgebung nicht verstehe ist, wenn ich das Root Ca am Client installiere reicht es um ihn zu authentifizieren. Der Server will anscheind überhaupt kein Client Zertifikat sehen ?
Das kommt drauf an....!
Hättest du das o.a. Tutorial wirklich einmal nur ansatzweise gelesen wäre diese Frage überflüssig gewesen !!
Du kannst am .1x Client in den Settings anhaken ob eine Server Zertifikatsüberprüfung stattfinden soll oder nicht. In so fern ist es möglich das der Client das Server Zertifikat gar nicht prüft.

Das das natürlich völliger Blödsinn ist das zu deaktivieren sollte auch dir einleuchten ! Die Zertifikatsabfrage ist ja genau dafür da zu verhindern das jemand den Geräten einen "Fremd Radius" unterschiebt und so die Authentisierung aushebelt.
Da kannst du dann auch gleich ein völlig offenes WLAN betreiben.
Es macht nur Sinn das temporär aus Troubleshooting Gründen mal zu entfernen. Dauergaft das zu machen wäre unsinnig und kontraproduktiv zu einem Radius Konzept.

WO bitte genau kommst du denn nun nicht weiter ?? Mit der o.a. Anleitung ist das doch nun wirklich ein Kinderspiel und klappt z.B. auf einem Raspberry Pi auf Anhieb. Bei Winblows sowieso...
Was sagen denn die Radius Logs ?
Eine gute zusätzliche Hilfestellung bietet das hier noch:
http://www.heise.de/netze/artikel/WLAN-sichern-mit-Radius-1075339.html

Das sollte generell für einen Fachinformatiker keine Hürde sein, denn das bekommt auch jeder Laie hin.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
WLan-Authentifizierung über NPS mit EAP-TLS
Frage von KopeckLAN, WAN, Wireless1 Kommentar

Hallo, ich habe folgendes Problem: Ich würde gerne mein WLan mit Hilfe von (Benutzer)Zertifikaten absichern. Habe nun in einer ...

Firewall
PfSense: Freeradius, NUR EAP-TLS
Frage von mrserious73Firewall

Hallo zusammen, gibt's eine Möglichkeit, den Radiusserver in pfSense wirklich NUR EAP-TLS machen zu lassen? Man kann die restlichen ...

LAN, WAN, Wireless
WLAN EAP-TLS mit FreeRadius unsupported certificate
Frage von Phill93LAN, WAN, Wireless6 Kommentare

Hallo, bin hier am verzweifeln. Bekomme von meinem FreeRadius immer die Fehlermeldung "TLS Alert write:fatal:unsupported certificate ". Beide (Radius ...

LAN, WAN, Wireless
PfSense: Freeradius, EAP-TLS, VLAN-Zuordnung
Frage von mrserious73LAN, WAN, Wireless5 Kommentare

Hallo zusammen, ich verwende nun Freeradius auf pfSense, um ein EAP-TLS für's WLAN zu stellen. In Zukunft möchte ich ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 12 StundenBatch & Shell8 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 14 StundenHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...

Batch & Shell
Neuste Datei via PowerShell kopieren
gelöst Frage von kaiuwe28Batch & Shell11 Kommentare

Hallo zusammen, ich hatte mir mit Hilfe der Suche im Forum einen kleinen Code von colinardo rausgesucht und versucht ...