10
Was ist die sicherste WLAN (enterprise) Methode?
Hallo zusammen,
Ich bin gerade dabei einen radius Server einzurichten und bin etwas überfragt welche die aktuell sicherste Verschlüsselung ist.
In allen Beschreibungen wird beim freeradius server user + passwort inklusive Zertifikat verwendet.
Jetzt habe ich gelesen, dass eap-tls aktuell die einzige sichere Methode ist. Somit würde ich mich nur mit einem Zertifikat anmelden.
Was sagen die Experten zu diesem Thema? Was ist derzeit die beste Lösung?
Ich bin gerade dabei einen radius Server einzurichten und bin etwas überfragt welche die aktuell sicherste Verschlüsselung ist.
In allen Beschreibungen wird beim freeradius server user + passwort inklusive Zertifikat verwendet.
Jetzt habe ich gelesen, dass eap-tls aktuell die einzige sichere Methode ist. Somit würde ich mich nur mit einem Zertifikat anmelden.
Was sagen die Experten zu diesem Thema? Was ist derzeit die beste Lösung?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 635997
Url: https://administrator.de/contentid/635997
Printed on: April 24, 2024 at 17:04 o'clock
10 Comments
Latest comment
Da solltest du dich nochmal genauer informieren.
EAP-TLS hat eine gewisse Sicherheit, die aber auch von der Umsetzung abhängt. Hier brauchst du zwingend eine gut funktionierende, gepflegte und abgesicherte PKI-Struktur und hast auch durch die Zertifikatsverteilung einen gewissen Mehraufwand. Hinzukommt, dass du, sobald du in Besitz eines gültigen Zertifikats bist, welches deine PKI ausgestellt hat, Zugriff auf das WLAN nehmen kannst. Sprich du musst konsequent jedes Zertifikat sperren und über über eine Onlinevalidierungsmethode überprüfbar machen können.
Deine Frage ist aber auch sehr ungenau formuliert.
Am Client ist das ein peap-mschapv2 was sicherheitstechnisch eine absolute Katastrophe ist.
Das ist falsch, da vertust du dich mit dem reinen MSCHAPv2. PEAP-MSCHAPv2 ist die Variante, die in einem TLS-Tunnel betrieben wird. Alle Methoden, die ein vorangestelltes PEAP haben, sind sicherheitstechnisch ähnlich zu bewerten, was die Übertragungssicherheit betrifft, da diese alle in einem TLS-Tunnel vom Client zum RADIUS-Server übertragen werden. Die innenliegende Methode ist kryptografisch irrelevant, hier geht es am Ende nur noch um andere Schutzmechanismen.EAP-TLS hat eine gewisse Sicherheit, die aber auch von der Umsetzung abhängt. Hier brauchst du zwingend eine gut funktionierende, gepflegte und abgesicherte PKI-Struktur und hast auch durch die Zertifikatsverteilung einen gewissen Mehraufwand. Hinzukommt, dass du, sobald du in Besitz eines gültigen Zertifikats bist, welches deine PKI ausgestellt hat, Zugriff auf das WLAN nehmen kannst. Sprich du musst konsequent jedes Zertifikat sperren und über über eine Onlinevalidierungsmethode überprüfbar machen können.
Deine Frage ist aber auch sehr ungenau formuliert.
Ich bin gerade dabei einen radius Server einzurichten und bin etwas überfragt welche die aktuell sicherste Verschlüsselung ist.
Mit der eigentlichen WLAN-Verschlüsselung hat es dann nichts weiter zu tun. Die Verschlüsselung der WPA-Methoden wird durch den WLAN-Standard und nicht die verwendete RADIUS-Methode definiert. WPA2 bietet nur wenige Abweichungen vom normalen CCMP an, wobei nur sehr wenige Geräte mehr als CCMP-128 unterstützen. WPA3 bietet hier noch die Suite B-Cipher an, hier hab ich aber auch noch kein Gerät gefunden, welches die clientseitig akzeptiert.
Ja du warst etwas schneller im Antworten als ich. Ich hatte in der Zwischenzeit den Text mit dem peap-mschapv2 gelöscht da ich das mittlerweile auch gelesen hatte. Ich hatte das mit einem reinen eap-mschapv2 verwechselt.
Danke für die ausführliche Antwort. Das mit den Zertifikaten sperren hatte ich noch gar nicht bedacht. Somit wäre der aktuell beste Weg wohl ein peap-mschapv2 (User + passwort + Zertifikat).
Kann man das am freeradius server erzwingen? Nicht das jemand einfach nur User + passwort verwendet und somit der Sicherheits Aspekt dahin ist?
Danke für die ausführliche Antwort. Das mit den Zertifikaten sperren hatte ich noch gar nicht bedacht. Somit wäre der aktuell beste Weg wohl ein peap-mschapv2 (User + passwort + Zertifikat).
Kann man das am freeradius server erzwingen? Nicht das jemand einfach nur User + passwort verwendet und somit der Sicherheits Aspekt dahin ist?
Das Zertifikat ist auf Serverseite. Damit weist sich der RADIUS-Server dem Client gegenüber aus und sichert, wie bei HTTPS-Verbindungen, den Tunnel. Der Client selbst hat nur seine Zugangsdaten.
Aber am Client muss auch ein Zertifikat sein. Sonst würde die Anfrage ja unverschlüsselt gestellt werden oder?
https://www.elektronik-kompendium.de/sites/net/1706131.htm#:~:text=TLS%2 ....
Bitte einmal durchlesen
Bitte einmal durchlesen
Der Client hat den öffentlichen Teil des Zertifikats der CA in seinem Zertifikatsspeicher. Genauso wie bei HTTPS auch, ansonsten wäre könnte der Client das Zertifikat des Servers nicht validieren und würde die Verbindung als nicht vertrauenswürdig markieren.
Der Client selbst verfügt aber über keinerlei Zertifikat samt Private Key, mit dem er sich dem Server gegenüber ausweist. Das braucht man bei EAP-TLS.
Der Client selbst verfügt aber über keinerlei Zertifikat samt Private Key, mit dem er sich dem Server gegenüber ausweist. Das braucht man bei EAP-TLS.
Oh man, ich hab gerade etwas falsch gedacht! Oder besser gesagt nicht drüber nachgedacht.
Natürlich hast du Recht.
Danke auf jeden Fall für die Infos.
Das hilft mir schon mal weiter.
Natürlich hast du Recht.
Danke auf jeden Fall für die Infos.
Das hilft mir schon mal weiter.
Könnte man peap-mschapv2 mit eap-tls verbinden?
Server cert + User + passwort + Client cert
Oder wäre das zu viel des Guten?
Server cert + User + passwort + Client cert
Oder wäre das zu viel des Guten?
Zitat von @joe2017:
Könnte man peap-mschapv2 mit eap-tls verbinden?
Server cert + User + passwort + Client cert
Oder wäre das zu viel des Guten?
Könnte man peap-mschapv2 mit eap-tls verbinden?
Server cert + User + passwort + Client cert
Oder wäre das zu viel des Guten?
Du schiesst dir damit aber aus o.g. angeführten Gründen ggf. selbst ins Bein.
Du musst auch darauf achten, dass die Clients es können. So direkt geht es nicht, aber du könntest WPA mit EAP-TLS betreiben und das WLAN erreicht nur ein VPN-Gateway und dann bauen die Clients einen VPN-Tunnel auf, durch den sämtlicher Traffic abgewickelt wird.
Aber du solltest einfach mal deine Sicherheitsbedürfnisse hinterfragen, ob WLAN da wirklich noch für dich geeignet ist.
Aber du solltest einfach mal deine Sicherheitsbedürfnisse hinterfragen, ob WLAN da wirklich noch für dich geeignet ist.
