Hallo Liebe Community,
ich habe gerade die Aufgabe bekommen ein möglichst sicheres Wlan aufzuspannen. Möglichst sicher weil es ein Wlan für unser Hausnetz der Firma ist.
Bei der Verschlüsselung gibt es nach meinen Nachforschungen 2 gute Varianten, Radius Server mit Zertifikaten oder WPA2 Verschlüsselung, MACfilter und den AP Nachts ausschalten.
Welcher der Beiden Varianten würdet ihr empfehlen?
Das Problem bei der WPA2 Verschlüsselung ist das man den Schlüssel heraustragen könnte und auch Fremde Geräte so Zugriff haben könnten.
Sicheres WLan mit Radius oder WPA2 ??
Moderator: Lancom-Systems Moderatoren
-
dicker2503
- Beiträge: 25
- Registriert: 30 Mär 2011, 09:25
-
dicker2503
- Beiträge: 25
- Registriert: 30 Mär 2011, 09:25
-
dicker2503
- Beiträge: 25
- Registriert: 30 Mär 2011, 09:25
Moin,
die ist eigentlich nur für Hotspot-Szenarien gedacht. Ohne
eigenes (und von einer bekannten CA signiertes)
Gerätezertifikat in der WEBconfig wirst Du die Browser-
Warnungen nicht los, alternativ geht die Anmeldung über
HTTP statt HTTPS, dann gehen aber Benutzername und
Paßwort im Klartext durch die Luft. Des weiteren 'dürfen'
noch nicht angemeldete Clients bei der Public-Spot-
Option schon einiges, was man in einem solchen Szenario
vielleicht nicht haben will (z.B. DNS-Anfragen).
WPA(2)-PSK ist in größeren Installationen in erste Linie
ein Problem, weil alle Benutzer die gleiche Passphrase haben
und man bei einem Mitarbeiter, der die Firma verläßt, diese
auf allen APs und Clients austauschen müßte. LANCOMs
unterstützen LEPS, mit dem man jeder MAC-Adresse eine
eigene Passphrase zuordnen kann, dann muß man nur
irgendwo die Client-MAC-Adressen verwalten, und die
Passphrases sind eigentlich eher an einen Rechner und nicht
einen Benutzer gebunden.
Deshalb landen die meisten Kunden in größeren
Unternehmen irgendwann bei 802.1x. Solange man PEAP
und nicht TLS macht, braucht man nur ein Zertifikat
auf (RADIUS-)Server-Seite und der Aufwand für die CA
hält sich in Grenzen.
Paßwort genauso 'heraustragen'. Streng genommen gilt
das auch für EAP-TLS, das Nutzerzertifikat und der zugehörige
Schlüssel liegen ja auch irgendwo auf dem Client-Rechner...
Gruß Alfred
die ist eigentlich nur für Hotspot-Szenarien gedacht. Ohne
eigenes (und von einer bekannten CA signiertes)
Gerätezertifikat in der WEBconfig wirst Du die Browser-
Warnungen nicht los, alternativ geht die Anmeldung über
HTTP statt HTTPS, dann gehen aber Benutzername und
Paßwort im Klartext durch die Luft. Des weiteren 'dürfen'
noch nicht angemeldete Clients bei der Public-Spot-
Option schon einiges, was man in einem solchen Szenario
vielleicht nicht haben will (z.B. DNS-Anfragen).
WPA(2)-PSK ist in größeren Installationen in erste Linie
ein Problem, weil alle Benutzer die gleiche Passphrase haben
und man bei einem Mitarbeiter, der die Firma verläßt, diese
auf allen APs und Clients austauschen müßte. LANCOMs
unterstützen LEPS, mit dem man jeder MAC-Adresse eine
eigene Passphrase zuordnen kann, dann muß man nur
irgendwo die Client-MAC-Adressen verwalten, und die
Passphrases sind eigentlich eher an einen Rechner und nicht
einen Benutzer gebunden.
Deshalb landen die meisten Kunden in größeren
Unternehmen irgendwann bei 802.1x. Solange man PEAP
und nicht TLS macht, braucht man nur ein Zertifikat
auf (RADIUS-)Server-Seite und der Aufwand für die CA
hält sich in Grenzen.
Bei PEAP können die Leute ihren Benutzernamen samtDas Problem bei der WPA2 Verschlüsselung ist das man den Schlüssel heraustragen könnte und auch Fremde Geräte so Zugriff haben könnten.
Paßwort genauso 'heraustragen'. Streng genommen gilt
das auch für EAP-TLS, das Nutzerzertifikat und der zugehörige
Schlüssel liegen ja auch irgendwo auf dem Client-Rechner...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
dicker2503
- Beiträge: 25
- Registriert: 30 Mär 2011, 09:25
Hey alf, danke erstmal für deine Antwort.
Sie war sehr aufschlussreich.
LEAP hört sich interessant an, weißt du ob man das per AD GP rausbringen kann? Es wäre ja der knaller wenn ich als Wlan Passwort das AD Passwort benutzen könnte oder eine Aufforderung kommt das man sich Computerspezifisch ein PW ausdenkt.
Ansonsten wird Public Spot wohl tatsächlich rausfallen, das könnte man wohl eher für Gäste benutzen die kurz mal ins Netz wollen.
Hast du schonmal eine Radius-Umgebung mit dem Lancom erstellt?
Ich bin gerade dabei und scheitere wohl an den Zertifikaten, ich habe Sie so erstellt wie in der Anleitung. Allerdings schlägt die Authentifizierung am Client fehl =(.
Ich habe folgendes Dokument aus der Knowledge Base verwendet: Zertifikatsbasierte Wlan-.Verbindung mit 802.1x
Hast du Tipps was ich evtl. falsch gemacht haben könnte? Bzw. was man bei der Zertifikatserstellung noch beachten sollte.
Grüße aus dem Norden.
Sie war sehr aufschlussreich.
LEAP hört sich interessant an, weißt du ob man das per AD GP rausbringen kann? Es wäre ja der knaller wenn ich als Wlan Passwort das AD Passwort benutzen könnte oder eine Aufforderung kommt das man sich Computerspezifisch ein PW ausdenkt.
Ansonsten wird Public Spot wohl tatsächlich rausfallen, das könnte man wohl eher für Gäste benutzen die kurz mal ins Netz wollen.
Hast du schonmal eine Radius-Umgebung mit dem Lancom erstellt?
Ich bin gerade dabei und scheitere wohl an den Zertifikaten, ich habe Sie so erstellt wie in der Anleitung. Allerdings schlägt die Authentifizierung am Client fehl =(.
Ich habe folgendes Dokument aus der Knowledge Base verwendet: Zertifikatsbasierte Wlan-.Verbindung mit 802.1x
Hast du Tipps was ich evtl. falsch gemacht haben könnte? Bzw. was man bei der Zertifikatserstellung noch beachten sollte.
Grüße aus dem Norden.
Moin,
Das sollte
gehen, wenn man einen AD-Server verwendet, der auch
gleichzeitig RADIUS-Server ist. Ich *vermute*, mit einem
IAS bekommt man so etwas hin, damit kenne ich mich
aber nicht aus. Der RADIUS-Server im LCOS selber
enthält keinen AD/LDAP-Client.
komplizierte Sache, und Clients liefern so gut wie nie
eine aussagekräftige Fehlermeldung. Fehlerdiagnose
ohne einen RADIUS + EAP + TLS-Trace ist kaum
möglich. ACHTUNG: Trace mit Putty o.ä. händisch
erzeugen, nicht den LANmonitor benutzen, der benutzt
selber Telnet über SSL/TLS, um die Traces abzuholen,
und man baut sich einen Elektronenbeschleuniger...
gängiges Problem ist, daß man auf Client- (Windows-)
Seite das CA-Zertifikat nicht korrekt abgelegt hat, so daß
der Client das Zertifikat des RADIUS-Servers nicht akzeptiert.
Ist aber wie gesagt reine Raterei.
Gruß Alfred
Du meinst hoffentlich PEAP und nicht LEAPLEAP hört sich interessant an, weißt du ob man das per AD GP rausbringen kann? Es wäre ja der knaller wenn ich als Wlan Passwort das AD Passwort benutzen könnte oder eine Aufforderung kommt das man sich Computerspezifisch ein PW ausdenkt.
Das solltegehen, wenn man einen AD-Server verwendet, der auch
gleichzeitig RADIUS-Server ist. Ich *vermute*, mit einem
IAS bekommt man so etwas hin, damit kenne ich mich
aber nicht aus. Der RADIUS-Server im LCOS selber
enthält keinen AD/LDAP-Client.
Dafür ist's gedacht...Ansonsten wird Public Spot wohl tatsächlich rausfallen, das könnte man wohl eher für Gäste benutzen die kurz mal ins Netz wollen.
Das eine oder andere Mal...Hast du schonmal eine Radius-Umgebung mit dem Lancom erstellt?
PEAP mit den ganzen Layern ist leider eine ziemlichIch bin gerade dabei und scheitere wohl an den Zertifikaten, ich habe Sie so erstellt wie in der Anleitung. Allerdings schlägt die Authentifizierung am Client fehl =(.
komplizierte Sache, und Clients liefern so gut wie nie
eine aussagekräftige Fehlermeldung. Fehlerdiagnose
ohne einen RADIUS + EAP + TLS-Trace ist kaum
möglich. ACHTUNG: Trace mit Putty o.ä. händisch
erzeugen, nicht den LANmonitor benutzen, der benutzt
selber Telnet über SSL/TLS, um die Traces abzuholen,
und man baut sich einen Elektronenbeschleuniger...
Ist ohne die Traces wie gesagt ein reines Ratespiel. EinHast du Tipps was ich evtl. falsch gemacht haben könnte? Bzw. was man bei der Zertifikatserstellung noch beachten sollte.
gängiges Problem ist, daß man auf Client- (Windows-)
Seite das CA-Zertifikat nicht korrekt abgelegt hat, so daß
der Client das Zertifikat des RADIUS-Servers nicht akzeptiert.
Ist aber wie gesagt reine Raterei.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
dicker2503
- Beiträge: 25
- Registriert: 30 Mär 2011, 09:25
für die zertifikatserstellung habe ich folgendes Tutorial verwendet:
http://www2.lancom.de/kb.nsf/675ae5e653 ... enDocument
und dann bin ich nach der Anleitung vorgegangen:
http://www2.lancom.de/kb.nsf/0/8CE39818 ... endocument
Wie habe ich das Client zertifikat abzulegen?
Eine Log kann ich nicht erstellen oder?
http://www2.lancom.de/kb.nsf/675ae5e653 ... enDocument
und dann bin ich nach der Anleitung vorgegangen:
http://www2.lancom.de/kb.nsf/0/8CE39818 ... endocument
Wie habe ich das Client zertifikat abzulegen?
Eine Log kann ich nicht erstellen oder?
-
dicker2503
- Beiträge: 25
- Registriert: 30 Mär 2011, 09:25
Moin,
was hast Du denn als EAP-Methode benutzt? Bei TLS ist das nicht erforderlich, da
steht der Benutzername schon im Zertifikat drin. Bei PEAP natürlich schon, die
Benutzer weisen sich ja mit Namen und Paßwort aus.
Gruß Alfred
was hast Du denn als EAP-Methode benutzt? Bei TLS ist das nicht erforderlich, da
steht der Benutzername schon im Zertifikat drin. Bei PEAP natürlich schon, die
Benutzer weisen sich ja mit Namen und Paßwort aus.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
dicker2503
- Beiträge: 25
- Registriert: 30 Mär 2011, 09:25
-
dicker2503
- Beiträge: 25
- Registriert: 30 Mär 2011, 09:25
Moin,
auf dem AP, Logging im Terminalprogramm
einschalten dann vom Client einen Anmeldeversuch
starten. Die Traces kann man natürlich auch vom
LANmonitor aus starten, wenn man Angst vor der
Kommandozeile hat
Gruß Alfred
Code: Alles auswählen
trace + wlan-data @ eapol
trace + eap
einschalten dann vom Client einen Anmeldeversuch
starten. Die Traces kann man natürlich auch vom
LANmonitor aus starten, wenn man Angst vor der
Kommandozeile hat
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
dicker2503
- Beiträge: 25
- Registriert: 30 Mär 2011, 09:25
Angeschaltet ist das Logging nun. Ausglsen habe ich die Tracedatei auch schon,
bloß leider kann ich sie hier nicht hochladen.
http://dl.dropbox.com/u/30439425/Lancom ... 083842.lct
http://dl.dropbox.com/u/30439425/Lancom ... 083842.spf
bloß leider kann ich sie hier nicht hochladen.
http://dl.dropbox.com/u/30439425/Lancom ... 083842.lct
http://dl.dropbox.com/u/30439425/Lancom ... 083842.spf