Verständnisfrage RADIUS WLAN
Hallo!
Ich habe 1-2 allgemeine Fragen zur RADIUS-Authetifizierung + Verschlüsselung eines WLANs.
Kurz zu meinem Aufbau:
Habe hier eine funktionierende, virtuelle Umgebung mit 3 V-Servern und einer virtuellen Firewall/WLAN-Controller aufgebaut.
1x DC
1x Unternehmens CA
1x NPS/Radius Server
1x Astaro UTM mit Wireless Security
Zusätzlich dazu habe ich noch einen kleinen Astaro "AP10 Access Point" der an die Astaro angeschlossen wird.
Ich lasse das Zertifikat der CA über eine GPO in den "vertrauenswürdige Stammzertifizierungsstellen"-Ordner importieren <- klappt soweit einwandfrei.
Den NPS + Astaro habe ich nach diesen beiden Anleitungen eingerichtet:
NPS: http://bent-blog.de/w-lan-mit-ieee-802-1x-und-radius-in-einer-windows-s ...
Astaro: http://www.sophos.com/de-de/support/knowledgebase/116144.aspx
Es sind nur Benutzer aus einer bestimmten Gruppe berechtigt sich ins WLAN anzumelden (Grp.: WLAN-User)
WLAN-Clients werden erst per Kabel an die Domäne angebunden und nachdem die GPOs gezogen wurden ins WLAN "überführt"
Die Einwahl in das WLAN klappt. Benutzer die z.b. nicht in der Gruppe sind bekommen keine Verbindung.
Allerdings verstehe ich eine 1-2 Kleinigkeit nicht wirklich bzw. bin mir unsicher:
1) Bei den normalen WLANs mit WPA-PSK ist der WPA-Schlüssel für die Authentisierung + Verschlüsselung zuständig.
Wie sieht das denn hier aus? Klar das PW+Benutzername authentisiert den User aber was verschlüsselt die Verbindung? Das CA-Zertifikat oder das Computerzertifikat vom NPS? Das einzige den Client bekannte Zertifikat ist doch das CA-Zertifikat, aber die CA hat doch nichts mit der Verschlüsselung zwischen AP und Client zu tun...hä?
2) Wenn ich das richtig verstanden habe ist es zwingend notwendig das Zertifikat meiner Zertifizierungstelle auf den betreffenden WLAN-Clients zu verteilen.
Das würde ja bedeuten: Wenn ein "Mitarbeiter/Externer" mit seinem Laptop, sagen wir es wäre ein Win7-Laptop, in die Reichweite des WLANs kommen würde und dummerweise ein Passwort + Benutzernamen eines "WLAN-Berechtigten" kennt, würde dieser dann trotzdem nicht ins WLAN kommen, da er ja kein CA-Cert hat? <- sorry für die Frage! Würde es ja ausprobieren, habe aber gerade nichts da was noch nie an der Domäne hing!
Danke!
P.S.: Ich habe die Authentifizierung von "Benutzerzertifikat" auf "Computerzertifikat" geändert. Zusätzlich dazu dann auch die GPO angepasst wobei sich ein Client automatisch das Zertifikat austellt. Im NPS habe ich dann logischweise bei den Netzwerkrichtlinien unter "Bedinungen" die Benutzergruppe durch ein Computergruppe geändert.
Wieder eine Verständnissfrage: Jetzt muss gar kein Passwort mehr eingegeben werden, da es ja jetz Gerätespzifisch gehandhabt wird. Ist dies so überhaupt noch sicher? Ich meine prinzipiell muss doch jetzt der "Bösewicht" nur das Computerzertifikat von einem der WLAN-Clients klauen und er kommt rein oder??
Ich habe 1-2 allgemeine Fragen zur RADIUS-Authetifizierung + Verschlüsselung eines WLANs.
Kurz zu meinem Aufbau:
Habe hier eine funktionierende, virtuelle Umgebung mit 3 V-Servern und einer virtuellen Firewall/WLAN-Controller aufgebaut.
1x DC
1x Unternehmens CA
1x NPS/Radius Server
1x Astaro UTM mit Wireless Security
Zusätzlich dazu habe ich noch einen kleinen Astaro "AP10 Access Point" der an die Astaro angeschlossen wird.
Ich lasse das Zertifikat der CA über eine GPO in den "vertrauenswürdige Stammzertifizierungsstellen"-Ordner importieren <- klappt soweit einwandfrei.
Den NPS + Astaro habe ich nach diesen beiden Anleitungen eingerichtet:
NPS: http://bent-blog.de/w-lan-mit-ieee-802-1x-und-radius-in-einer-windows-s ...
Astaro: http://www.sophos.com/de-de/support/knowledgebase/116144.aspx
Es sind nur Benutzer aus einer bestimmten Gruppe berechtigt sich ins WLAN anzumelden (Grp.: WLAN-User)
WLAN-Clients werden erst per Kabel an die Domäne angebunden und nachdem die GPOs gezogen wurden ins WLAN "überführt"
Die Einwahl in das WLAN klappt. Benutzer die z.b. nicht in der Gruppe sind bekommen keine Verbindung.
Allerdings verstehe ich eine 1-2 Kleinigkeit nicht wirklich bzw. bin mir unsicher:
1) Bei den normalen WLANs mit WPA-PSK ist der WPA-Schlüssel für die Authentisierung + Verschlüsselung zuständig.
Wie sieht das denn hier aus? Klar das PW+Benutzername authentisiert den User aber was verschlüsselt die Verbindung? Das CA-Zertifikat oder das Computerzertifikat vom NPS? Das einzige den Client bekannte Zertifikat ist doch das CA-Zertifikat, aber die CA hat doch nichts mit der Verschlüsselung zwischen AP und Client zu tun...hä?
2) Wenn ich das richtig verstanden habe ist es zwingend notwendig das Zertifikat meiner Zertifizierungstelle auf den betreffenden WLAN-Clients zu verteilen.
Das würde ja bedeuten: Wenn ein "Mitarbeiter/Externer" mit seinem Laptop, sagen wir es wäre ein Win7-Laptop, in die Reichweite des WLANs kommen würde und dummerweise ein Passwort + Benutzernamen eines "WLAN-Berechtigten" kennt, würde dieser dann trotzdem nicht ins WLAN kommen, da er ja kein CA-Cert hat? <- sorry für die Frage! Würde es ja ausprobieren, habe aber gerade nichts da was noch nie an der Domäne hing!
Danke!
P.S.: Ich habe die Authentifizierung von "Benutzerzertifikat" auf "Computerzertifikat" geändert. Zusätzlich dazu dann auch die GPO angepasst wobei sich ein Client automatisch das Zertifikat austellt. Im NPS habe ich dann logischweise bei den Netzwerkrichtlinien unter "Bedinungen" die Benutzergruppe durch ein Computergruppe geändert.
Wieder eine Verständnissfrage: Jetzt muss gar kein Passwort mehr eingegeben werden, da es ja jetz Gerätespzifisch gehandhabt wird. Ist dies so überhaupt noch sicher? Ich meine prinzipiell muss doch jetzt der "Bösewicht" nur das Computerzertifikat von einem der WLAN-Clients klauen und er kommt rein oder??
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 192391
Url: https://administrator.de/forum/verstaendnisfrage-radius-wlan-192391.html
Ausgedruckt am: 03.04.2025 um 23:04 Uhr
5 Kommentare
Neuester Kommentar
Das CA-Zertifikat oder das Computerzertifikat vom NPS? Das einzige den Client bekannte Zertifikat ist doch das CA-Zertifikat, aber die CA hat doch nichts mit der Verschlüsselung zwischen AP und Client zu tun...hä?
Grob gesagt: Funktioniert wie bei SSL auch.
Wenn ich das richtig verstanden habe ist es zwingend notwendig das Zertifikat meiner Zertifizierungstelle auf den betreffenden WLAN-Clients zu verteilen.
Nein, ist es nicht.
Man kann (sollte aber nicht!) die Prüfung auch einfach deaktivieren.
Zertifikate sind nur dann zwingend notwendig wenn sich damit der Client identifiziert, aber das ist bei dir scheinbar nicht der Fall.
P.S.: Ich habe die authentifizierungs von "Benutzerzertifikat" auf "Computerzertifikat" geändert. Zusättlich dazu dann auch die GPO angepasst wobei sich ein Client automatisch das Zertifikat austellt.
s.o.
Ich meine prinzipiell muss doch jetzt der "Bösewicht" nur das Computerzertifikat von einem der WLAN-Clients klauen und er kommt rein oder??
Ja, aber du willst doch nicht etwa sagen, dass du kein BitLocker o.Ä. auf deinen Laptops benutzt?
Im laufenden Betrieb können höchstens Administratoren das Zertifikat wieder exportieren.
Ja, richtig, das WPA Passwort hat mit der User Authentisierung nichts zu tun.
Wenn das "ausgeplappert" wird betrifft das aber nur die Datensicherheit bei der Übertragung, d.h. Daten können mitgelesen werden.
Wer wann ins WLAN darf regelt das aber keineswegs...andere Baustelle mit Radius und Zertifikaten usw.
Ein Zertifikat kann man nicht weitergeben. Derzeit ist das der sicherste Zugang, da du nicht nur eine User Authentisierung hast sondern auch eine Geräte Authentisierung. Man kommt also nur mit dem spezifischen Gerät (HW) ins WLAN.
Wenns geklaut wird musst du nur das eine Zertifikat revoken und das wars... weniger Arbeit als mit Username Passwort.
Dieses Tutorial hat noch ein paar Grundlagen dazu:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Wenn das "ausgeplappert" wird betrifft das aber nur die Datensicherheit bei der Übertragung, d.h. Daten können mitgelesen werden.
Wer wann ins WLAN darf regelt das aber keineswegs...andere Baustelle mit Radius und Zertifikaten usw.
Ein Zertifikat kann man nicht weitergeben. Derzeit ist das der sicherste Zugang, da du nicht nur eine User Authentisierung hast sondern auch eine Geräte Authentisierung. Man kommt also nur mit dem spezifischen Gerät (HW) ins WLAN.
Wenns geklaut wird musst du nur das eine Zertifikat revoken und das wars... weniger Arbeit als mit Username Passwort.
Dieses Tutorial hat noch ein paar Grundlagen dazu:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Was du beschreibst ist die klassische Authentisierung über Client Zertifikate die auf deinen Leihgeräten installiert sein müssen.
Man kommt dann nur mit dieser HW ins WLAN also genau das was du willst mit den Leihgeräten.
Wie die Authentisierung mit Username / Passwort gelingt zeigt dir das oben zitierte Tutorial im Detail.
Das dortige Zertifikat ist nur ein Radius Server Zertifikat das keiner einen anderen Radius Server heimlich im Netz "unterjubeln" kann um ungewollte User zu authentisieren.
Man kommt dann nur mit dieser HW ins WLAN also genau das was du willst mit den Leihgeräten.
Wie die Authentisierung mit Username / Passwort gelingt zeigt dir das oben zitierte Tutorial im Detail.
Das dortige Zertifikat ist nur ein Radius Server Zertifikat das keiner einen anderen Radius Server heimlich im Netz "unterjubeln" kann um ungewollte User zu authentisieren.