strator6750
Goto Top

WLAN EAP: Best practices

Hi,

vor Jahren habe ich mal für ein KMU eine WLAN-Infrastruktur aufgebaut.
Mir geht's hier aber nur um das EAP, also nicht um Hardware etc.
Es handelt sich um ca. 50 Clients, alle Firmeneigentum.
Damals habe ich per openssl für jeden Client ein TLS-Zertifikat generiert, weil jeder einem bestimmten VLAN zugehörig ist (VLAN-Pooling o.ä. würde mir also nicht helfen).

Mich interessiert nun eure Meinung: Wie generiert man heutzutage am besten derartige Zertifikate, ist das überhaupt noch Stand der Technik?
Ich könnte auch TTLS nutzen, aber das ist ja zumindest in der Theorie etwas unsicherer als "echtes" TLS.
Da ich das Verteilen der Clients in konkrete VLANs umsetzen möchte, werde ich um irgendeine Form von Radius ja vmtl. nicht herum kommen?

Content-ID: 22383234440

Url: https://administrator.de/en/wlan-eap-best-practices-22383234440.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

8585324113
8585324113 27.12.2023 um 09:47:05 Uhr
Goto Top
Radius verteilt keine Zertifikate.

Sind die Geräte Mitglieder einer AD-Domain?
Dann könnte man das Thema einfach vollautomatisch abwickeln.
Der Hersteller der Netzwerk-Hardware heißt wie?
SeaStorm
SeaStorm 27.12.2023 um 10:04:39 Uhr
Goto Top
Zertifikate kommen von der CA. Diese stellt die für den Client aus. Damit meldet sich der Client am RADIUS. Der Validiert das und liest das gewünschte AD/LDAP Attribut zur zuwisung des VLANs des Clients aus.
Die Authorisierung und das Attribut mit dem VLAN gehen zurück an den WLAN Controller/AP und der weisst das dann entsprechend zu.

Soweit die graue Theorie. Wie @8585324113 schon schrieb, fehlen wichtige Infos.
Sind das Windows Clients? Geht es um ein Windows AD ? Welches Netzwerk/WLAN wird genutzt? Ist eine CA vorhanden?
strator6750
strator6750 27.12.2023 um 10:18:29 Uhr
Goto Top
Hi ihr beiden,

das habe ich wohl missverständlich ausgedrückt:
Wie oben geschrieben: Ich hab damals per openssl für jeden Client ein Zertifikat generiert, bzw.: Klar, in dem Zuge wurde eine vollständige CA aufgebaut.
Also: CA selbst, Server-Zertifikat (für freeradius) und Client-Zertifikate für alle Clients.

Letztere sind überwiegend iOS/Android-Devices, sprich Smartphones.
Die andere Hälfte sind Windows-Laptops, die jedoch keinem AD angehören, AD ist in diesem Netz generell nicht vorhanden.

Momentan stammen die WLAN-APs von Ubiquiti (die damalige Pro-Serie), ich könnte mir aber vorstellen, dass sie durch andere Hardware ersetzt werden sollen, das ist noch nicht entschieden.
Ein "echter" WLAN-Controller als Hardware ist also nicht vorhanden.
8585324113
8585324113 27.12.2023 um 10:22:00 Uhr
Goto Top
Zitat von @strator6750:

Hi ihr beiden,

das habe ich wohl missverständlich ausgedrückt:
Wie oben geschrieben: Ich hab damals per openssl für jeden Client ein Zertifikat generiert, bzw.: Klar, in dem Zuge wurde eine vollständige CA aufgebaut.
Also: CA selbst, Server-Zertifikat (für freeradius) und Client-Zertifikate für alle Clients.

Letztere sind überwiegend iOS/Android-Devices, sprich Smartphones.
Die andere Hälfte sind Windows-Laptops, die jedoch keinem AD angehören, AD ist in diesem Netz generell nicht vorhanden.

Momentan stammen die WLAN-APs von Ubiquiti (die damalige Pro-Serie), ich könnte mir aber vorstellen, dass sie durch andere Hardware ersetzt werden sollen, das ist noch nicht entschieden.
Ein "echter" WLAN-Controller als Hardware ist also nicht vorhanden.

"Vollständige CA" heißt was genau?
Also eine PKI, so wie z. B. MS das definiert also nicht?

Wenn keine AD dann auch kein MDM vorhanden oder geplant?

Wer finanziert das ganze manuelle Gespielte?
strator6750
strator6750 27.12.2023 um 10:27:56 Uhr
Goto Top
"Vollständige CA" heißt genau das, was oben steht:
- CA-Zertifikat
- Server-Zertifikat
- ca. 50 Client-Zertifikate

Korrekt, kein MDM vorhanden.

Wir reden hier wie gesagt von einem KMU, da läuft IT bekanntlich nicht ganz so konform, wie man das aus größeren Unternehmen kennt.
Das alles ist aber hier gar nicht Gegenstand der Diskussion, mir geht's um den technischen Aspekt.
8585324113
8585324113 27.12.2023 um 10:34:44 Uhr
Goto Top
Ich habe verstanden,

In einer KMU hat jemand lange Weile und macht mindestens 51 Zertifikate die in Beziehung zueinander stehen um dem WiFi beitreten zu können.
Nun soll das Thema ausgebaut bzw umgebaut werden.

Das führt zum Anfang zurück.

Und wirft auch die Frage auf, warum man sowas macht.

Ohne Verzeichnisdienst ist Peap oder Eap bestenfalls Handarbeit oder sinnfrei.

Also: Was soll eigentlich erreicht werden?
Das Thema wirkt mehr oder vollständig gescheitert, weil es wieder zu mindestens 100% in die Hand genommen werden muss.
strator6750
strator6750 27.12.2023 um 11:31:24 Uhr
Goto Top
Finde interessant, was du alles ableitest und dir völlig unbekannten Leuten und Firmen unterstellst.
Aber sei es drum.

Es gibt wenig Device- oder Mitarbeiterfluktuation.
Ergo: Das manuelle Pflegen einer Zertifikats-Infrastruktur bereitet im Verhältnis wenig quantitativen Arbeitsaufwand.

Erreicht werden so - in der Voraussicht, der Entscheidungsprozess ist noch im Gange - ein Modernisieren der Wireless-Infrastruktur. Das ist eher ein Hardwarethema, das vom Thema hier (s.o.) aber unabhängig ist.
Im selben Zuge wird das Thema Auth aber auch unter die Lupe genommen, weil "man ja einmal dran ist".
Dani
Dani 27.12.2023 um 11:46:39 Uhr
Goto Top
Moin,
Wie generiert man heutzutage am besten derartige Zertifikate, ...
Wir haben für diese Aufgabe eine Intermediate CA. Mit Hilfe einer dedizierten Vorlage, GPO werden die Zertifikate auf die Geräte verteilt und vor dem Ablauf auch aktualisiert. Für mobile Geräte übernimmt das MDM diese Aufgabe. Das Ganze macht natürlich nur Sinn, wenn auch konsequent Sperrung von verloren Geräten bzw. Zertifikaten vorgenommen wird und die Sperrlisten aktuell und verfügbar sind.

ist das überhaupt noch Stand der Technik?
Ja.

Da ich das Verteilen der Clients in konkrete VLANs umsetzen möchte, werde ich um irgendeine Form von Radius ja vmtl. nicht herum kommen?
So ist es:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
VLAN Zugang per 802.1x Radius

Gruß,
Dani
8585324113
8585324113 27.12.2023 um 11:46:57 Uhr
Goto Top
Ich finde eher interessant, dass Du nicht verstehst wie sinnlos das ganze ist.

Gut, du kannst manuell Zertifikate erzeugen und verteilen. Die Zertifikate kannst du gegen ubnt Hardware verwenden. Wunderbar, vermutlich hast Du damit die Hardware ausgefahren.
Gratulation für deinen Fleiß.

Nachhaltigkeit Null, weil Konzept von IT ignoriert.
Deine letzte Arbeit und deine letztes Fleiß sollten Grundlage für neue Arbeit sein und somit wird die Arbeit und die Qualität dessen wieder überprüft und (automatisch) verbessert.
Nur hast Du bei dem Thema gezielt die Automatik ausgebaut.
Dann fühlst und glaubst Du etwas unterstellt zu bekommen.

Radius kann hier automatierisen helfen, aber in Bezug auf ubnt ist dessen Implementierung armselig.
strator6750
strator6750 27.12.2023 um 12:01:55 Uhr
Goto Top
@Dani:
Stimmt, ich habe nicht explizit erwähnt, dass per CRL natürlich nicht mehr benötigte Zertifikate zurückgezogen werden.
Allerdings ist das wie schon beschrieben auch nicht besonders häufig der Fall.
Dani
Dani 27.12.2023 um 18:14:09 Uhr
Goto Top
Moin,
Stimmt, ich habe nicht explizit erwähnt, dass per CRL natürlich nicht mehr benötigte Zertifikate zurückgezogen werden.
das ist der eine Fall. Der andere Fall ist das Gerät wird gestohlen oder der MA wird gesperrt. Das muss in beiden Ruckzuck und verlässlich funktionieren. Das geht nun mal über dir Sperrlisten (CRL, OSCP), oder?

Allerdings ist das wie schon beschrieben auch nicht besonders häufig der Fall.
Es geht doch nicht um die Häufigkeit, sondern das im Fall X reagiert werden kann. Nichts schlimmeres, wenn man keine Maßnahmen ergreifen kann.


Gruß,
Dani