4
Wie kann man ein WLAN über EAP-TLS Radius richtig absichern?
Hallo zusammen, ich habe hier ein kleines Verständnis Problem:
Ich habe mich nun seit einiger Zeit mit dem Thema WLAN Authentifizierung per Radius befasst.
Mein Ziel ist es unser Firmen WLAN mit WPA2 Enterprise RICHTIG zu verschlüsseln und den Benutzern zu ermöglichen sich mit Benutzername und Passwort am WLAN anzumelden.
Hardwaretechnisch wird ein LANCOM 1823 Router eingesetzt der einen intergrierten Radiius Server hat.
Ich habe so ziemlioch alle Anleitungen die das Netz so her gab durchgelesen und konnte das ganze auch bereits funktionstüchtig umsetzen.
Als Default EAP Authentifizierungsmethode habe ich MSCHAPv2 eingestellt und die EAP-TLS Authentifizierung aktiviert.
Jetzt zu meiner Verständnisfrage:
Wenn ich die WLAN Verbindung beim Client einrichte kann ich unter dem Reiter -> Sicherheit -> Einstellungen
die Serverzertifikatüberprüfung ausschalten.
Wenn dann die richtigen Zugangsdaten für den Radius eingetragen werden funktioniert die WLAN Verbindung einwandfrei.
Aber bedeutet das jetzt dass dadurch Benutzername und Passwort unverschlüsselt übertragen wurden?
Oder dient die Zertifikatsüberprüfung nur zur Authentifizierung des richtigen Access Points?
Ich habe natürlich auch Zertifikate für Router und Client erstellt und dann die Serverzertifikat überprüfung eingeschaltet. Auch das funktioniert einwandfrei.
Aber wenn tatsächlich Benutzername und Passwort unverschlüsslt übertragen würden dann müsste ich die Clients doch auch irgendwie zwingen können dass sowohl ein gültiges Zertifikat als auch Benutzername und Passwort vorliegen müssen.
Gibt es dafür keine eigen Variante bei den ganzen EAP Methoden?
Ich wäre euch sehr dankbar wenn ihr mir zumindest meine Frage bzgl. Verschlüsselung von Benuzername und Passwort beantworten könntet.
Vielen Dank schonmal!
Ich habe mich nun seit einiger Zeit mit dem Thema WLAN Authentifizierung per Radius befasst.
Mein Ziel ist es unser Firmen WLAN mit WPA2 Enterprise RICHTIG zu verschlüsseln und den Benutzern zu ermöglichen sich mit Benutzername und Passwort am WLAN anzumelden.
Hardwaretechnisch wird ein LANCOM 1823 Router eingesetzt der einen intergrierten Radiius Server hat.
Ich habe so ziemlioch alle Anleitungen die das Netz so her gab durchgelesen und konnte das ganze auch bereits funktionstüchtig umsetzen.
Als Default EAP Authentifizierungsmethode habe ich MSCHAPv2 eingestellt und die EAP-TLS Authentifizierung aktiviert.
Jetzt zu meiner Verständnisfrage:
Wenn ich die WLAN Verbindung beim Client einrichte kann ich unter dem Reiter -> Sicherheit -> Einstellungen
die Serverzertifikatüberprüfung ausschalten.
Wenn dann die richtigen Zugangsdaten für den Radius eingetragen werden funktioniert die WLAN Verbindung einwandfrei.
Aber bedeutet das jetzt dass dadurch Benutzername und Passwort unverschlüsselt übertragen wurden?
Oder dient die Zertifikatsüberprüfung nur zur Authentifizierung des richtigen Access Points?
Ich habe natürlich auch Zertifikate für Router und Client erstellt und dann die Serverzertifikat überprüfung eingeschaltet. Auch das funktioniert einwandfrei.
Aber wenn tatsächlich Benutzername und Passwort unverschlüsslt übertragen würden dann müsste ich die Clients doch auch irgendwie zwingen können dass sowohl ein gültiges Zertifikat als auch Benutzername und Passwort vorliegen müssen.
Gibt es dafür keine eigen Variante bei den ganzen EAP Methoden?
Ich wäre euch sehr dankbar wenn ihr mir zumindest meine Frage bzgl. Verschlüsselung von Benuzername und Passwort beantworten könntet.
Vielen Dank schonmal!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 180372
Url: https://administrator.de/forum/wie-kann-man-ein-wlan-ueber-eap-tls-radius-richtig-absichern-180372.html
Ausgedruckt am: 03.05.2025 um 01:05 Uhr
4 Kommentare
Neuester Kommentar
Guckst du hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Das beantwortet dir alle Fragen...
Die Zertifikatsüberprüfung betrifft den Radius, damit keiner einen anderen dazwischen schieben kann. Steht aber auch in den Thread antworten.
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Das beantwortet dir alle Fragen...
Die Zertifikatsüberprüfung betrifft den Radius, damit keiner einen anderen dazwischen schieben kann. Steht aber auch in den Thread antworten.
Vielen Dank für die schnelle Antwort.
Habe mir das HowTo in Ruhe durchgelesen aber mein beiden Fragen beantwortet das leider nicht.
Den CT Artikel hatte ich auch schon gelesen aber auch dort wird meine Frage nicht beantwortet.
1) Bedeutet das deaktivieren der Serverzertifikat Überpüfung dass das Kennwort unverschlüsselt übertragen wird?
2) Gibt es eine Möglichkeit dass man sowohl Benutzername/Passwort als auch ein gültiges Zertifikat benötigt um authentifiziert zu werden?
Habe mir das HowTo in Ruhe durchgelesen aber mein beiden Fragen beantwortet das leider nicht.
Den CT Artikel hatte ich auch schon gelesen aber auch dort wird meine Frage nicht beantwortet.
1) Bedeutet das deaktivieren der Serverzertifikat Überpüfung dass das Kennwort unverschlüsselt übertragen wird?
2) Gibt es eine Möglichkeit dass man sowohl Benutzername/Passwort als auch ein gültiges Zertifikat benötigt um authentifiziert zu werden?
ad 1:
Nein, bitte lies den Radius RFC dann weisst du es ! Radius Authorisation Requests bzws Replies sind immer verschlüsselt auch ohne Zertifikat !
Wozu müsstest du sonst in den Device Konfig Files wohl ein Password für den Client (AP oder Controller) angeben !?!
ad 2.
Ja, genau das beschreibt doch das Tutorial ! Du kannst den Zertifikatstest erzwingen. Damit müssen beide Bedingungen User/Pass und Zertifikat erfüllt sein.
Macht ja auch Sinn damit dir nicht jemand einen falschen Authentisierungs Server "unterschiebt" ! Ohne Zertifikatstest ist das einfach möglich !
Steht doch alles so im Tutorial auch im 802.1x Teil, oder hast du das nicht gelesen...
Nein, bitte lies den Radius RFC dann weisst du es ! Radius Authorisation Requests bzws Replies sind immer verschlüsselt auch ohne Zertifikat !
Wozu müsstest du sonst in den Device Konfig Files wohl ein Password für den Client (AP oder Controller) angeben !?!
ad 2.
Ja, genau das beschreibt doch das Tutorial ! Du kannst den Zertifikatstest erzwingen. Damit müssen beide Bedingungen User/Pass und Zertifikat erfüllt sein.
Macht ja auch Sinn damit dir nicht jemand einen falschen Authentisierungs Server "unterschiebt" ! Ohne Zertifikatstest ist das einfach möglich !
Steht doch alles so im Tutorial auch im 802.1x Teil, oder hast du das nicht gelesen...
Alles klar, vielen Dank für eure Antworten!
