pillermann2000
Goto Top

WLAN mit Radius und EAP-MSCHAP v2 WPA

Hallo

Ich bin gerade daran die WLAN Umgebung etwas sicherer zu machen.
WPA mit PSK gibt es bereits.

Ich habe auf der Testumgebung nun EAP-MSCHAP v2 mit WPA.
Könnte ich das noch sicherer machen außer mit WPA 2 (Clientumstellugn kommt erst gegen Anfang nächstes Jahres)
und auch ohne Clientzertifikate da erst Ende dieses Jahres eine neue CA aufgezogen wird und dann müßte man das ja zweimal machen.

Deshalb meine Frage gibt es was sicheres wie des was ich bereits habe und des was ich noch nicht machen kann?

Dann noch eine weitere Frage es gibt ja 3 Szenarien.
- Ein Gast will ins WLAN
-> hierfür würde ich ein extra VLAN mit WPA-PSK machen das dann immer wieder geändert wird.

- Ein Domänenmitglied will mit dem Domänenuser ins WLAN
-> geht ja mit dem oben genannten

- User geht mit dem lokalen Benutzer ins WLAN
-> hier ist mein Probelm ich kann in den Eintellungen ja einstellen das man den USER zu Authentifikation manuel eingeben kann, das geht auch soweit nur wird dieser User gespeichert. Sprich wenn mehrere Leute ein Laptop nutzen und den gleichen lokalen Benutzer benutzen dann braucht der zweite sich nicht mehr authentifizieren da er es ja schon ist. Gibt es eine Mölichkeit den User automatisch oder notfalls per Hand schnell zu löschen so das es jedes mal wenn man sich im Windows anmeldet eingegeben werden muß.

Gibt es sonst noch was auf das ich achten solte??

Danke

Content-Key: 36244

Url: https://administrator.de/contentid/36244

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: Metzger-MCP
Metzger-MCP 19.07.2006 um 14:40:18 Uhr
Goto Top
Hallo
Ich bin gerade daran die WLAN Umgebung etwas sicherer zu machen.
WPA mit PSK gibt es bereits. Ich habe auf der Testumgebung nun EAP-MSCHAP v2
mit WPA. Könnte ich das noch sicherer machen

Sofern noch nicht geschehen Datenverschlüsselung mit IPSEC face-smile

Deshalb meine Frage gibt es was sicheres wie des was ich bereits habe und des
was ich noch nicht machen kann?
Dann noch eine weitere Frage es gibt ja 3 Szenarien.

- Ein Gast will ins WLAN -> hierfür würde ich ein extra VLAN mit WPA-PSK machen das
dann immer wieder geändert wird.

Da wäre vielleicht ein eigenes Netzwerksegment sicherer ( eigene IP + WLAN Punkt + SSID ...)

- Ein Domänenmitglied will mit dem Domänenuser ins WLAN -> geht ja mit dem oben
genannten.

- User geht mit dem lokalen Benutzer ins WLAN -> hier ist mein Probelm ich kann in den
Eintellungen ja einstellen das man den USER zu Authentifikation manuel eingeben kann,
das geht auch soweit nur wird dieser User gespeichert.

Wäre doch eigentlich OK oder ? Sonst müßte man die Infos doch an dem Rechner immer wieder eingeben. Da gibt es aber eine Möglichkeit das abzustellen. Weis auf anhieb aber nicht wo.

Sprich wenn mehrere Leute ein Laptop nutzen und den gleichen lokalen Benutzer
benutzen dann braucht der zweite sich nicht mehr authentifizieren da er es ja schon
ist.

? das lese ich zum ersten mal. Jeder User muss sich an jedem Gerät immer neuanmelden. Egal an welchem Gerät er sich auch immer anmeldet hat. Windows vergibt Informationstoken mit allen Informationen die für das Netzwerk von nöten sind.
( Kerberos Authentifizierung ). Sonst dürfte man sich ja nicht als Administrator anmelden, sonst hatt ja jeder sofrt den User Verfügbar ...

Gibt es eine Mölichkeit den User automatisch oder notfalls per Hand schnell zu löschen
so das es jedes mal wenn man sich im Windows anmeldet eingegeben werden muß.

Wieso löschen ? das macht doch kein Sinn. Dann könnte doch der erste User nicht mehr arbeiten. Automatisch trennen, das macht doch noch viel weniger Sinn. Ich arbeite an einer Exceltabelle, die Verbindung wird getrennt und die Daten sind dann ggf Futsch ? Ich als User würde dich dann erschlagen. Du kannst zwa eine Verbindung trennen, aber ein Anmeldeuser " USER1 " darf genau das gleiche bei Benutzer 1 wie bei Benutzer 2.


Hmmmm aber ansonsten ist das eine sehr interressante Frage face-smile

MFG Metzger
Mitglied: pillermann2000
pillermann2000 19.07.2006 um 15:41:52 Uhr
Goto Top
du hast mich misverstanden bzw. ich habe das nicht genau beschrieben wie ich das meine.

der User muß sich natürlich beim Windows anmelden also mit dem lokalen User.
Nur ist dann die WLAN authentifikation vom vorrigen (wenn es der gleiche lokale User ist) noch gespeichert.

Sprich oft wird ja mit dem selben admin gearbeitet lokal auf dem rechner.
dieser authentifiziert sich am Radius und kommt ins WLAN.
Fährt den LAptopn runter.

Am nächsten Tag nimmt jemand anderes den Laptop und meldet sich ebenfalls mit dem Admin an und der hat dann die authentifizierungsdaten (Domäne, User, Passwort) von dem Benutzer der sich als erstes beim Radius authentifiziert hat. Genauer gesagt geht der PC ja direkt mit diesen Daten isn WLAN.

Und das ist das was ich nicht will, den nicht jeder der die Admindaten hat soll auch unbedingt ins WLAN bzw. sehe ich es dann auch nicht wer sich anmeldet da er ja mit dem falschen Namen/Daten (dem vom Vortag) ins WLAN geht.

ich hoffe ihr wisst nun was ich meine