5
Verständnisfrage RADIUS WLAN
Hallo!
Ich habe 1-2 allgemeine Fragen zur RADIUS-Authetifizierung + Verschlüsselung eines WLANs.
Kurz zu meinem Aufbau:
Habe hier eine funktionierende, virtuelle Umgebung mit 3 V-Servern und einer virtuellen Firewall/WLAN-Controller aufgebaut.
1x DC
1x Unternehmens CA
1x NPS/Radius Server
1x Astaro UTM mit Wireless Security
Zusätzlich dazu habe ich noch einen kleinen Astaro "AP10 Access Point" der an die Astaro angeschlossen wird.
Ich lasse das Zertifikat der CA über eine GPO in den "vertrauenswürdige Stammzertifizierungsstellen"-Ordner importieren <- klappt soweit einwandfrei.
Den NPS + Astaro habe ich nach diesen beiden Anleitungen eingerichtet:
NPS: http://bent-blog.de/w-lan-mit-ieee-802-1x-und-radius-in-einer-windows-s ...
Astaro: http://www.sophos.com/de-de/support/knowledgebase/116144.aspx
Es sind nur Benutzer aus einer bestimmten Gruppe berechtigt sich ins WLAN anzumelden (Grp.: WLAN-User)
WLAN-Clients werden erst per Kabel an die Domäne angebunden und nachdem die GPOs gezogen wurden ins WLAN "überführt"
Die Einwahl in das WLAN klappt. Benutzer die z.b. nicht in der Gruppe sind bekommen keine Verbindung.
Allerdings verstehe ich eine 1-2 Kleinigkeit nicht wirklich bzw. bin mir unsicher:
1) Bei den normalen WLANs mit WPA-PSK ist der WPA-Schlüssel für die Authentisierung + Verschlüsselung zuständig.
Wie sieht das denn hier aus? Klar das PW+Benutzername authentisiert den User aber was verschlüsselt die Verbindung? Das CA-Zertifikat oder das Computerzertifikat vom NPS? Das einzige den Client bekannte Zertifikat ist doch das CA-Zertifikat, aber die CA hat doch nichts mit der Verschlüsselung zwischen AP und Client zu tun...hä?
2) Wenn ich das richtig verstanden habe ist es zwingend notwendig das Zertifikat meiner Zertifizierungstelle auf den betreffenden WLAN-Clients zu verteilen.
Das würde ja bedeuten: Wenn ein "Mitarbeiter/Externer" mit seinem Laptop, sagen wir es wäre ein Win7-Laptop, in die Reichweite des WLANs kommen würde und dummerweise ein Passwort + Benutzernamen eines "WLAN-Berechtigten" kennt, würde dieser dann trotzdem nicht ins WLAN kommen, da er ja kein CA-Cert hat? <- sorry für die Frage! Würde es ja ausprobieren, habe aber gerade nichts da was noch nie an der Domäne hing!
Danke!
P.S.: Ich habe die Authentifizierung von "Benutzerzertifikat" auf "Computerzertifikat" geändert. Zusätzlich dazu dann auch die GPO angepasst wobei sich ein Client automatisch das Zertifikat austellt. Im NPS habe ich dann logischweise bei den Netzwerkrichtlinien unter "Bedinungen" die Benutzergruppe durch ein Computergruppe geändert.
Wieder eine Verständnissfrage: Jetzt muss gar kein Passwort mehr eingegeben werden, da es ja jetz Gerätespzifisch gehandhabt wird. Ist dies so überhaupt noch sicher? Ich meine prinzipiell muss doch jetzt der "Bösewicht" nur das Computerzertifikat von einem der WLAN-Clients klauen und er kommt rein oder??
Ich habe 1-2 allgemeine Fragen zur RADIUS-Authetifizierung + Verschlüsselung eines WLANs.
Kurz zu meinem Aufbau:
Habe hier eine funktionierende, virtuelle Umgebung mit 3 V-Servern und einer virtuellen Firewall/WLAN-Controller aufgebaut.
1x DC
1x Unternehmens CA
1x NPS/Radius Server
1x Astaro UTM mit Wireless Security
Zusätzlich dazu habe ich noch einen kleinen Astaro "AP10 Access Point" der an die Astaro angeschlossen wird.
Ich lasse das Zertifikat der CA über eine GPO in den "vertrauenswürdige Stammzertifizierungsstellen"-Ordner importieren <- klappt soweit einwandfrei.
Den NPS + Astaro habe ich nach diesen beiden Anleitungen eingerichtet:
NPS: http://bent-blog.de/w-lan-mit-ieee-802-1x-und-radius-in-einer-windows-s ...
Astaro: http://www.sophos.com/de-de/support/knowledgebase/116144.aspx
Es sind nur Benutzer aus einer bestimmten Gruppe berechtigt sich ins WLAN anzumelden (Grp.: WLAN-User)
WLAN-Clients werden erst per Kabel an die Domäne angebunden und nachdem die GPOs gezogen wurden ins WLAN "überführt"
Die Einwahl in das WLAN klappt. Benutzer die z.b. nicht in der Gruppe sind bekommen keine Verbindung.
Allerdings verstehe ich eine 1-2 Kleinigkeit nicht wirklich bzw. bin mir unsicher:
1) Bei den normalen WLANs mit WPA-PSK ist der WPA-Schlüssel für die Authentisierung + Verschlüsselung zuständig.
Wie sieht das denn hier aus? Klar das PW+Benutzername authentisiert den User aber was verschlüsselt die Verbindung? Das CA-Zertifikat oder das Computerzertifikat vom NPS? Das einzige den Client bekannte Zertifikat ist doch das CA-Zertifikat, aber die CA hat doch nichts mit der Verschlüsselung zwischen AP und Client zu tun...hä?
2) Wenn ich das richtig verstanden habe ist es zwingend notwendig das Zertifikat meiner Zertifizierungstelle auf den betreffenden WLAN-Clients zu verteilen.
Das würde ja bedeuten: Wenn ein "Mitarbeiter/Externer" mit seinem Laptop, sagen wir es wäre ein Win7-Laptop, in die Reichweite des WLANs kommen würde und dummerweise ein Passwort + Benutzernamen eines "WLAN-Berechtigten" kennt, würde dieser dann trotzdem nicht ins WLAN kommen, da er ja kein CA-Cert hat? <- sorry für die Frage! Würde es ja ausprobieren, habe aber gerade nichts da was noch nie an der Domäne hing!
Danke!
P.S.: Ich habe die Authentifizierung von "Benutzerzertifikat" auf "Computerzertifikat" geändert. Zusätzlich dazu dann auch die GPO angepasst wobei sich ein Client automatisch das Zertifikat austellt. Im NPS habe ich dann logischweise bei den Netzwerkrichtlinien unter "Bedinungen" die Benutzergruppe durch ein Computergruppe geändert.
Wieder eine Verständnissfrage: Jetzt muss gar kein Passwort mehr eingegeben werden, da es ja jetz Gerätespzifisch gehandhabt wird. Ist dies so überhaupt noch sicher? Ich meine prinzipiell muss doch jetzt der "Bösewicht" nur das Computerzertifikat von einem der WLAN-Clients klauen und er kommt rein oder??
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 192391
Url: https://administrator.de/forum/verstaendnisfrage-radius-wlan-192391.html
Ausgedruckt am: 03.04.2025 um 23:04 Uhr
5 Kommentare
Neuester Kommentar
Das CA-Zertifikat oder das Computerzertifikat vom NPS? Das einzige den Client bekannte Zertifikat ist doch das CA-Zertifikat, aber die CA hat doch nichts mit der Verschlüsselung zwischen AP und Client zu tun...hä?
Grob gesagt: Funktioniert wie bei SSL auch.
Wenn ich das richtig verstanden habe ist es zwingend notwendig das Zertifikat meiner Zertifizierungstelle auf den betreffenden WLAN-Clients zu verteilen.
Nein, ist es nicht.
Man kann (sollte aber nicht!) die Prüfung auch einfach deaktivieren.
Zertifikate sind nur dann zwingend notwendig wenn sich damit der Client identifiziert, aber das ist bei dir scheinbar nicht der Fall.
P.S.: Ich habe die authentifizierungs von "Benutzerzertifikat" auf "Computerzertifikat" geändert. Zusättlich dazu dann auch die GPO angepasst wobei sich ein Client automatisch das Zertifikat austellt.
s.o.
Ich meine prinzipiell muss doch jetzt der "Bösewicht" nur das Computerzertifikat von einem der WLAN-Clients klauen und er kommt rein oder??
Ja, aber du willst doch nicht etwa sagen, dass du kein BitLocker o.Ä. auf deinen Laptops benutzt?
Im laufenden Betrieb können höchstens Administratoren das Zertifikat wieder exportieren.
Zitat von @dog:
> Das CA-Zertifikat oder das Computerzertifikat vom NPS? Das einzige den Client bekannte Zertifikat ist doch das CA-Zertifikat,
aber die CA hat doch nichts mit der Verschlüsselung zwischen AP und Client zu tun...hä?
Grob gesagt: Funktioniert wie bei SSL auch.
> Das CA-Zertifikat oder das Computerzertifikat vom NPS? Das einzige den Client bekannte Zertifikat ist doch das CA-Zertifikat,
aber die CA hat doch nichts mit der Verschlüsselung zwischen AP und Client zu tun...hä?
Grob gesagt: Funktioniert wie bei SSL auch.
Okay, also muss ich mir das vorstellen als ob ich in meinem Browser eine Https-Seite aufrufe, dort wird ja dann auch einfach das Computerzertifikat vom Webserver genommen um zu verschlüsseln, richtig?
Also wird einfach mit dem Computerzertifikat vom Radius verschlüsselt.
> P.S.: Ich habe die authentifizierung von "Benutzerzertifikat" auf "Computerzertifikat" geändert.
Zusäztlich dazu dann auch die GPO angepasst wobei sich ein Client automatisch das Zertifikat austellt.
s.o.
Was meinst du damit? Sorry steh aufm Schlauch Zusäztlich dazu dann auch die GPO angepasst wobei sich ein Client automatisch das Zertifikat austellt.
s.o.
> Ich meine prinzipiell muss doch jetzt der "Bösewicht" nur das Computerzertifikat von einem der WLAN-Clients
klauen und er kommt rein oder??
Ja, aber du willst doch nicht etwa sagen, dass du kein BitLocker o.Ä. auf deinen Laptops benutzt?
Im laufenden Betrieb können höchstens Administratoren das Zertifikat wieder exportieren.
klauen und er kommt rein oder??
Ja, aber du willst doch nicht etwa sagen, dass du kein BitLocker o.Ä. auf deinen Laptops benutzt?
Im laufenden Betrieb können höchstens Administratoren das Zertifikat wieder exportieren.
Okay, Admin ist nur der Dom-Admin + der lokale Admin. Die Kisten sind alle per SafeGuardEasy verschlüsselt.
Kurz zusammengefasst:
Schwachstelle bei WPA-PSK: irgendeiner plappert den PSK aus.
Schwachstelle bei Radius+Computerzertifikat sollte jemand das Computerzertifikat haben gibts Probleme
Ja, richtig, das WPA Passwort hat mit der User Authentisierung nichts zu tun.
Wenn das "ausgeplappert" wird betrifft das aber nur die Datensicherheit bei der Übertragung, d.h. Daten können mitgelesen werden.
Wer wann ins WLAN darf regelt das aber keineswegs...andere Baustelle mit Radius und Zertifikaten usw.
Ein Zertifikat kann man nicht weitergeben. Derzeit ist das der sicherste Zugang, da du nicht nur eine User Authentisierung hast sondern auch eine Geräte Authentisierung. Man kommt also nur mit dem spezifischen Gerät (HW) ins WLAN.
Wenns geklaut wird musst du nur das eine Zertifikat revoken und das wars... weniger Arbeit als mit Username Passwort.
Dieses Tutorial hat noch ein paar Grundlagen dazu:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Wenn das "ausgeplappert" wird betrifft das aber nur die Datensicherheit bei der Übertragung, d.h. Daten können mitgelesen werden.
Wer wann ins WLAN darf regelt das aber keineswegs...andere Baustelle mit Radius und Zertifikaten usw.
Ein Zertifikat kann man nicht weitergeben. Derzeit ist das der sicherste Zugang, da du nicht nur eine User Authentisierung hast sondern auch eine Geräte Authentisierung. Man kommt also nur mit dem spezifischen Gerät (HW) ins WLAN.
Wenns geklaut wird musst du nur das eine Zertifikat revoken und das wars... weniger Arbeit als mit Username Passwort.
Dieses Tutorial hat noch ein paar Grundlagen dazu:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Zitat von @aqui:
Ein Zertifikat kann man nicht weitergeben. Derzeit ist das der sicherste Zugang, da du nicht nur eine User Authentisierung hast sondern auch eine Geräte Authentisierung. Man kommt also nur mit dem spezifischen Gerät (HW) ins WLAN.
Ein Zertifikat kann man nicht weitergeben. Derzeit ist das der sicherste Zugang, da du nicht nur eine User Authentisierung hast sondern auch eine Geräte Authentisierung. Man kommt also nur mit dem spezifischen Gerät (HW) ins WLAN.
Eigentlich möchte ich die Userauthentifizierung weg lassen und nur bestimmte Computer/Geräte zulassen. Die Zugelassenen Geräte sind "Leihgeräte" die die Mitarbeiter bei mir ausleihen und nach Gebrauch wieder mitbringen. Also muss quasi jeder Domänenmember berechtiget sein das WLAN zu nutzen. Aber nur über diese bestimmten Geräte.
Problematisch wirds ja auch weil bei der Userauthentifizierung die Verbindung zum WLAN noch nicht steht und dann logischerweise auch die GPOs, Netzlaufwerke etc nicht gezogen/verbunden werden.
"nur Geräteauthentifizierung" doch immernoch ziemlich sicher oder?
Wenns geklaut wird musst du nur das eine Zertifikat revoken und das wars... weniger Arbeit als mit Username Passwort.
Sprich: in der Root-CA das Zertifikat sperren und die Sperrliste "ausliefern"?
P.S.: kann ich auch User + Computerauthentifizierung anwenden? -> bestimmte Benutzer können nur über bestimmte Clients ins WLAN...
Was du beschreibst ist die klassische Authentisierung über Client Zertifikate die auf deinen Leihgeräten installiert sein müssen.
Man kommt dann nur mit dieser HW ins WLAN also genau das was du willst mit den Leihgeräten.
Wie die Authentisierung mit Username / Passwort gelingt zeigt dir das oben zitierte Tutorial im Detail.
Das dortige Zertifikat ist nur ein Radius Server Zertifikat das keiner einen anderen Radius Server heimlich im Netz "unterjubeln" kann um ungewollte User zu authentisieren.
Man kommt dann nur mit dieser HW ins WLAN also genau das was du willst mit den Leihgeräten.
Wie die Authentisierung mit Username / Passwort gelingt zeigt dir das oben zitierte Tutorial im Detail.
Das dortige Zertifikat ist nur ein Radius Server Zertifikat das keiner einen anderen Radius Server heimlich im Netz "unterjubeln" kann um ungewollte User zu authentisieren.
