deepsys
Goto Top

Welche Art der Authentisierung benutzt ihr bei WLAN WPA-Enterprise?

Hallo zusammen,

im Enterprise WLAN haben PSKs nicht zu suchen, also wird WPA/Enterprise über RADIUS verwendet.

Zumeist wird hierzu was von Clientzertifikaten geschrieben, aber die meisten Anleitungen im Internet (auch hier die Anleitung von aqui) benutzen dann Benutzername/Passwort. Zumeist nicht das vom AD-Benutzer sondern ein eigenes (das der Benutzer nicht kennen sollte). Damit hat schon mal jedes Gerät seinen eigenen Zugang und kann separat gesperrt werden. Dann noch mit dem Zertifikat vom RADIUS Server und ein andere Rogue-RADIUS geht auch nicht.

Benutze ich Zertifikate, dann wird die Sache recht komplex und auch unübersichtlich, finde ich. Ich muss mir erst die ganze interne CA (hier Windows Server 2012) aufsetzen und dann für jedes Geräte ein
Zertifikat erzeugen und das noch sicher zum Client bekommen. Mit Client meine ich hier hauptsächlich Apple IOS und Android.
Bringt das wirklich mehr als Benutzername/Passwort (das der Benutzer nicht kennt)?
Klar, das Zertifikat ist einzigartig, aber wenn es darum geht einzelne Geräte aus dem WLAN auszuschließen sehe ich da keinen Vorteil.

Das sehe ich doch soweit richtig, oder?
Kann auch gut sein das ich hier was übersehe face-smile

Im Moment arbeiten wir auch mit zusätzlichen Benutzer/Passwort. Da in den nächsten Wochen noch eine ganze Reihe neuer Geräte hinzukommen, überlege ich wie man das komfortabler und sicherer machen könnte; beides geht wahrscheinlich wieder nicht.

Dazu meine Frage, wie macht ihr das in größeren Umgebungen (>50 Geräte)?

Danke!

VG,
deepsys

Content-Key: 339267

Url: https://administrator.de/contentid/339267

Printed on: May 21, 2024 at 11:05 o'clock

Member: aqui
aqui May 30, 2017 at 08:42:57 (UTC)
Goto Top
Zumeist nicht das vom AD-Benutzer sondern ein eigenes
Hängt man den Radius aber direkt oder per LDAP ans AD oder nutzt den Winblows Radius (NPS) dann kann es auch der Benutzername sein face-wink
Zertifikate ist natürlich immer der Königsweg und es ist die ewige Diskussion das erhöhte Sicherheit auch etwas mehr Aufwand bedeutet.
Wenn du die CA aber am rennen hast und die Zertifikate automatisch an die User distribuierst musst du ja nichts mehr machen.
Der User auch nicht, er wird vollständig automatisch eingeloggt und das wasserdicht.
Bequemer gehts dann nicht. Einziger Aufwand ist die CA.
Member: colinardo
Solution colinardo May 30, 2017 updated at 08:48:46 (UTC)
Goto Top
Servus.
Zitat von @Deepsys:
Benutze ich Zertifikate, dann wird die Sache recht komplex und auch unübersichtlich, finde ich.
Finde ich persönlich nicht, wenn man seine CA und das Netz entsprechend gut vorausplant.
Ich muss mir erst die ganze interne CA (hier Windows Server 2012) aufsetzen
Hat man sowieso meist schon.
und dann für jedes Geräte ein Zertifikat erzeugen und das noch sicher zum Client bekommen.
Das bekommen die Clients hier vollautomatisch, die festen WS natürlich über das Auto-Enrollment.
Mit Client meine ich hier hauptsächlich Apple IOS und Android.
Die werden hier über MDM verwaltet und bekommen Ihr Cert ebenfalls sicher gepusht. Das Erzeugen geschieht über ein Skript das beim Anlegen der User die Zertifikate generiert und vor Ablauf erneuert.
Bringt das wirklich mehr als Benutzername/Passwort (das der Benutzer nicht kennt)?
Wenn man mit ablaufenden Kennwörtern arbeitet und man sowieso schon viel über Zertifikate authentifiziert vereinheitlicht und vereinfacht das auf jeden Fall einiges.
Klar, das Zertifikat ist einzigartig, aber wenn es darum geht einzelne Geräte aus dem WLAN auszuschließen sehe ich da keinen Vorteil.
Das macht man ja sowieso über Gruppen. Wenn einem ein Angreifer das Passwort eines Users in die Hände fällt hat er es zumindest einfacher sich Zugang zu verschaffen als wenn er erst das Zertifikat des Users vom Device extrahieren muss.
Dazu meine Frage, wie macht ihr das in größeren Umgebungen (>50 Geräte)?
Wenn die Infrastruktur mit Zertifikaten schon da ist warum sie nicht nutzen, zumal die Geräte sich dann schon lange vor der Anmeldung am AD authentifizieren und so auch die Computer-Policies rechtzeitiger ziehen können.

Grüße Uwe
Member: Deepsys
Deepsys May 30, 2017 at 08:47:25 (UTC)
Goto Top
Zitat von @aqui:
Wenn du die CA aber am rennen hast und die Zertifikate automatisch an die User distribuierst musst du ja nichts mehr machen.
Moment, das verstehe ich hier nicht.
Du meinst das AutoEnrollment via Group Policy.
Ich muss doch dann immer noch das Benutzer-Zertifikat auf das iPhone bekommen?
Irgendwie stehe ich hier auf dem Schlauch ...
Member: Deepsys
Deepsys May 30, 2017 at 08:53:18 (UTC)
Goto Top
Zitat von @colinardo:
Mit Client meine ich hier hauptsächlich Apple IOS und Android.
Die werden hier über MDM verwaltet und bekommen Ihr Cert ebenfalls sicher gepusht. Das Erzeugen geschieht über ein Skript das beim Anlegen der User die Zertifikate generiert und vor Ablauf erneuert.
Moment, hat das was mit dem SCEP bzw. NDES-dienst zu tun?

Klar, das Zertifikat ist einzigartig, aber wenn es darum geht einzelne Geräte aus dem WLAN auszuschließen sehe ich da keinen Vorteil.
Das macht man ja sowieso über Gruppen. Wenn einem ein Angreifer das Passwort eines Users in die Hände fällt hat er es zumindest einfacher sich Zugang zu verschaffen als wenn er erst das Zertifikat des Users vom Device extrahieren muss.
Ja, stimmt ....

Wenn die Infrastruktur mit Zertifikaten schon da ist warum sie nicht nutzen, zumal die Geräte sich dann schon lange vor der Anmeldung am AD authentifizieren und so auch die Computer-Policies rechtzeitiger ziehen können.

Irgendwo stehe ich hier auf dem Schlauch, ich weiß aber noch nicht wo face-wink
Aqui meint User und du Computer???
Member: colinardo
colinardo May 30, 2017 updated at 09:00:30 (UTC)
Goto Top
Zitat von @Deepsys:
Moment, hat das was mit dem SCEP bzw. NDES-dienst zu tun?
Nein, hier nicht. Das geschieht hier komplett im MDM.
Irgendwo stehe ich hier auf dem Schlauch, ich weiß aber noch nicht wo face-wink
Aqui meint User und du Computer???
Naja, Benutzername/Passwort ist vielleicht für den Anfänger leichter einzurichten, deswegen findest du im Netz meist häufiger nur Anleitungen zu Username/Passwort.
Wie immer, kommt es auf die Infrastruktur und das Unternehmen und deren Policies an face-wink. Und natürlich auf die Fähigkeiten des Admins face-smile.
Wenn ich sowieso schon eine CA betreibe nutze ich auch dessen Vorteile und Sicherheit.

Meist trennt man Gäste und Firmen-LAN ja sowieso immer, es gibt also nie die Lösung für alle. Das wird man immer individuell entscheiden.
Member: Looser27
Solution Looser27 May 30, 2017 at 09:47:40 (UTC)
Goto Top
Moin,

wie oben schon erwähnt, mobile Geräte in ein separates VLAN.
Wenn Du einen Radius z.B. so aufsetzt, reicht Username und Passwort aus dem AD zur Anmeldung bei Android und Apple.

Einziges Manko ist, dass wenn das Passwort am PC geändert wurde, das mobile Device umgehend mit geändert werden muss. Apple z.B. versucht immer wieder sich mit den falschen Zugangsdaten einzuloggen.
Android hingegen nur 3 mal. Wenn man die Richtlinie entsprechend spitz eingestellt hat für die Anmeldung, sperrt das Handy somit das Benutzerkonto.
Aber das ist eine Erziehungssache. Irgendwann versteht das auch der letzte User....

Gruß

Looser
Member: Deepsys
Deepsys May 30, 2017 at 10:02:45 (UTC)
Goto Top
Zitat von @Looser27:
wie oben schon erwähnt, mobile Geräte in ein separates VLAN.
Klar, wir haben auch verschieden WLANs in eigenen VLANs face-smile

Einziges Manko ist, dass wenn das Passwort am PC geändert wurde, das mobile Device umgehend mit geändert werden muss. Apple z.B. versucht immer wieder sich mit den falschen Zugangsdaten einzuloggen.
Android hingegen nur 3 mal. Wenn man die Richtlinie entsprechend spitz eingestellt hat für die Anmeldung, sperrt das Handy somit das Benutzerkonto.
Prima, das wäre meine nächste Frage gewesen, obwohl es eigentlich klar ist (wenn man ein wenig drüber nachdenkt).

Aber das ist eine Erziehungssache. Irgendwann versteht das auch der letzte User....
Hmm, da habe ich meine Zweifel face-wink
Member: Looser27
Looser27 May 30, 2017 at 10:17:35 (UTC)
Goto Top
Kann ich aus Erfahrung sagen: Spätestens nach dem 3. Mal antanzen, weil der Account gesperrt wurde, findet man Post-its am Monitor mit dem Hinweis, dass das Passwort auf allen WLAN Geräten zu ändern ist face-wink
Member: Dani
Dani May 30, 2017 at 12:39:25 (UTC)
Goto Top
Moin,
Prima, das wäre meine nächste Frage gewesen, obwohl es eigentlich klar ist (wenn man ein wenig drüber nachdenkt).
bevor ich Benutzer und Passwort nutze, setze ich lieber vorher noch DPSK ein. Alles andere führt früher oder später zu Problemen und belastet den UHD nur...

Wir nutzen eine PKI und alle Computer erhalten per AutoEnrollment ein Zertifikat. Dieses wird u.a. dann auch für Authentifizierung an unseren WLAN an jedem Standort benutzt.


Gruß,
Dani