Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WLan Authentifizierung über Freeradius mit EAP und ldap

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Kubaschi

Kubaschi (Level 1) - Jetzt verbinden

22.01.2014 um 09:12 Uhr, 2773 Aufrufe, 6 Kommentare

Hallo zusammen,

Ich bin neuer Azubi als Fachinformatiker und habe gleich eine knackige Aufgabe von meinem Chef gestellt bekommen.
Das Firmen interne WLan ist mehr als nur schlecht gesichert und meine Aufgabe ist es nun eine gute Lösung vorzustellen, wie wir das ganze anders lösen können.

Nun zu meinem Plan:

Ich möchte mittles Access Points und Repeatern das WLan "durch" die Firma verteilen und die Anmeldung soll über einen von mir konfiguriertem FreeRadius Server über die in unserer Firma vorhanden OpenLdap Datenbank erfolgen.
Dabei soll alles durch OpenSSL Zertifikate gesichert werden.

Was ich bisher hinbekomme ist das sich ein nutzer mit seinen Ldap Daten am Access Point anmeldet und wenn auf dem zu verbindendem Gerät das von mir erstellte ca Zertifikat vorhanden ist klappt auch alles soweit.

Eig. sollte es das ja sein, aber das reicht mir noch nicht ganz an Sicherheit. Deshalb meine frage:

Gibt es die Möglichkeit am FreeRadius Server Einstellungen zu machen das der Client der ins WLan möchte nicht nur das ca Zertifikat benötigt, sondern auch ein Client Zertifikat das mit dem ca.key "unterschrieben" wurde ? Sodass fals ein Laptop geklaut wird oder ein Mitarbeiter aus der Firma ausscheidet, man nur noch das Zertifikat des Clients sperren braucht und das Gerät dann nicht mehr ins WLan kommt ?

Danke für Antworten im voraus
Mitglied: aqui
22.01.2014 um 10:20 Uhr
Die entsprechenden Forums Tutorials zu dem Thema hier hast du alle gelesen ??
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
und
http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802-1x ...
und als Plattform für den FreeRadius:
http://www.administrator.de/wissen/netzwerk-management-server-mit-raspb ...

Das sollte (fast) alle Fragen beantworten. Und Ja...du kannst auch mit Client Zertifikaten arbeiten musst dann aber EAP-TLS verwenden.
Bitte warten ..
Mitglied: Kubaschi
22.01.2014 um 12:26 Uhr
Danke erstmal für die schnelle Antwort.
Die ersten beiden Links bin ich am Anfang meines "Experiments" schon mal durchgegangen und hat mir auch sehr weiter geholfen. Bin es jetzt nochmal überflogen. In den beiden Tutorials geht es ja mehr oder weniger um das was ich bisher eingerichtet habe, aber weniger um die Einstellung der Client Zertifikate. Nach meinem Verständnis müsste es ja eig. reichen den "EAP-TLS-REQUIRE-CLIENT-CERT = Yes" aus den Kommentaren zu entfernen, laut den Kommentaren in der Config setzt Peap dann ein Client Cert vorraus. Nur irgendwie will es nicht so recht funktionieren. Bin mir nicht sicher ob ich was bei den Zertifikaten falsch mache oder am Freeradius Server noch andere Dinge einstellen muss.

Zu deinem dritten Link, um ein Bediener freundliches Front-End für die ganze Geschichte wollte ich mich kümmern, wenn ich das alles 100% über die Kommandozeile hinkriege
Bitte warten ..
Mitglied: aqui
22.01.2014, aktualisiert um 14:30 Uhr
Du hast Recht...auf Client Zertifikate geht das Tutorial nicht im Detail ein. Ist mal ne Anregung für die Erweiterung
Es gibt im Web aber ne Menge Anleitungen. Einfach mal nach User Certificate suchen....
Da kommt schon was Grundlegendes wie z.B. hier:
https://www2.lancom.de/kb.nsf/1276/9D2DB33FAF75A9E0C12578FE00428158?Open ...
http://www.cisco.com/en/US/products/sw/secursw/ps2086/products_white_pa ...
usw.
Bitte warten ..
Mitglied: Kubaschi
28.01.2014 um 21:36 Uhr
Sooo ich bins dann nochmal ....

Ich komm irgendwie überhaupt nicht weiter und habe kein blassen schimmer woran es liegen kann.
Soweit ich es jetzt verstanden habe, bestätigt der Server den Client und umgekehrt mit Zertifikaten ihre Vertrauenswürdigkeit bei der Methode Eap-Tls, ohne das man groß was umstellt.

Was ich bei meiner Testumgebung nicht verstehe ist, wenn ich das Root Ca am Client installiere reicht es um ihn zu authentifizieren. Der Server will anscheind überhaupt kein Client Zertifikat sehen ?

Hat evt. jmd. ein Tipp wo ich ein Fehler machen könnte ?

Danke für Antworten
Bitte warten ..
Mitglied: kingkong
12.02.2014 um 14:30 Uhr
Schon weitergekommen? Prinzipiell hast Du nämlich schon recht - mit EAP-TLS müssen auf beiden Seiten Zertifikate vorhanden sein, die von der gleichen CA unterschrieben wurden (bzw. irgendwie von der gleichen CA abstammen - geht auch mit Zwischenzertifizierungsstellen). Hast Du vielleicht EAP-TTLS ausgewählt?
Das ist nämlich nicht das gleiche wie EAP-TLS - hier baut der Client quasi wie bei einer HTTPS-Verbindung eine verschlüsselte Verbindung auf und benutzt dazu das Zertifikat, das der Radius-Server ihm präsentiert - der Client selbst braucht aber keins. Innerhalb dieses verschlüsselten Tunnels wird dann das Passwort übertragen, was in verschiedenen Formen möglich ist (z.B. als MD5-Hash, mittels MSCHAP/v2, etc.). PEAP funktioniert übrigens sehr ähnlich...
Bitte warten ..
Mitglied: aqui
12.02.2014 um 16:26 Uhr
Was ich bei meiner Testumgebung nicht verstehe ist, wenn ich das Root Ca am Client installiere reicht es um ihn zu authentifizieren. Der Server will anscheind überhaupt kein Client Zertifikat sehen ?
Das kommt drauf an....!
Hättest du das o.a. Tutorial wirklich einmal nur ansatzweise gelesen wäre diese Frage überflüssig gewesen !!
Du kannst am .1x Client in den Settings anhaken ob eine Server Zertifikatsüberprüfung stattfinden soll oder nicht. In so fern ist es möglich das der Client das Server Zertifikat gar nicht prüft.

Das das natürlich völliger Blödsinn ist das zu deaktivieren sollte auch dir einleuchten ! Die Zertifikatsabfrage ist ja genau dafür da zu verhindern das jemand den Geräten einen "Fremd Radius" unterschiebt und so die Authentisierung aushebelt.
Da kannst du dann auch gleich ein völlig offenes WLAN betreiben.
Es macht nur Sinn das temporär aus Troubleshooting Gründen mal zu entfernen. Dauergaft das zu machen wäre unsinnig und kontraproduktiv zu einem Radius Konzept.

WO bitte genau kommst du denn nun nicht weiter ?? Mit der o.a. Anleitung ist das doch nun wirklich ein Kinderspiel und klappt z.B. auf einem Raspberry Pi auf Anhieb. Bei Winblows sowieso...
Was sagen denn die Radius Logs ?
Eine gute zusätzliche Hilfestellung bietet das hier noch:
http://www.heise.de/netze/artikel/WLAN-sichern-mit-Radius-1075339.html

Das sollte generell für einen Fachinformatiker keine Hürde sein, denn das bekommt auch jeder Laie hin.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
LAN, WAN, Wireless
Hat On Networks PL500PS WLAN-Funktion? (4)

Frage von Andy1987 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Datenbankverbindung über WLAN? (5)

Frage von flyingKangaroo zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...