Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wie kann man ein WLAN über EAP-TLS Radius richtig absichern?

Frage Netzwerke LAN, WAN, Wireless

Mitglied: m23lit

m23lit (Level 1) - Jetzt verbinden

10.02.2012, aktualisiert 18.10.2012, 4836 Aufrufe, 4 Kommentare

Hallo zusammen, ich habe hier ein kleines Verständnis Problem:

Ich habe mich nun seit einiger Zeit mit dem Thema WLAN Authentifizierung per Radius befasst.
Mein Ziel ist es unser Firmen WLAN mit WPA2 Enterprise RICHTIG zu verschlüsseln und den Benutzern zu ermöglichen sich mit Benutzername und Passwort am WLAN anzumelden.

Hardwaretechnisch wird ein LANCOM 1823 Router eingesetzt der einen intergrierten Radiius Server hat.

Ich habe so ziemlioch alle Anleitungen die das Netz so her gab durchgelesen und konnte das ganze auch bereits funktionstüchtig umsetzen.
Als Default EAP Authentifizierungsmethode habe ich MSCHAPv2 eingestellt und die EAP-TLS Authentifizierung aktiviert.

Jetzt zu meiner Verständnisfrage:
Wenn ich die WLAN Verbindung beim Client einrichte kann ich unter dem Reiter -> Sicherheit -> Einstellungen
die Serverzertifikatüberprüfung ausschalten.
Wenn dann die richtigen Zugangsdaten für den Radius eingetragen werden funktioniert die WLAN Verbindung einwandfrei.
Aber bedeutet das jetzt dass dadurch Benutzername und Passwort unverschlüsselt übertragen wurden?
Oder dient die Zertifikatsüberprüfung nur zur Authentifizierung des richtigen Access Points?

Ich habe natürlich auch Zertifikate für Router und Client erstellt und dann die Serverzertifikat überprüfung eingeschaltet. Auch das funktioniert einwandfrei.
Aber wenn tatsächlich Benutzername und Passwort unverschlüsslt übertragen würden dann müsste ich die Clients doch auch irgendwie zwingen können dass sowohl ein gültiges Zertifikat als auch Benutzername und Passwort vorliegen müssen.
Gibt es dafür keine eigen Variante bei den ganzen EAP Methoden?

Ich wäre euch sehr dankbar wenn ihr mir zumindest meine Frage bzgl. Verschlüsselung von Benuzername und Passwort beantworten könntet.
Vielen Dank schonmal!
Mitglied: aqui
10.02.2012, aktualisiert 18.10.2012
Guckst du hier:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
Das beantwortet dir alle Fragen...
Die Zertifikatsüberprüfung betrifft den Radius, damit keiner einen anderen dazwischen schieben kann. Steht aber auch in den Thread antworten.
Bitte warten ..
Mitglied: m23lit
10.02.2012 um 17:41 Uhr
Vielen Dank für die schnelle Antwort.
Habe mir das HowTo in Ruhe durchgelesen aber mein beiden Fragen beantwortet das leider nicht.
Den CT Artikel hatte ich auch schon gelesen aber auch dort wird meine Frage nicht beantwortet.

1) Bedeutet das deaktivieren der Serverzertifikat Überpüfung dass das Kennwort unverschlüsselt übertragen wird?
2) Gibt es eine Möglichkeit dass man sowohl Benutzername/Passwort als auch ein gültiges Zertifikat benötigt um authentifiziert zu werden?
Bitte warten ..
Mitglied: aqui
10.02.2012 um 22:37 Uhr
ad 1:
Nein, bitte lies den Radius RFC dann weisst du es ! Radius Authorisation Requests bzws Replies sind immer verschlüsselt auch ohne Zertifikat !
Wozu müsstest du sonst in den Device Konfig Files wohl ein Password für den Client (AP oder Controller) angeben !?!
ad 2.
Ja, genau das beschreibt doch das Tutorial ! Du kannst den Zertifikatstest erzwingen. Damit müssen beide Bedingungen User/Pass und Zertifikat erfüllt sein.
Macht ja auch Sinn damit dir nicht jemand einen falschen Authentisierungs Server "unterschiebt" ! Ohne Zertifikatstest ist das einfach möglich !
Steht doch alles so im Tutorial auch im 802.1x Teil, oder hast du das nicht gelesen...
Bitte warten ..
Mitglied: m23lit
18.11.2012 um 11:28 Uhr
Alles klar, vielen Dank für eure Antworten!
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
WLAN EAP-TLS mit FreeRadius unsupported certificate (3)

Frage von Phill93 zum Thema LAN, WAN, Wireless ...

Verschlüsselung & Zertifikate
gelöst WLAN Gerät über RADIUS an NPS Server wird abgelehnt (5)

Frage von derLenhart zum Thema Verschlüsselung & Zertifikate ...

LAN, WAN, Wireless
PfSense: Freeradius, EAP-TLS, VLAN-Zuordnung (5)

Frage von mrserious73 zum Thema LAN, WAN, Wireless ...

Firewall
PfSense: Freeradius, NUR EAP-TLS

Frage von mrserious73 zum Thema Firewall ...

Neue Wissensbeiträge
Windows 10

Windows 8.x oder 10 Lizenz-Key aus dem ROM auslesen mit Linux

Tipp von Lochkartenstanzer zum Thema Windows 10 ...

Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(38)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
POS Hardware und alternativen zu Raid 1? (21)

Frage von Brotkasten zum Thema Festplatten, SSD, Raid ...

Viren und Trojaner
Verschlüsselungstrojaner simulieren (18)

Frage von AlbertMinrich zum Thema Viren und Trojaner ...

Ubuntu
gelöst Nextcloud 12 Antivirus App for Files (10)

Frage von horstvogel zum Thema Ubuntu ...

SAN, NAS, DAS
+100tb Storagelösung (10)

Frage von Data-Fabi zum Thema SAN, NAS, DAS ...