machello
Goto Top

Theoriefrage zu RADIUS, WLAN und Verschlüsselung

Hallo zusammen,

bei meiner Recherche im Internet bin ich nicht so recht dahinter gekommen, daher stelle ich mal diese Frage hier in den Raum.

Gegeben sind zwei WLAN Netzwerke, eines ist offen und Authentifiziert über Radius, das andere ist nicht offen (WPA2) und authentifiziert ebenfalls über RADIUS.
Struktur ist: RADIUS-Client als AP(NAS) und per LAN-Kabel verbunden ein RADIUS Server als dedizierter Server.

Nehmen wir mal zunächst das offene WLAN:
Der User wählt das WLAN in seinem mobile Device aus und muss sich mit Benutzername und Kennwort am Radius authentifizieren.
Was genau passiert und wie ist die Kommunikation geschützt ?
- Nutzer fragt den WLAN AP, dieser sendet einen Auth-Request
- Nutzer antwortet mit Auth-Response (Wie ist dieser vor dem Mitlesen geschützt ?)
- AP (NAS) sendet die Info an den Radius Server weiter mit dem RADIUS Access-Request (Wie ist dieser vor dem Mitlesen geschützt ?)
- RADIUS Server Antwortet wenn positiv mit einem RADIUS Accept
- AP antwortet darauf hin dem User mit Auth-Accept.
- Authentifizierung abgeschlossen, der User kann das WLAN Nutzen wenn er eine IP zugewiesen bekommt.
Wie ist die weitere Kommunikation vor dem Mitlesen geschützt wenn keine WLAN Verschlüsselung aktiv ist ?

Mir ist bekannt, dass der Response Authenticator im RADIUS Accept oder Reject Paket durch einen MD5 Hash geschützt ist, aber finden sonst keine Sicherheitsmechanismen Anwendung ?

Vielen Dank im voraus für das Licht ins Dunkel Bringen.

P.S. Die Frage zum Verfahren mit WPA2 kommt im Anschluss, aber eventuell löst sie sich ja bereits jetzt.

Content-ID: 470791

Url: https://administrator.de/contentid/470791

Ausgedruckt am: 22.11.2024 um 09:11 Uhr

tikayevent
tikayevent 07.07.2019 um 14:09:02 Uhr
Goto Top
Die Sicherheit kommt über die gewählte Methode, die der RADIUS nutzt.

Ich habe keine Ahnung, wie dein beschriebenes Szenario funktionieren soll, da du ja sagst, dass der WLAN offen und unverschlüsselt ist. Wie und wieso wird hier ein RADIUS-Server verwendet? Sprichst du hier von einem Captive Portal? Wenn ja, dann passt deine Beschreibung nicht mal ansatzweise.

- Authentifizierung abgeschlossen, der User kann das WLAN Nutzen wenn er eine IP zugewiesen bekommt.
Wie ist die weitere Kommunikation vor dem Mitlesen geschützt wenn keine WLAN Verschlüsselung aktiv ist ?
Ganz klare Antwort, auch wenn die Konstruktion dahinter unklar ist: Gar nicht, keine WLAN-Verschlüsselung, keine Sicherheit.

Bei WPA2-Enterprise wird in der Regel ein EAP-Dialekt gesprochen, die verschiedene Sicherheitsmethoden von nix bis unvorstellbar integriert haben kann. Gängig wären hier EAP-TLS, wo der ganze Spaß zwischen Client und RADIUS-Server TLS-verschlüsselt auf Zertifikatsbasis erfolgt und PEAP/MSCHAPv2, wobei MSCHAPv2 über einen TLS-gesicherten EAP-Tunnel läuft.
Pjordorf
Pjordorf 07.07.2019 um 14:12:03 Uhr
Goto Top
Hallo,

Zitat von @Machello:
Wie ist die weitere Kommunikation vor dem Mitlesen geschützt wenn keine WLAN Verschlüsselung aktiv ist ?
In deinen offenen (kein WEP, WPA, WPA2) WLAN kann das jeder Externe mitlesen.
Eigenes WLAN mitprotokollieren und auslesen
https://www.pcwelt.de/ratgeber/So-entlarven-Sie-WLAN-Schnueffler-7685086 ...
Und in dein WLAN mit WPA2 wird es Schwierig bis unmöglich.
https://www.google.com/search?q=what+does+wpa2+do
https://www.elektronik-kompendium.de/sites/net/2008101.htm

Wie sicher ist mein Zahlenschloss mit 4 stellen am Fahrrad? Der eine weiss gar nicht das du ein Fahrrad hast, der andere kann mit Zahlenschloss nichts anfangen, der andere knackt es nie da er nur 5 Minuten Zeit hat, der andere hat 2 Monate Zeit (1460 Stunden) alle Kombinationen (10000) durchzugehen, der andere hatte etwas Glück und sein erster Versuch war Erfogreich - Fahrrad ist weg. Es gibt keine 100%tige Sicherheit deiner Daten wenn du im Internet unterwegs sein willst und per Offenen WLAN ist wie dein volles Portmonee in der Fußgängerzone mit Leuchtreklame und Einladung liegen zu lassen.

Gruß,
Peter
aqui
aqui 07.07.2019 aktualisiert um 15:18:02 Uhr
Goto Top
Das Verfahren an sich wird hier beschrieben:
https://de.wikipedia.org/wiki/IEEE_802.1X
Im Grunde ist die Logik doch ganz simpel....
Zuallererst musst du dir vor Augen halten das die WLAN Authentisierung mit der Verschlüsselung nichts zu tun hat. Das sind 2 verschiedene Baustellen und muss man getrennt betrachten.
Authentisierung im offenen WLAN hast du schon richtig beschrieben.
Die Kommunikation zw. Authenticator und Radius geschieht mittels preshared Passwörtern using a shared und einem MD5 Hashing Algorithmus. Da MD5 nicht mehr als vollständig sicher gilt hätte man hier einen Angriffspunkt.
Da der Traffic zwischen Authenticator und Radius bei dir aber rein lokal ist müsste also schon jemand direkt ans Kabel und den Prozess vollständig mitsniffern. Mit den Daten in einer Rechnerfarm den MD5 Hash knacken usw.
Vorausgesetzt du nutzt keine Banalpasswörter im Radius Server und welche mit mindestens 12 Stellen bist du also recht safe, denn der Aufwand das zu knacken wäre sehr hoch.
Aber eine weitere Absicherung gibt es beim Radius nicht. Willst du mehr musst du den Radius Traffic zw. AP und Radius Server mit IPsec schützen.
Das zur Authentisierung...
Der folgende Traffic dieses Clients im offenen WLAN ist dann aber nicht verschlüsselt. Das bedeutet JEDER mit einem Wireshark Sniffer kann diesen Traffic ungeschützt mitlesen sofern er nicht schon von der Applikation selber verschlüsselt wurde. Der typische Angriffsvektor in offenen Hotel, Cafe, Bahnhof Hotspots usw.
Oder wo Angreifer anderen offene und kostenlose WLANs mit ihren Laptops vorgaukeln die dann leichte Opfer sind. Siehe dazu auch:
Netzwerk Management Server mit Raspberry Pi
Kannst du übrigens ganz einfach selber in 3 Minuten mit dem kostenlosen Wireshark testen !

Im verschlüsselten Beispiel kommt dann noch die WLAN WPA2 Transport Verschlüsselung dazu. Da ist der WLAN Traffic dann verschlüsselt und kann nicht mitgelesen werden.
Die Radius Authentisierung ist identisch zum unverschlüsselten Beispiel.
Eigentlich doch ganz einfach und logisch, oder ?!
https://www.heise.de/select/ct/2019/14/1562068324693346
Machello
Machello 08.07.2019 um 00:14:11 Uhr
Goto Top
OK soweit hatte ich das für die ungesicherte Variante dann doch verstanden.
Aber vielen Dank an alle, für die Erläuterungen und die Links.

Bei der gesicherten Variante hakt es allerdings noch etwas.
Mir ist klar, dass die Authentifizierung durch EAP, EAP-TLS gekapselt wird oder werden kann.
Weiterhin ist mir auch klar dass Authentifizierung und Verschlüsselung zwei Baustellen sind.

Im Vergleich zu WPA2 Personal findet zum Verbinden ein 4-Way Handshake statt, ist dieser erfolgreich, darf der User die Services des WLANs nutzen.
Was passiert im WPA2 Enterprise Mode und in welcher Reihenfolge ?
Fällt der 4-Way Handshake im Enterprise Mode weg ?
Ersetzt die Authentifizierung über RADIUS den 4-Way Handshake ?
Hoffentlich bringe ich da nix durcheinander...
Ich glaube die Unterschiede sind mit noch nicht so ganz klar.

Vielen Dank schon mal für die Hinweise.
aqui
aqui 08.07.2019 um 14:18:47 Uhr
Goto Top
Ich glaube die Unterschiede sind mit noch nicht so ganz klar.
Ja, weil du wieder die eigentliche User bzw. Port Authentisierung und die WLAN Verschlüsselung zusammenwürfelst. Wie gesagt...2 Baustellen und das eine hat mit dem anderen nichts zu tun !