Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wie kann man ein WLAN über EAP-TLS Radius richtig absichern?

Frage Netzwerke LAN, WAN, Wireless

Mitglied: m23lit

m23lit (Level 1) - Jetzt verbinden

10.02.2012, aktualisiert 18.10.2012, 4868 Aufrufe, 4 Kommentare

Hallo zusammen, ich habe hier ein kleines Verständnis Problem:

Ich habe mich nun seit einiger Zeit mit dem Thema WLAN Authentifizierung per Radius befasst.
Mein Ziel ist es unser Firmen WLAN mit WPA2 Enterprise RICHTIG zu verschlüsseln und den Benutzern zu ermöglichen sich mit Benutzername und Passwort am WLAN anzumelden.

Hardwaretechnisch wird ein LANCOM 1823 Router eingesetzt der einen intergrierten Radiius Server hat.

Ich habe so ziemlioch alle Anleitungen die das Netz so her gab durchgelesen und konnte das ganze auch bereits funktionstüchtig umsetzen.
Als Default EAP Authentifizierungsmethode habe ich MSCHAPv2 eingestellt und die EAP-TLS Authentifizierung aktiviert.

Jetzt zu meiner Verständnisfrage:
Wenn ich die WLAN Verbindung beim Client einrichte kann ich unter dem Reiter -> Sicherheit -> Einstellungen
die Serverzertifikatüberprüfung ausschalten.
Wenn dann die richtigen Zugangsdaten für den Radius eingetragen werden funktioniert die WLAN Verbindung einwandfrei.
Aber bedeutet das jetzt dass dadurch Benutzername und Passwort unverschlüsselt übertragen wurden?
Oder dient die Zertifikatsüberprüfung nur zur Authentifizierung des richtigen Access Points?

Ich habe natürlich auch Zertifikate für Router und Client erstellt und dann die Serverzertifikat überprüfung eingeschaltet. Auch das funktioniert einwandfrei.
Aber wenn tatsächlich Benutzername und Passwort unverschlüsslt übertragen würden dann müsste ich die Clients doch auch irgendwie zwingen können dass sowohl ein gültiges Zertifikat als auch Benutzername und Passwort vorliegen müssen.
Gibt es dafür keine eigen Variante bei den ganzen EAP Methoden?

Ich wäre euch sehr dankbar wenn ihr mir zumindest meine Frage bzgl. Verschlüsselung von Benuzername und Passwort beantworten könntet.
Vielen Dank schonmal!
Mitglied: aqui
10.02.2012, aktualisiert 18.10.2012
Guckst du hier:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
Das beantwortet dir alle Fragen...
Die Zertifikatsüberprüfung betrifft den Radius, damit keiner einen anderen dazwischen schieben kann. Steht aber auch in den Thread antworten.
Bitte warten ..
Mitglied: m23lit
10.02.2012 um 17:41 Uhr
Vielen Dank für die schnelle Antwort.
Habe mir das HowTo in Ruhe durchgelesen aber mein beiden Fragen beantwortet das leider nicht.
Den CT Artikel hatte ich auch schon gelesen aber auch dort wird meine Frage nicht beantwortet.

1) Bedeutet das deaktivieren der Serverzertifikat Überpüfung dass das Kennwort unverschlüsselt übertragen wird?
2) Gibt es eine Möglichkeit dass man sowohl Benutzername/Passwort als auch ein gültiges Zertifikat benötigt um authentifiziert zu werden?
Bitte warten ..
Mitglied: aqui
10.02.2012 um 22:37 Uhr
ad 1:
Nein, bitte lies den Radius RFC dann weisst du es ! Radius Authorisation Requests bzws Replies sind immer verschlüsselt auch ohne Zertifikat !
Wozu müsstest du sonst in den Device Konfig Files wohl ein Password für den Client (AP oder Controller) angeben !?!
ad 2.
Ja, genau das beschreibt doch das Tutorial ! Du kannst den Zertifikatstest erzwingen. Damit müssen beide Bedingungen User/Pass und Zertifikat erfüllt sein.
Macht ja auch Sinn damit dir nicht jemand einen falschen Authentisierungs Server "unterschiebt" ! Ohne Zertifikatstest ist das einfach möglich !
Steht doch alles so im Tutorial auch im 802.1x Teil, oder hast du das nicht gelesen...
Bitte warten ..
Mitglied: m23lit
18.11.2012 um 11:28 Uhr
Alles klar, vielen Dank für eure Antworten!
Bitte warten ..
Ähnliche Inhalte
Firewall
PfSense: Freeradius, NUR EAP-TLS

Frage von mrserious73 zum Thema Firewall ...

LAN, WAN, Wireless
WLAN EAP-TLS mit FreeRadius unsupported certificate (3)

Frage von Phill93 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
PfSense: Freeradius, EAP-TLS, VLAN-Zuordnung (5)

Frage von mrserious73 zum Thema LAN, WAN, Wireless ...

Windows Server
RADIUS Authentifizierung in WLAN (7)

Frage von osze90 zum Thema Windows Server ...

Neue Wissensbeiträge
Windows Server

Umstellung SHA 1 auf SHA 2 - Migration der CA von CSP auf KSP

Tipp von Badger zum Thema Windows Server ...

Windows 10

Quato DTP94 unter Windows 10 x64 installieren und verwenden

Anleitung von anteNope zum Thema Windows 10 ...

Windows 10

Win10 1703 und Nutzerkennwörter bei Ersteinrichtung - erstaunliche Erkenntnis

(15)

Erfahrungsbericht von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 im Unternehmen? (26)

Frage von zorlayan zum Thema Windows 10 ...

LAN, WAN, Wireless
Ping u. DNS geht am Rechner nicht mehr (19)

Frage von Kuemmel zum Thema LAN, WAN, Wireless ...

Festplatten, SSD, Raid
Raid 1 2 SSD mit Windows Server 2016 (17)

Frage von jaywee zum Thema Festplatten, SSD, Raid ...

Voice over IP
Über Fritzfax over IP gehen nur einige Faxe (12)

Frage von shearer9 zum Thema Voice over IP ...