Radius-Pakete verraten Benutzername, MAC-Adresse, BSSID und Co?
Ich habe seit einiger Zeit angefangen mit Wireshark mein Netzwerk ein wenig unter die Lupe zu nehmen. Ich habe bei mir WPA2-Enterprise mit einem RADIUS-Server eingerichtet. AP und Server kommunizieren in einem getrennten VLAN.
Nun habe ich mal aus Spaß einen Wireshark-Mitschnitt des VLANs durchgeführt, während ein Client sich mit dem WLAN verbunden hat.
Obwohl ein Secret gesetzt wurde sind einzelne Daten immer noch unverschlüsselt. Gibt es da eine Option um diese Kommunikation komplett zu verschlüsseln?
Ich verwende einen TL-WR841N mit OpenWrt sowie einen HP ProCurve 2626 (Lab) und FreeRadius auf Debian 9.
Nun habe ich mal aus Spaß einen Wireshark-Mitschnitt des VLANs durchgeführt, während ein Client sich mit dem WLAN verbunden hat.
Obwohl ein Secret gesetzt wurde sind einzelne Daten immer noch unverschlüsselt. Gibt es da eine Option um diese Kommunikation komplett zu verschlüsseln?
Ich verwende einen TL-WR841N mit OpenWrt sowie einen HP ProCurve 2626 (Lab) und FreeRadius auf Debian 9.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 366023
Url: https://administrator.de/forum/radius-pakete-verraten-benutzername-mac-adresse-bssid-und-co-366023.html
Ausgedruckt am: 22.12.2024 um 03:12 Uhr
3 Kommentare
Neuester Kommentar
Habe ich grad im Archiv gefunden:
http://www.infosys.tuwien.ac.at/Staff/msiegl/2010/Uebungsarbeiten/Grupp ...
Die Installation des FreeRadius Servers zur Absicherung von LANs (802.1x) und vor allen Dingen WLANs beschreiben schon 2 detailierte Tutorials hier im Forum:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
und
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Vielleicht bringts dir was.
http://www.infosys.tuwien.ac.at/Staff/msiegl/2010/Uebungsarbeiten/Grupp ...
Die Installation des FreeRadius Servers zur Absicherung von LANs (802.1x) und vor allen Dingen WLANs beschreiben schon 2 detailierte Tutorials hier im Forum:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
und
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Vielleicht bringts dir was.
Obwohl ein Secret gesetzt wurde sind einzelne Daten immer noch unverschlüsselt.
Ist ja allseits bekannt, Radius selbst hat keine Option die Kommunikation selbst zu verschlüsseln.https://en.m.wikipedia.org/wiki/RADIUS
The RADIUS protocol transmits obfuscated passwords using a shared secret and the MD5 hashing algorithm. As this particular implementation provides only weak protection of the user's credentials,[10] additional protection, such as IPsec tunnels or physically secured data-center networks, should be used to further protect the RADIUS traffic between the NAS device and the RADIUS server. Additionally, the user's security credentials are the only part protected by RADIUS itself, yet other user-specific attributes such as tunnel-group IDs or vlan memberships passed over RADIUS may be considered sensitive (helpful to an attacker) or private (sufficient to identify the individual client) information as well.[citation needed] The RadSec protocol claims to solve aforementioned security issues.
Als Nachfolger wird wohl das Diameter Protokoll irgendwann ins Spiel kommen, aber so lange das noch nicht so weit verbreitet ist werden wir mit Radius noch eine Weile auskommen.
Wenn du deine Verbindung also zusätzlich absichern willst, erstelle einfach einen IPSec Tunnel zwischen AP und Radius Server in dem dann die Kommunikation abläuft, dazu kannst du z.B. OpenSwan, Strongswan oder auch racoon hernehmen.
Gruß Snap