123788
Jun 22, 2021
2111
15
0
WLAN-Absicherung im Privatbereich: PSK vs. Radius vs. ?
Hallo zusammen,
ich nutze mein privates WLAN mit div. Clients nun schon eine ganze Weile in Verbindung mit freeradius.
Mir geht es dabei vor allem auch um die Möglichkeit, die Clients in verschiedene VLANs einzusortieren.
Bei der Nutzung von PSK ist das ja, soweit mir bekannt, nur möglich, wenn man entweder verschiedene SSIDs auf macht oder - ebenfalls per Radius - die Clients z.B. anhand ihrer MAC-Adresse den VLANs zuordnet.
Ich bin ansich ganz glücklich mit der Lösung, die Zertifikate auf die einzelnen Geräte zu verteilen, nun ist das aber a) recht viel Aufwand und b) gibt es immer mal wieder Geräte, die dabei Schwierigkeiten bereiten.
Wie handhabt ihr das? Mir sind die VLANs wichtig und ich möchte - z.B. in Zeiten von Homeoffice - nicht fremd-verwaltete Geräte in mein internes LAN lassen, sondern sie einfach abgeschottet vom Rest in einem separaten VLAN betreiben.
ich nutze mein privates WLAN mit div. Clients nun schon eine ganze Weile in Verbindung mit freeradius.
Mir geht es dabei vor allem auch um die Möglichkeit, die Clients in verschiedene VLANs einzusortieren.
Bei der Nutzung von PSK ist das ja, soweit mir bekannt, nur möglich, wenn man entweder verschiedene SSIDs auf macht oder - ebenfalls per Radius - die Clients z.B. anhand ihrer MAC-Adresse den VLANs zuordnet.
Ich bin ansich ganz glücklich mit der Lösung, die Zertifikate auf die einzelnen Geräte zu verteilen, nun ist das aber a) recht viel Aufwand und b) gibt es immer mal wieder Geräte, die dabei Schwierigkeiten bereiten.
Wie handhabt ihr das? Mir sind die VLANs wichtig und ich möchte - z.B. in Zeiten von Homeoffice - nicht fremd-verwaltete Geräte in mein internes LAN lassen, sondern sie einfach abgeschottet vom Rest in einem separaten VLAN betreiben.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 766939509
Url: https://administrator.de/contentid/766939509
Printed on: April 26, 2024 at 10:04 o'clock
15 Comments
Latest comment
Moin,
ich habe das hier zuhause mit einem internen WLAN und einem separaten für Gäste gelöst. Beide verpackt in jeweils einem separaten VLAN.
Gruß
Uwe
ich habe das hier zuhause mit einem internen WLAN und einem separaten für Gäste gelöst. Beide verpackt in jeweils einem separaten VLAN.
Gruß
Uwe
Ja, das machen glaub ich recht viele so.
Mein Problem ist: Recht viele Geräte, daher recht viele VLANs.
Ich müsste also div. SSIDs auf machen, was nicht wirklich eine Lösung ist.
Denke momentan über radius+MAC nach, das Einzige, was mir daran nicht gefällt: Die MAC ist nicht geheim und kann außerdem von jedem draußen probemlos gesniffed werden.
Mein Problem ist: Recht viele Geräte, daher recht viele VLANs.
Ich müsste also div. SSIDs auf machen, was nicht wirklich eine Lösung ist.
Denke momentan über radius+MAC nach, das Einzige, was mir daran nicht gefällt: Die MAC ist nicht geheim und kann außerdem von jedem draußen probemlos gesniffed werden.
Ich habe zuhause 3 Vlan für WLAN Netze. Jedes WLAN mit eigenem Passwort entsprechender Länge und Komplexität. Radius zuhause halte ich für übertrieben wegen der Zertifikate.
Ja genau! Der Aufwand der Zertifikate ist es ja auch, der mich momentan am meisten stört.
Radius zuhause halte ich für übertrieben wegen der Zertifikate.
Das ist Unsinn, denn der Einsatz von Radius benötigt niemals zwingend auch Zertifikate. Wie kommst du auf sowas ?
Man kann es auch mit TTLS machen, also Benutzername+Passwort... aber ist das nicht mindestens ähnlich aufwendig?
Klar: Das User-Zertifikat muss nicht mehr auf jedem Gerät installiert werden. Aber das CA-Cert ja dennoch?
Klar: Das User-Zertifikat muss nicht mehr auf jedem Gerät installiert werden. Aber das CA-Cert ja dennoch?
aber ist das nicht mindestens ähnlich aufwendig?
Na ja die Frage ist was du letztlich erreichen willst ?? Sicherheit und Aufwand sind immer gegesätliche Kurven und du musst selber den Schnittpunkt bestimmen. Wasch mich aber mach mich nicht naß gibt es nicht.
Das ist wahr ;)
Aber wenn ich das recht verstehe, ist TTLS ohne das CA-Cert auf den Clients ja auch nicht sonderlich sicher.
Zumindest im Vergleich zu echtem TLS, wo CA- und User-Zert auf den Geräten installiert sind.
Aber wenn ich das recht verstehe, ist TTLS ohne das CA-Cert auf den Clients ja auch nicht sonderlich sicher.
Zumindest im Vergleich zu echtem TLS, wo CA- und User-Zert auf den Geräten installiert sind.
Moin,
wenn es um die Sicherheit geht, richte ich beim Kunden immer Zert+UserAuth ein. Im weitesten Sinn ist dies ja eine zwei Faktor Authentifizierung.
Bei mir zuhause habe irgend wann angefangen nur einzelne SSIDs zu verwenden. Allerdings hat das bei mir nun zur Folge, das ich gut 7 Netze ausstrahle.
Ist schon ein wenig viel geworden. Zum Teil bin ich schon auf Mikrotik Geräte auf beiden Seiten umgestiegen nachdem ich verstanden habe, weswegen mein Wireless-Vlan-Bridging nicht funktioniert hat.
Gruß
Spirit
wenn es um die Sicherheit geht, richte ich beim Kunden immer Zert+UserAuth ein. Im weitesten Sinn ist dies ja eine zwei Faktor Authentifizierung.
Bei mir zuhause habe irgend wann angefangen nur einzelne SSIDs zu verwenden. Allerdings hat das bei mir nun zur Folge, das ich gut 7 Netze ausstrahle.
Ist schon ein wenig viel geworden. Zum Teil bin ich schon auf Mikrotik Geräte auf beiden Seiten umgestiegen nachdem ich verstanden habe, weswegen mein Wireless-Vlan-Bridging nicht funktioniert hat.
Gruß
Spirit
Allerdings hat das bei mir nun zur Folge, das ich gut 7 Netze ausstrahle.
Was recht kontraproduktiv ist, denn es geht massiv auf Kosten der Airtime. Die Airtime ist ein einem begrenzten und gesharten Medium WLAN immer eine feste Größe. Bei dir müssen in diesem Zeitslot nun 7 mal die kompletten Management Daten für die Clients für 7 MSSIDs ausgestrahlt werden. Bei entsprechender Client Anzahl bleibt da nicht mehr viel über für die eigentlichen Produktivdaten. Deshalb sollte man in einem MSSID Design niemals mehr als 3 vielleicht noch 4 MSSIDs nutzen sofern man Wert auf WLAN Performance legt.Besser, da skalierbarer, ist dann immer die Userverwaltung mit dynamischen VLANs. So strahlt man nur eine einzige SSID aus und hat trotzdem eine sinnvolle Segmentierung in unterschiedliche Netze.
Richtig, zu viele SSIDs sind - aus genau dem Grunde - für mich auch keine Option.
Möchte maximal zwei: Ein internes und ein 0815-PSK-Netz für Gäste (separiertes VLAN, darf nur Surfen).
Die VLAN-Segmentierung bekommt man dann wohl nur über Radius hin.
Was haltet ihr denn von der Variante mit MAC-Auth? Denn wie ich oben schon schrieb: In meinem Vorgarten zu sitzen und sich ein paar meiner MACs aufzuschreiben ist ja wirklich kein Hexenwerk...
Möchte maximal zwei: Ein internes und ein 0815-PSK-Netz für Gäste (separiertes VLAN, darf nur Surfen).
Die VLAN-Segmentierung bekommt man dann wohl nur über Radius hin.
Was haltet ihr denn von der Variante mit MAC-Auth? Denn wie ich oben schon schrieb: In meinem Vorgarten zu sitzen und sich ein paar meiner MACs aufzuschreiben ist ja wirklich kein Hexenwerk...
Die VLAN-Segmentierung bekommt man dann wohl nur über Radius hin.
Die Aussage stimmt so pauschal ja nicht. Es geht ja über MSSIDs ohne Radius. Wenn du aber auf MSSIDs verzichtest dann stimmt es nur bedingt.Das geht bei einigen Herstellern auch statisch über die interne Zuweisung der User Credentials. Z.B. Dynamic Preshared Keys bei Ruckus. Radius ist da dann nicht zwingend und Bordmittel reichen.
Bei allen Herstellern die bei den lokalen statischen User Credentials keine VLAN Info zulassen musst du dann über Radius gehen.
Was haltet ihr denn von der Variante mit MAC-Auth?
Das kann man machen ist aber tricky geworden seitdem Apple und Android sog. Private WLAN Adressen verwenden also das Dynamisieren der Mac Adressen pro WLAN.https://support.apple.com/de-de/HT211227
Damit haben Mobilgeräte dann immer wechselnde Mac Adressen um ein User Tracking und Vermarktung der privaten Bewegungs Profildaten zu verhindern. Per se ja sehr gut, konterkariert aber die Mac Authentisierung, so das sich deine Frage gar nicht erst stellt und man besser auf 802.1x User Credentials geht oder User Zertifikate wer es ganz wasserdicht haben möchte.
Was du zu den Möglichkeiten ohne Radius sagst stimmt natürlich, ich habe zu stark pauschalisiert.
Die randomisierten MACs sind bei den privaten Geräten kein Problem, da man beim jeweiligen WLAN-Profil (iOS wie Android) einfach einstellen kann, er möge seine "echte" MAC nutzen.
Reines TLS fänd ich ansich prima, gerade Android-Geräte stellen sich da aber manchmal quer.
Ironischerweise habe ich mit einem uralten iPhone 5 getestet: Tada, funktioniert einwandfrei.
Außerdem unterstützen viele kleinere Geräte ausschließlich WPA-PSK, z.B. die FireTV-Sticks, Spielekonsolen etc.
Die randomisierten MACs sind bei den privaten Geräten kein Problem, da man beim jeweiligen WLAN-Profil (iOS wie Android) einfach einstellen kann, er möge seine "echte" MAC nutzen.
Reines TLS fänd ich ansich prima, gerade Android-Geräte stellen sich da aber manchmal quer.
Ironischerweise habe ich mit einem uralten iPhone 5 getestet: Tada, funktioniert einwandfrei.
Außerdem unterstützen viele kleinere Geräte ausschließlich WPA-PSK, z.B. die FireTV-Sticks, Spielekonsolen etc.
Zitat von @aqui:
Allerdings hat das bei mir nun zur Folge, das ich gut 7 Netze ausstrahle.
Was recht kontraproduktiv ist, denn es geht massiv auf Kosten der Airtime. Die Airtime ist ein einem begrenzten und gesharten Medium WLAN immer eine feste Größe.Das stimmt schon. Ich habe mich auch vertan und mir früher etwas bei dem Setup überlegt.
Pro Band und Kanal werden max 3 SSIDs ausgestrahlt. Ich habe mich nur selbst verwirren lassen da ich die Mikrotiks alle händisch konfiguriert habe und es mittlerweile sehr unübersichtlich geworden ist.
da ich die Mikrotiks alle händisch konfiguriert habe
CapsMan ist dein bester Freund ! 😉