Liebe Gemeinde,
Hat hier schon einmal jemand ein WPA-WLAN mit RADIUS Accounting auf dem 1821 eingerichtet? Geht das überhaupt? Im Handbuchsteht das WPA einen RADIUS Server obsolet macht. Erreicht man dennoch ein kleines Plus an Sicherheit wenn man WPA UND RADIUS kombiniert?
Wer kann etwas Hirn vom Himmel werfen ?
Danke
LANCOM1821: WLAN+WPA+RADIUS geht das?
Moderator: Lancom-Systems Moderatoren
-
terror4tec
- Beiträge: 64
- Registriert: 13 Jun 2005, 09:30
- Wohnort: Absurdistan
LANCOM1821: WLAN+WPA+RADIUS geht das?
...kann man Administratoren eigentlich einen "guten ab-end" wünschen? ...
Hallo terror4tec,
RADIUS-Accounting und Authentifizierung über RADIUS unterscheiden sich etwas, Du scheinst das in einen Topf zu werfen ...
> Geht das überhaupt?
Natürlich geht das.
> Erreicht man dennoch ein kleines Plus an Sicherheit wenn man WPA UND RADIUS kombiniert?
Wenn Du bei WPA einen Key verwendest, der schön viele Zeichen hat (sagen wir mal mind. 15) und nicht einfach zu erraten ist, dann ist das ausreichend sicher.
Wenn Du mehrere Clients hast die nicht alle von Dir sind, könntest Du über LEPS nachdenken, um die Sicherheit zu erhöhen.
Sicherlich erreicht man aber dennoch ein kleines Plus an Sicherheit mit RADIUS oder MAC-Filter (ist ja sicherheitstechnisch das gleiche).
Viele Grüße,
Jirka
RADIUS-Accounting und Authentifizierung über RADIUS unterscheiden sich etwas, Du scheinst das in einen Topf zu werfen ...
> Geht das überhaupt?
Natürlich geht das.
> Erreicht man dennoch ein kleines Plus an Sicherheit wenn man WPA UND RADIUS kombiniert?
Wenn Du bei WPA einen Key verwendest, der schön viele Zeichen hat (sagen wir mal mind. 15) und nicht einfach zu erraten ist, dann ist das ausreichend sicher.
Wenn Du mehrere Clients hast die nicht alle von Dir sind, könntest Du über LEPS nachdenken, um die Sicherheit zu erhöhen.
Sicherlich erreicht man aber dennoch ein kleines Plus an Sicherheit mit RADIUS oder MAC-Filter (ist ja sicherheitstechnisch das gleiche).
Viele Grüße,
Jirka
Radius und Mac-Filter ist überhaupt nicht das gleiche. Ein Radiusserver authentifiziert einen Client im Netz, am besten mit Zertifikaten. Erst wenn das erfolgreich abgeschlossen ist, bekommt der Client einen WEP- oder WPA-Key, je nachdem, was eingestellt ist. Das ist ein deutliches Plus an Sicherheit, wobei für den Heimgebrauch schon übertrieben. Dort reicht WPA/WPA2 und LEPS bietet auch noch ein kleines Plus an Sicherheit.
Das stimmt nicht so ganz, der interne Radius Server hat erstmal so mt LEPS nichts zu tun. LEPS sorgt nur auf einem Accesspoint dafuer, das unterschiedlichen Usern unterschiedliche WPA Passphrases zugewiesen werden koennen, welche in der Stationstabelle gespeichert sind, oder halt ueber einen Radius-Server bezogen werden koennen.Der Radius um Lancom bringt nur dann was, wenn ihn andere Lancom APs nutzen (LEPS). Ansonsten greift nur der MAC-Filter, optional mit einem eigenen Passwort pro Client.
In den LANCOM Accesspoints ist aber ein Radius-Server implementiert, ueber den sich WLAN User zentral authentifizieren koennen. Fuer diesen Radius-Server wird dann die Stationsliste als Quelle der erlaubten WLAN Clients benutzt. Andere entfernte APs koennen dann den Radius dieses zentralen AP mitbenutzen, indem man sie in die Radius-Clients Liste eintraegt. Dadurch muss man dann nur noch auf einem Accesspoint die Stationstabelle pflegen. Das ist aber im Refmaual 6.24 unter "16.10 RADIUS" Seite 628ff schoen erklaert.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Hallo cava,
man könnte verstehen, was Du meinst, aber mit
Na ja, hat ja LoUiS schon alles geschrieben ...
Viele Grüße,
Jirka
man könnte verstehen, was Du meinst, aber mit
hast Du Dich relativ schwammig ausgedrückt ... Mir bringt es schon was, wenn der RADIUS auch nur als MAC-Filter arbeitet. Alle WLAN-Clients können bei mir noch nicht WPA.Der Radius im Lancom bringt nur dann was, wenn
Na ja, hat ja LoUiS schon alles geschrieben ...
Viele Grüße,
Jirka
Hallo cava,
vielleicht hab ich mich jetzt auch blöd ausgedrückt ...
Mir ist das schon klar.
Was ich meinte: Wenn jetzt ein LANCOM-AP die Authentifizierung über RADIUS eingestellt hat und als RADIUS-Server die IP eines anderen LANCOM (mit WLAN) angegeben ist, dann funktioniert das ganze wie ein komfortabler MAC-Filter, wenn die WLAN-Clients noch kein WPA können. Und Du meintest ja, dass das nichts bringt, was ja der Aufhänger war. So und der Meinung bin ich nicht.
Viele Grüße,
Jirka
vielleicht hab ich mich jetzt auch blöd ausgedrückt ...
Mir ist das schon klar.
Was ich meinte: Wenn jetzt ein LANCOM-AP die Authentifizierung über RADIUS eingestellt hat und als RADIUS-Server die IP eines anderen LANCOM (mit WLAN) angegeben ist, dann funktioniert das ganze wie ein komfortabler MAC-Filter, wenn die WLAN-Clients noch kein WPA können. Und Du meintest ja, dass das nichts bringt, was ja der Aufhänger war. So und der Meinung bin ich nicht.
Viele Grüße,
Jirka
Ok, jetzt hat es Klick gemacht. Das "(LEPS)" von Dir da oben hat mich da völlig irritiert. Ich dachte dass das Deiner Ansicht nach nur was bringt, wenn ihn andere LANCOM APs mit LEPS nutzen und ansonsten (also ohne LEPS) das ganze nur als MAC-Filter fungiert, optional mit einem eigenen Passwort pro RADIUS-Client ... 
Viele Grüße,
Jirka
Viele Grüße,
Jirka