9
Welche Art der Authentisierung benutzt ihr bei WLAN WPA-Enterprise?
Hallo zusammen,
im Enterprise WLAN haben PSKs nicht zu suchen, also wird WPA/Enterprise über RADIUS verwendet.
Zumeist wird hierzu was von Clientzertifikaten geschrieben, aber die meisten Anleitungen im Internet (auch hier die Anleitung von aqui) benutzen dann Benutzername/Passwort. Zumeist nicht das vom AD-Benutzer sondern ein eigenes (das der Benutzer nicht kennen sollte). Damit hat schon mal jedes Gerät seinen eigenen Zugang und kann separat gesperrt werden. Dann noch mit dem Zertifikat vom RADIUS Server und ein andere Rogue-RADIUS geht auch nicht.
Benutze ich Zertifikate, dann wird die Sache recht komplex und auch unübersichtlich, finde ich. Ich muss mir erst die ganze interne CA (hier Windows Server 2012) aufsetzen und dann für jedes Geräte ein
Zertifikat erzeugen und das noch sicher zum Client bekommen. Mit Client meine ich hier hauptsächlich Apple IOS und Android.
Bringt das wirklich mehr als Benutzername/Passwort (das der Benutzer nicht kennt)?
Klar, das Zertifikat ist einzigartig, aber wenn es darum geht einzelne Geräte aus dem WLAN auszuschließen sehe ich da keinen Vorteil.
Das sehe ich doch soweit richtig, oder?
Kann auch gut sein das ich hier was übersehe
Im Moment arbeiten wir auch mit zusätzlichen Benutzer/Passwort. Da in den nächsten Wochen noch eine ganze Reihe neuer Geräte hinzukommen, überlege ich wie man das komfortabler und sicherer machen könnte; beides geht wahrscheinlich wieder nicht.
Dazu meine Frage, wie macht ihr das in größeren Umgebungen (>50 Geräte)?
Danke!
VG,
deepsys
im Enterprise WLAN haben PSKs nicht zu suchen, also wird WPA/Enterprise über RADIUS verwendet.
Zumeist wird hierzu was von Clientzertifikaten geschrieben, aber die meisten Anleitungen im Internet (auch hier die Anleitung von aqui) benutzen dann Benutzername/Passwort. Zumeist nicht das vom AD-Benutzer sondern ein eigenes (das der Benutzer nicht kennen sollte). Damit hat schon mal jedes Gerät seinen eigenen Zugang und kann separat gesperrt werden. Dann noch mit dem Zertifikat vom RADIUS Server und ein andere Rogue-RADIUS geht auch nicht.
Benutze ich Zertifikate, dann wird die Sache recht komplex und auch unübersichtlich, finde ich. Ich muss mir erst die ganze interne CA (hier Windows Server 2012) aufsetzen und dann für jedes Geräte ein
Zertifikat erzeugen und das noch sicher zum Client bekommen. Mit Client meine ich hier hauptsächlich Apple IOS und Android.
Bringt das wirklich mehr als Benutzername/Passwort (das der Benutzer nicht kennt)?
Klar, das Zertifikat ist einzigartig, aber wenn es darum geht einzelne Geräte aus dem WLAN auszuschließen sehe ich da keinen Vorteil.
Das sehe ich doch soweit richtig, oder?
Kann auch gut sein das ich hier was übersehe
Im Moment arbeiten wir auch mit zusätzlichen Benutzer/Passwort. Da in den nächsten Wochen noch eine ganze Reihe neuer Geräte hinzukommen, überlege ich wie man das komfortabler und sicherer machen könnte; beides geht wahrscheinlich wieder nicht.
Dazu meine Frage, wie macht ihr das in größeren Umgebungen (>50 Geräte)?
Danke!
VG,
deepsys
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 339267
Url: https://administrator.de/contentid/339267
Ausgedruckt am: 24.11.2024 um 14:11 Uhr
9 Kommentare
Neuester Kommentar
Zumeist nicht das vom AD-Benutzer sondern ein eigenes
Hängt man den Radius aber direkt oder per LDAP ans AD oder nutzt den Winblows Radius (NPS) dann kann es auch der Benutzername sein 
Zertifikate ist natürlich immer der Königsweg und es ist die ewige Diskussion das erhöhte Sicherheit auch etwas mehr Aufwand bedeutet.
Wenn du die CA aber am rennen hast und die Zertifikate automatisch an die User distribuierst musst du ja nichts mehr machen.
Der User auch nicht, er wird vollständig automatisch eingeloggt und das wasserdicht.
Bequemer gehts dann nicht. Einziger Aufwand ist die CA.
Servus.
Grüße Uwe
Zitat von @Deepsys:
Benutze ich Zertifikate, dann wird die Sache recht komplex und auch unübersichtlich, finde ich.
Finde ich persönlich nicht, wenn man seine CA und das Netz entsprechend gut vorausplant.Benutze ich Zertifikate, dann wird die Sache recht komplex und auch unübersichtlich, finde ich.
Ich muss mir erst die ganze interne CA (hier Windows Server 2012) aufsetzen
Hat man sowieso meist schon.und dann für jedes Geräte ein Zertifikat erzeugen und das noch sicher zum Client bekommen.
Das bekommen die Clients hier vollautomatisch, die festen WS natürlich über das Auto-Enrollment.Mit Client meine ich hier hauptsächlich Apple IOS und Android.
Die werden hier über MDM verwaltet und bekommen Ihr Cert ebenfalls sicher gepusht. Das Erzeugen geschieht über ein Skript das beim Anlegen der User die Zertifikate generiert und vor Ablauf erneuert.Bringt das wirklich mehr als Benutzername/Passwort (das der Benutzer nicht kennt)?
Wenn man mit ablaufenden Kennwörtern arbeitet und man sowieso schon viel über Zertifikate authentifiziert vereinheitlicht und vereinfacht das auf jeden Fall einiges.Klar, das Zertifikat ist einzigartig, aber wenn es darum geht einzelne Geräte aus dem WLAN auszuschließen sehe ich da keinen Vorteil.
Das macht man ja sowieso über Gruppen. Wenn einem ein Angreifer das Passwort eines Users in die Hände fällt hat er es zumindest einfacher sich Zugang zu verschaffen als wenn er erst das Zertifikat des Users vom Device extrahieren muss.Dazu meine Frage, wie macht ihr das in größeren Umgebungen (>50 Geräte)?
Wenn die Infrastruktur mit Zertifikaten schon da ist warum sie nicht nutzen, zumal die Geräte sich dann schon lange vor der Anmeldung am AD authentifizieren und so auch die Computer-Policies rechtzeitiger ziehen können.Grüße Uwe
Zitat von @aqui:
Wenn du die CA aber am rennen hast und die Zertifikate automatisch an die User distribuierst musst du ja nichts mehr machen.
Moment, das verstehe ich hier nicht.Wenn du die CA aber am rennen hast und die Zertifikate automatisch an die User distribuierst musst du ja nichts mehr machen.
Du meinst das AutoEnrollment via Group Policy.
Ich muss doch dann immer noch das Benutzer-Zertifikat auf das iPhone bekommen?
Irgendwie stehe ich hier auf dem Schlauch ...
Zitat von @colinardo:
Moment, hat das was mit dem SCEP bzw. NDES-dienst zu tun?Mit Client meine ich hier hauptsächlich Apple IOS und Android.
Die werden hier über MDM verwaltet und bekommen Ihr Cert ebenfalls sicher gepusht. Das Erzeugen geschieht über ein Skript das beim Anlegen der User die Zertifikate generiert und vor Ablauf erneuert.Klar, das Zertifikat ist einzigartig, aber wenn es darum geht einzelne Geräte aus dem WLAN auszuschließen sehe ich da keinen Vorteil.
Das macht man ja sowieso über Gruppen. Wenn einem ein Angreifer das Passwort eines Users in die Hände fällt hat er es zumindest einfacher sich Zugang zu verschaffen als wenn er erst das Zertifikat des Users vom Device extrahieren muss.Wenn die Infrastruktur mit Zertifikaten schon da ist warum sie nicht nutzen, zumal die Geräte sich dann schon lange vor der Anmeldung am AD authentifizieren und so auch die Computer-Policies rechtzeitiger ziehen können.
Irgendwo stehe ich hier auf dem Schlauch, ich weiß aber noch nicht wo
Aqui meint User und du Computer???
Nein, hier nicht. Das geschieht hier komplett im MDM.
Wie immer, kommt es auf die Infrastruktur und das Unternehmen und deren Policies an. Und natürlich auf die Fähigkeiten des Admins .
Wenn ich sowieso schon eine CA betreibe nutze ich auch dessen Vorteile und Sicherheit.
Meist trennt man Gäste und Firmen-LAN ja sowieso immer, es gibt also nie die Lösung für alle. Das wird man immer individuell entscheiden.
Irgendwo stehe ich hier auf dem Schlauch, ich weiß aber noch nicht wo
Aqui meint User und du Computer???
Naja, Benutzername/Passwort ist vielleicht für den Anfänger leichter einzurichten, deswegen findest du im Netz meist häufiger nur Anleitungen zu Username/Passwort.Aqui meint User und du Computer???
Wie immer, kommt es auf die Infrastruktur und das Unternehmen und deren Policies an
. Und natürlich auf die Fähigkeiten des Admins .Wenn ich sowieso schon eine CA betreibe nutze ich auch dessen Vorteile und Sicherheit.
Meist trennt man Gäste und Firmen-LAN ja sowieso immer, es gibt also nie die Lösung für alle. Das wird man immer individuell entscheiden.
Moin,
wie oben schon erwähnt, mobile Geräte in ein separates VLAN.
Wenn Du einen Radius z.B. so aufsetzt, reicht Username und Passwort aus dem AD zur Anmeldung bei Android und Apple.
Einziges Manko ist, dass wenn das Passwort am PC geändert wurde, das mobile Device umgehend mit geändert werden muss. Apple z.B. versucht immer wieder sich mit den falschen Zugangsdaten einzuloggen.
Android hingegen nur 3 mal. Wenn man die Richtlinie entsprechend spitz eingestellt hat für die Anmeldung, sperrt das Handy somit das Benutzerkonto.
Aber das ist eine Erziehungssache. Irgendwann versteht das auch der letzte User....
Gruß
Looser
wie oben schon erwähnt, mobile Geräte in ein separates VLAN.
Wenn Du einen Radius z.B. so aufsetzt, reicht Username und Passwort aus dem AD zur Anmeldung bei Android und Apple.
Einziges Manko ist, dass wenn das Passwort am PC geändert wurde, das mobile Device umgehend mit geändert werden muss. Apple z.B. versucht immer wieder sich mit den falschen Zugangsdaten einzuloggen.
Android hingegen nur 3 mal. Wenn man die Richtlinie entsprechend spitz eingestellt hat für die Anmeldung, sperrt das Handy somit das Benutzerkonto.
Aber das ist eine Erziehungssache. Irgendwann versteht das auch der letzte User....
Gruß
Looser
Klar, wir haben auch verschieden WLANs in eigenen VLANs
Einziges Manko ist, dass wenn das Passwort am PC geändert wurde, das mobile Device umgehend mit geändert werden muss. Apple z.B. versucht immer wieder sich mit den falschen Zugangsdaten einzuloggen.
Android hingegen nur 3 mal. Wenn man die Richtlinie entsprechend spitz eingestellt hat für die Anmeldung, sperrt das Handy somit das Benutzerkonto.
Prima, das wäre meine nächste Frage gewesen, obwohl es eigentlich klar ist (wenn man ein wenig drüber nachdenkt).Android hingegen nur 3 mal. Wenn man die Richtlinie entsprechend spitz eingestellt hat für die Anmeldung, sperrt das Handy somit das Benutzerkonto.
Aber das ist eine Erziehungssache. Irgendwann versteht das auch der letzte User....
Hmm, da habe ich meine Zweifel
Kann ich aus Erfahrung sagen: Spätestens nach dem 3. Mal antanzen, weil der Account gesperrt wurde, findet man Post-its am Monitor mit dem Hinweis, dass das Passwort auf allen WLAN Geräten zu ändern ist
Moin,
Wir nutzen eine PKI und alle Computer erhalten per AutoEnrollment ein Zertifikat. Dieses wird u.a. dann auch für Authentifizierung an unseren WLAN an jedem Standort benutzt.
Gruß,
Dani
Prima, das wäre meine nächste Frage gewesen, obwohl es eigentlich klar ist (wenn man ein wenig drüber nachdenkt).
bevor ich Benutzer und Passwort nutze, setze ich lieber vorher noch DPSK ein. Alles andere führt früher oder später zu Problemen und belastet den UHD nur...Wir nutzen eine PKI und alle Computer erhalten per AutoEnrollment ein Zertifikat. Dieses wird u.a. dann auch für Authentifizierung an unseren WLAN an jedem Standort benutzt.
Gruß,
Dani
