 |
|
|
|
| Autor |
Nachricht |
terror4tec
Anmeldungsdatum: 13.06.2005
Beiträge: 60
Wohnort: Absurdistan
|
 Verfasst am:
Mi 28 Feb, 2007 15:08 |
  |
|
Liebe Gemeinde,
Hat hier schon einmal jemand ein WPA-WLAN mit RADIUS Accounting auf dem 1821 eingerichtet? Geht das überhaupt? Im Handbuchsteht das WPA einen RADIUS Server obsolet macht. Erreicht man dennoch ein kleines Plus an Sicherheit wenn man WPA UND RADIUS kombiniert?
Wer kann etwas Hirn vom Himmel werfen ?
Danke |
_________________
...kann man Administratoren eigentlich einen "guten ab-end" wünschen? ... |
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
Jirka
Moderator
Anmeldungsdatum: 03.01.2005
Beiträge: 1905
Wohnort: Ex-OPAL-Gebiet
|
| Verfasst am:
Mi 28 Feb, 2007 16:26 |
|
|
Hallo terror4tec,
RADIUS-Accounting und Authentifizierung über RADIUS unterscheiden sich etwas, Du scheinst das in einen Topf zu werfen ...
> Geht das überhaupt?
Natürlich geht das.
> Erreicht man dennoch ein kleines Plus an Sicherheit wenn man WPA UND RADIUS kombiniert?
Wenn Du bei WPA einen Key verwendest, der schön viele Zeichen hat (sagen wir mal mind. 15) und nicht einfach zu erraten ist, dann ist das ausreichend sicher.
Wenn Du mehrere Clients hast die nicht alle von Dir sind, könntest Du über LEPS nachdenken, um die Sicherheit zu erhöhen.
Sicherlich erreicht man aber dennoch ein kleines Plus an Sicherheit mit RADIUS oder MAC-Filter (ist ja sicherheitstechnisch das gleiche).
Viele Grüße,
Jirka |
|
|
|
|
cava
Anmeldungsdatum: 26.11.2006
Beiträge: 143
|
| Verfasst am:
Mi 28 Feb, 2007 16:50 |
|
|
Radius und Mac-Filter ist überhaupt nicht das gleiche. Ein Radiusserver authentifiziert einen Client im Netz, am besten mit Zertifikaten. Erst wenn das erfolgreich abgeschlossen ist, bekommt der Client einen WEP- oder WPA-Key, je nachdem, was eingestellt ist. Das ist ein deutliches Plus an Sicherheit, wobei für den Heimgebrauch schon übertrieben. Dort reicht WPA/WPA2 und LEPS bietet auch noch ein kleines Plus an Sicherheit. |
|
|
|
|
Jirka
Moderator
Anmeldungsdatum: 03.01.2005
Beiträge: 1905
Wohnort: Ex-OPAL-Gebiet
|
| Verfasst am:
Mi 28 Feb, 2007 18:34 |
|
|
Hallo cava,
einverstanden. Aber von Zertifikaten hat er nix geschrieben und da habe ich eben die Annahme getroffen, dass er das RADIUS in den LANCOMs (mit WLAN) nutzen will.
Viele Grüße,
Jirka |
|
|
|
|
cava
Anmeldungsdatum: 26.11.2006
Beiträge: 143
|
| Verfasst am:
Mi 28 Feb, 2007 19:10 |
|
|
Der Radius um Lancom bringt nur dann was, wenn ihn andere Lancom APs nutzen (LEPS). Ansonsten greift nur der MAC-Filter, optional mit einem eigenen Passwort pro Client. |
|
|
|
|
LoUiS
Site Admin
Anmeldungsdatum: 07.11.2004
Beiträge: 3989
Wohnort: Aix la Chapelle
|
| Verfasst am:
Mi 28 Feb, 2007 19:55 |
|
|
| Zitat:
|
|
Der Radius um Lancom bringt nur dann was, wenn ihn andere Lancom APs nutzen (LEPS). Ansonsten greift nur der MAC-Filter, optional mit einem eigenen Passwort pro Client.
|
Das stimmt nicht so ganz, der interne Radius Server hat erstmal so mt LEPS nichts zu tun. LEPS sorgt nur auf einem Accesspoint dafuer, das unterschiedlichen Usern unterschiedliche WPA Passphrases zugewiesen werden koennen, welche in der Stationstabelle gespeichert sind, oder halt ueber einen Radius-Server bezogen werden koennen.
In den LANCOM Accesspoints ist aber ein Radius-Server implementiert, ueber den sich WLAN User zentral authentifizieren koennen. Fuer diesen Radius-Server wird dann die Stationsliste als Quelle der erlaubten WLAN Clients benutzt. Andere entfernte APs koennen dann den Radius dieses zentralen AP mitbenutzen, indem man sie in die Radius-Clients Liste eintraegt. Dadurch muss man dann nur noch auf einem Accesspoint die Stationstabelle pflegen. Das ist aber im Refmaual 6.24 unter "16.10 RADIUS" Seite 628ff schoen erklaert.
Ciao
LoUiS |
_________________
| Dr.House hat folgendes geschrieben:
|
Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
|
|
|
  |
|
Jirka
Moderator
Anmeldungsdatum: 03.01.2005
Beiträge: 1905
Wohnort: Ex-OPAL-Gebiet
|
| Verfasst am:
Do 01 März, 2007 12:56 |
|
|
Hallo cava,
man könnte verstehen, was Du meinst, aber mit
| Zitat:
|
|
Der Radius im Lancom bringt nur dann was, wenn
|
hast Du Dich relativ schwammig ausgedrückt ... Mir bringt es schon was, wenn der RADIUS auch nur als MAC-Filter arbeitet. Alle WLAN-Clients können bei mir noch nicht WPA.
Na ja, hat ja LoUiS schon alles geschrieben ...
Viele Grüße,
Jirka |
|
|
|
|
cava
Anmeldungsdatum: 26.11.2006
Beiträge: 143
|
| Verfasst am:
Do 01 März, 2007 19:31 |
|
|
Hallo Jirka,
der Radius-Server ist kein MAC-Filter. Der Radius-Server greift nur auf die Liste im MAC-Filter zu um Anfragen von anderen Access Points zu beantworten. Wenn du den Radius deaktivierst, funktioniert der MAC-Filter genauso. |
|
|
|
|
Jirka
Moderator
Anmeldungsdatum: 03.01.2005
Beiträge: 1905
Wohnort: Ex-OPAL-Gebiet
|
| Verfasst am:
Do 01 März, 2007 22:43 |
|
|
Hallo cava,
vielleicht hab ich mich jetzt auch blöd ausgedrückt ...
Mir ist das schon klar.
Was ich meinte: Wenn jetzt ein LANCOM-AP die Authentifizierung über RADIUS eingestellt hat und als RADIUS-Server die IP eines anderen LANCOM (mit WLAN) angegeben ist, dann funktioniert das ganze wie ein komfortabler MAC-Filter, wenn die WLAN-Clients noch kein WPA können. Und Du meintest ja, dass das nichts bringt, was ja der Aufhänger war. So und der Meinung bin ich nicht.
Viele Grüße,
Jirka |
|
|
|
|
cava
Anmeldungsdatum: 26.11.2006
Beiträge: 143
|
| Verfasst am:
Do 01 März, 2007 23:03 |
|
|
Ich habe geschrieben, dass der Radius nur etwas bringt, wenn ein anderer Lancom AP darauf zugreift. Das ist doch genau das gleiche, das du geschrieben hast. Wenn du nur ein einziges Gerät von Lancom hast, bringt der Radius nichts. |
|
|
|
|
Jirka
Moderator
Anmeldungsdatum: 03.01.2005
Beiträge: 1905
Wohnort: Ex-OPAL-Gebiet
|
| Verfasst am:
Fr 02 März, 2007 00:02 |
|
|
Ok, jetzt hat es Klick gemacht. Das "(LEPS)" von Dir da oben hat mich da völlig irritiert. Ich dachte dass das Deiner Ansicht nach nur was bringt, wenn ihn andere LANCOM APs mit LEPS nutzen und ansonsten (also ohne LEPS) das ganze nur als MAC-Filter fungiert, optional mit einem eigenen Passwort pro RADIUS-Client ... 
Viele Grüße,
Jirka |
|
|
|
|
cava
Anmeldungsdatum: 26.11.2006
Beiträge: 143
|
| Verfasst am:
Fr 02 März, 2007 07:42 |
|
|
Ok, alles klar. Mit LEPS in Klammern meinte ich, dass man das optional zusätzlich nutzen kann. |
|
|
|
|
|
|
|
|
| |
|
|
