fragen zur public spot option

[sbE]

hallo,

auf den lancom-seiten sind ja relativ wenig informationen zur public spot option zu finden und hier im forum bekommt man nur "bröckchenweise" tiefergehende infos heraus.

daher erst einmal allgemeine fragen:

- zur authentifizierung der clients kann der interne radius ODER ein externer verwendet werden, richtig?

- wird die "anmeldewebseite" ausschließlich von einem externen webserver abgerufen (habe im forum nur von dieser möglichkeit gelesen) oder hat der lancom auch eine eingebaute anmeldeseite?

- gibt es eine möglichkeit die public spot option auch für das lan einzusetzen!? könnte mir vorstellen, dass es theoretisch egal ist, über welches medium der http-redirect erfolgt? und die option grundsätzlich auf einem lan-interface zu aktivieren, soll ja laut forum auch gehen...

danke schonmal

[alf29]

Moin,

zur authentifizierung der clients kann der interne radius ODER ein externer verwendet werden, richtig?

Korrekt - wobei bei einer internen Authentifizierung einfach in
eine Tabelle geschaut wird. Das Gerät kann den Inhalt
dieser Tabelle jedoch per RADIUS anderen Geräten zur
Verfügung stellen, so daß man sie nur auf einem Gerät
pflegen muß.

- wird die "anmeldewebseite" ausschließlich von einem externen webserver abgerufen (habe im forum nur von dieser möglichkeit gelesen) oder hat der lancom auch eine eingebaute anmeldeseite?

Für sämtliche Seiten gibt es einen eingebauten Default.

- gibt es eine möglichkeit die public spot option auch für das lan einzusetzen!?

Prinzipiell ja, in der Port-Tabelle kann man die
Authentifizierung für beliebige (W)LAN-Interfaces schalten.
Man muß nur aufpassen, daß keine anderen Dienste mit
über dieses Interface laufen. Wenn übers LAN z.B. auch
ein RADIUS-Server erreicht werden soll, dann hat man ein
Problem - weil der RADIUS-Server sich ja niemals irgendwo
authentifizieren wird...

Gruß Alfred

[kah]

Die lokale Radiusauthentifizierung bieten ja die Lancom APs von Hause aus an. Mit der Public-Spot Option kann man ja die Benutzereingabe per Webinterface abbilden. Für den Einsatz in einem Hotel habe ich ein paar Fragen:

1) Kann man auch mit WPA (802.1x min. TKIP) verschlüsseln?

Meine Vorstellung: WLAN verfügt über 802.1x WPA Verschlüsselung. Ein Gast verbindet sich mit dem WLAN und bekommt ohne PSK eintippen zu müssen als erste Website die Login Seite. Erst nach Eingabe der richtigen Zugangsdaten wird der Zugriff auf das Internet freigegeben.

2) Reicht eine zentrale Public Spot Option, oder muss diese auf jedem AP getrennt die Option freigeschaltet werden?

Kann man zum Beispiel einen 1811 mit der Public Spot Option versehen und dann die übrigen Lancom APs (z.B. L54g) über die Ethernet Ports an den Radius des 1811 hängen? Dabei sollte das unter 1) beschriebene Verfahren gleich funktionieren.

3) Gibt es irgendwelche Beschränkungen pro Public Spot Option?

Für Eure Antwort bedanke ich mich im Voraus.

[alf29]

Moin,

1) Kann man auch mit WPA (802.1x min. TKIP) verschlüsseln?

Meine Vorstellung: WLAN verfügt über 802.1x WPA Verschlüsselung. Ein Gast verbindet sich mit dem WLAN und bekommt ohne PSK eintippen zu müssen als erste Website die Login Seite. Erst nach Eingabe der richtigen Zugangsdaten wird der Zugriff auf das Internet freigegeben.

Das kann nicht funktionieren. Die Public-Spot-Seiten sind aus der Sicht des WLAN ganz normale
Datenpakete, und die laufen erst, wenn ein Client aus Sicht des WLAN im 'Connected'-Status ist -
und den bekommt er bei WPA bzw 802.1x eben erst, wenn dessen Authentifizierung durcgelaufen
ist. Eventuell willst Du auf dem AP zei Netze: eines mit WPA für internen Gebrauch, und ein
offenes für die Gäste, auf dem die Public-Spot-Option läuft (die kann man ja problemlos pro SSID
schalten).

2) Reicht eine zentrale Public Spot Option, oder muss diese auf jedem AP getrennt die Option freigeschaltet werden?

Kann man zum Beispiel einen 1811 mit der Public Spot Option versehen und dann die übrigen Lancom APs (z.B. L54g) über die Ethernet Ports an den Radius des 1811 hängen? Dabei sollte das unter 1) beschriebene Verfahren gleich funktionieren.

Ja, das funktioniert. Die Option kann genauso für die LAN-Ports geschaltet werden, Du mußt dann
nur die 'dummen' APs ohne Option Ethernet-mäßig getrennt zusammenverkabeln, da das ja
praktisch das Netz ist, in das jeder auch ohne Anmeldung reinkommt.

3) Gibt es irgendwelche Beschränkungen pro Public Spot Option?

Du meinst über gegebene Tabellengrößen hinaus? Nein, da gibt es keine Beschränkungen der
Nutzerzahl.

Gruß Alfred

[kah]

Vielen Dank (!!) für die ausführliche und kompetente Antwort. Das heißt 802.1X im klassischen Sinne fällt auf den ersten Blick einmal flach.

Gibt es denn eine andere Möglichkeit, die Public-Spot Option so einzusetzen, dass man weder unverschlüsselt kommunizieren muss noch einen festen, für alle gleichen Schlüssel rausgeben muss?

Unter WinXP gibt es doch für WPA (nicht PSK) auch die Möglichkeit, sich als Gast zu authentifizieren. Damit wäre dann die Verbindung zum WLAN erst einmal für jeden möglich. Dabei sollte doch eigentlich jeder WLAN-Client einen eigenen, dynamischen Schlüssel bekommen. Das Aushandeln muss dann glaube ich über ein Zertifikat (TLS) erfolgen. Da braucht man natürlich ein öffentlich beglaubigtes, sonst käme da wieder eine Fehlermeldung. Von da ab sollte dann die Public Spot Option greifen und erst die Hürde Webanmeldung genommen werden.

Geht sowas?

Danke im Voraus.

[alf29]

Moin,

Du solltest Dich eher fragen, wass eine verschlüsselte Kommunikation ohne entsprechende
Authentifizierung eigentlich wert ist. Natürlich gibt es Verfahren, bei denen zwei Parteien
einen gemeinsamen Schlüssel auswürfeln können (z.B. der klassiche Diffie-Hellman), aber
ohne Authentifizierung weiß man nicht, ob da vielleicht noch ein Dritter sich
dazwischengeklemmt hat.

Bei einfachem WPA-PSK 'authentifiziert' sich die Gegenseite durch Kenntnis des Shared Secret,
nämlich der Passphrase. Bei 802.1x braucht man eben Zertifikate, aber überlege Dir mal ehrlich,
ob dadurch die Sache wirklich einfacher ist. Im übrigen bringen ältere Windows-Versionen nicht
unbedingt 802.1x mit, schon bei 2000 bin ich mir nicht mehr so sicher, ob der Supplicant das alles
kann, und Win2000 ist noch weiter verbreitet als man manchmal denkt. Die Betreiber von
Hotspots haben so schon ihre lieben Probleme, auf sinnvolle Nutzerzahlen zu kommen, da werden
sie tunlichst nichts tun, was dem Anwender die Sache irgendwie verkompliziert oder die potentielle
Nutzerzahl reduziert - deshalb laufen alle öffentlichen Hotspots, die ich kenne, unverschlüsselt.

Bei einem Hotspot für geschlossene Benutzergruppen mit irgendwie gearteter Voranmeldung kann
man natürlich prinzipiell machen was man will, aber dann kann man sich die Public Spot Option
eigentlich gleich sparen, denn dann könnte man die 'echten' Benutzerdaten genauso
gleich im 802.1x übermitteln und sich die nachgeschaltete Anmeldung per Browser sparen.
Benutzerbezogenes Volumen/Zeit-Accounting funktioniert mit dem Accounting im WLAN selber
genauso, und für den Fall einer 802.1x-Anmeldung bekommt der RADIUS-Server im Accounting auch
diesen Namen übermittelt.

Gruß Alfred

[kah]

Nur vorweg, ein gültiges/öffentlich signiertes Zertifikat für unseren Webserver (ebenfalls im eigenen Intranet) liegt vor. Hier sollen dann die Login-Seiten hinterlegt werden und per gültiger HTTPS Verbindung über den AP beim Client angezeigt werden.

Man-in-the-middle Angriffe sind bei unverschlüsselter Kommunikation trivial möglich. Je nach Group-Policy eines Gastes mit Firmennotebook, ist es heute oft ein Problem, eine "unverschlüsselte" Kommunikation per WLAN überhaupt einzurichten. Dies verbietet dann meist die Sicherheitseinstellung von WinXP.

Bei WEP kann der Schlüssel leicht "errechnet" werden. Darüber hinaus existiert hier als auch bei PSK die Gefahr, dass der Schlüssel einfach "weitergegeben" wird. In beiden Fällen ist bei Man-in-the-middle bei bekanntem Passwort ebenfalls ohne Weiteres möglich.

Bei 802.1x kennt zumindest der Gast das "ausgehandelte" Passwort nicht. Außerdem entfällt die Schlüsseleingabe.

Rechtlich könnte es irgendwann mal ein Unterschied sein, wenn eine unverschlüsselte Kommunikation trivial abgehört werden konnte. Mit der Verschlüsselung ohne PSK/const. WEP-Key muss man zumindest nach neuer Rechtssprechung etwas "illegales" machen. Sollte also ein Folgeschaden kommen (MPAA verklagt wegen illegalen Download auf Millionen) kann zumindest darauf verwiesen werden, dass alles mögliche getan wurde.

Mein Wunsch wäre nun:

Im lokalen Radius-Server des AP liegen die Zugangsinfos für den Gastzugang => Jeder kann mit 802.1x und "WinXP anmelden als Gast" eine verschlüsselte Verbindung aufbauen. Man kommt dann im Webbrowser bis zur Login-Seite des Public-Spots, nicht weiter. Die Seiten sind per SSL geschützt. Ein freeradius-Server im Hintergrund hat alle Benutzerkennungen (Eingabe über das Webfrontend). Dem Kunde wird auf Wunsch per Ankunft seine Zugangsdaten ausgedruckt.

Die Frage ist: Können Radius für Public-Spot und Radius für WLAN-Verschlüsselung/Zugang unterschiedlich sein?

Alternativ könnte man den Gast-Zugang auch im freeradius-backend abbilden (username: guest; passwort: leer). Dann müsste man aber irgendwie differenzieren, dass Public-Spot diesen User nicht zur Authetifizierung heranziehen darf (wahrscheinlich schwierig). Ggf. kann man diesen User auch in den lokalen Radius-Server der abbilden, und die Hotelgäste auf dem exteren radius belassen.

Was ist eigentlich der EAP-Server? Ist das nicht der Radius?

[alf29]

Moin,

Nur vorweg, ein gültiges/öffentlich signiertes Zertifikat für unseren Webserver (ebenfalls im eigenen Intranet) liegt vor. Hier sollen dann die Login-Seiten hinterlegt werden und per gültiger HTTPS Verbindung über den AP beim Client angezeigt werden.

Das Zertifikat nützt Dir nichts, weil die
TCP/HTTP(S)-Verbindung zwischen Client und LANCOM ist
und nicht direkt zwischen Client und Eurem Server. Die
HTTP(S)-Verbindung vom LANCOM zu Eurem Server mit
den Seiten ist eine eigene Verbindung.

Im lokalen Radius-Server des AP liegen die Zugangsinfos für den Gastzugang => Jeder kann mit 802.1x und "WinXP anmelden als Gast" eine verschlüsselte Verbindung aufbauen.

Prinzipiell ja, aber die einzige EAP-Methode, die ein
Client-seitiges Paßwort erlaubt und out-of-the-box von
Windows XP unterstützt wird, ist PEAP, und da gibt es
zwischen dem RADIIS/EAP-Server im LANCOM und den
Supplicant von Windows ein bekanntes Problem, für das
ich bis heute keine Lösung habe.

Die Frage ist: Können Radius für Public-Spot und Radius für WLAN-Verschlüsselung/Zugang unterschiedlich sein?

Ja.

Was ist eigentlich der EAP-Server?

Worauf beziehst Du Dich?

Gruß Alfred

[kah]

Das Zertifikat lässt sich aber doch auf den AP hochladen?
Das heißt, zwischen den Clients und dem PublicSpot eine HTTPS Verbindung geht. Unser Zertifikat ist auf einen www.xy.de Hostnamen ausgestellt. Entweder wir kaufen hier ein zusätzliches Zertifikat, oder der DNS-Name www.xy.de wird WLAN(AP)-intern durch den DNS-Server der APs übersteuert (Zertifikat zusätzlich auf dem AP installiert); also DNS Anfrage von intern-WLAN auf den AP bzw. dessen Intranet-IP selbst umgeleitet. Dann wäre zwar die eigene Webseite unter dem Namen von intern nicht erreichbar, egal.

Gehen im Lancom Wildcard-Zertifikate (*.xy.de)?
Falls ja, könnte man diese auf mehreren APs/Einsatzszenarien flexibler einsetzen.

Prinzipiell ja, aber die einzige EAP-Methode, die ein
Client-seitiges Paßwort erlaubt und out-of-the-box von
Windows XP unterstützt wird, ist PEAP, und da gibt es
zwischen dem RADIIS/EAP-Server im LANCOM und den
Supplicant von Windows ein bekanntes Problem, für das
ich bis heute keine Lösung habe.

Das ist schade. MSCHAP; MS..v2 geht auch nicht?
Aber vom Ansatz ist das doch richtig, oder? Jeder WLAN-Client braucht zwar kein eigenen Passwort (das ist ja leer), aber die Verschlüsselung der einzelnen Clients ist dennoch individuell und wird jedes Mal mit einem neuen Sessionkey neu ausgehandelt.

Worauf beziehst Du Dich?

In den Beschreibungen (Datenblatt) zu den AP steht immer getrennt:

RADIUS-Server Integrierter RADIUS-Server zur Verwaltung von MAC-Adress- Listen
EAP-Server Integrierter EAP-Server zur Authentisierung von 802.1x Clients mittels EAP- TLS, EAP-TTLS, PEAP, MSCHAP oder MSCHAPv2

Siehe z.B. http://www.lancom-systems.de/fileadmin/ ... ual_DE.pdf

[alf29]

Moin,

Gehen im Lancom Wildcard-Zertifikate (*.xy.de)?
Falls ja, könnte man diese auf mehreren APs/Einsatzszenarien flexibler einsetzen.

Was in dem Zertifikat an Attributen drinsteht, ist dem LANCOM ziemlich egal - die Gegenseite
muß damit klarkommen.

Das ist schade. MSCHAP; MS..v2 geht auch nicht?

Das meinte ich mit PEAP. Vollständig lautet das Verfahren "PEAP(v0) mit MSCHAPv2".

Aber vom Ansatz ist das doch richtig, oder? Jeder WLAN-Client braucht zwar kein eigenen Passwort (das ist ja leer), aber die Verschlüsselung der einzelnen Clients ist dennoch individuell und wird jedes Mal mit einem neuen Sessionkey neu ausgehandelt.

Ob ein beliebiger Supplicant mit einem leeren Paßwort klarkommt, möchte ich nicht garantieren.
Ich verstehe aber immer noch nicht, wieso Du überhaupt noch Public Spot machen willst, wenn
Du schon 802.1x hochziehen willst. Authentifizierung mit Benutzernamen und Paßwort kann man
genauso mit 802.1x machen, der Public Spot bietet keine zusätzliche Sicherheit.

RADIUS-Server Integrierter RADIUS-Server zur Verwaltung von MAC-Adress- Listen
EAP-Server Integrierter EAP-Server zur Authentisierung von 802.1x Clients mittels EAP- TLS, EAP-TTLS, PEAP, MSCHAP oder MSCHAPv2

Der EAP-Authentication Server (so heißt das vollständig) ist Teil des RADIUS-Servers.

Gruß Alfred

[kah]

Ob ein beliebiger Supplicant mit einem leeren Paßwort klarkommt, möchte ich nicht garantieren.

Schlimmstenfalls gibt es einen zweiten User, bei dem ein einfaches Passwort rein (User wlan, passwort wlan,...) kommt.

Ich verstehe aber immer noch nicht, wieso Du überhaupt noch Public Spot machen willst, wenn
Du schon 802.1x hochziehen willst. Authentifizierung mit Benutzernamen und Paßwort kann man
genauso mit 802.1x machen, der Public Spot bietet keine zusätzliche Sicherheit.

Jeder Benutzer soll einen individuellen Sessionkey bekommen. Dies aber auf eine Weise (PEAP), bei der nicht für jeden User(bzw. dessen MAC) ein eigener WEP-Key oder eine PSK angegeben werden muss. Das Aushandeln/Reykeying soll 802.1x/PEAP selber machen.

Was verspreche ich mir davon?

Kein User (der einmal Zugriff hatte; sich ein WEP-Passwort berechnet hat) kann mit dem WEP-Key Airsnort&Co anwerfen und den Netzverkehr abhören => Somit Schutz für die User erst einmal OK. Trotzdem gibt es kein wirklich komplexes Verfahren, wenn die Verbindung schiefläuft. Ist ein User abgelaufen oder ähnliches, so bekommt er dies im Dialog vom PublicSpot (so meine Hoffnung ) vernünftig angezeigt. Außerdem sieht er dort auch sehr einfach, wieviel Restkontingent er noch hat,...

Zusätzlich werde ich noch eine weitere SSID mitsenden, auf der sich Benutzer auch mit festem WEP oder PSK anmelden können. Die wird aber nur rausgegeben, wenn ein Kunde mit der auszugebenen Anleitung bzw. mit seinem Rechner nicht klar kommt.

Nur um sicher zu gehen.

Ist meine Annahme korrekt, dass zwei unterschiedliche User mit PEAP auch unterschiedliche Sessionkeys bekommen?

und

Du hast oben geschrieben, dass MS-CHAPv2 mit WinXP Out-of-the-box nicht geht. Geht das allgemein nicht (liegt es an Lancom) oder an XP?

Auf jeden Fall nochmal vielen Dank für Deine kompetenten Antworten!!!

[sbE]

Du hast oben geschrieben, dass MS-CHAPv2 mit WinXP Out-of-the-box nicht geht. Geht das allgemein nicht (liegt es an Lancom) oder an XP?

also an die frage muß ich auch nochmal anknüpfen. ich hoffe die aussage gilt nur für den integrierten radius im lancom!? mit einem externen radius-server (wie z.b. der ias von microsoft) sollte PEAP-MSCHAPv2 kein problem sein, oder!?

[sbE]

...und noch 2 fragen zum thema.

1.) es wurde ja schon geklärt, dass man die public spot-option auch auf einem zentralen lancom-router (bzw. auf dessen lan-interface) aktivieren kann und die ap's so läßt wie sie sind.

ich frage mich jetzt ob diese funktionalität eigentlich komplett unabhängig von den verwendeten ap's ist!? die ap's müssen ja eigentlich nur ein offenes wlan anbieten und in dem lan hängen, auf dem die public spot option am lancom-router aktiviert wurde. sehe ich das richtig?


2.) kann man die public spot option gleichzeitig am lan und wlan-interface aktivieren?