WLAN-Absicherung im Privatbereich: PSK vs. Radius vs. ?

Hallo zusammen,

ich nutze mein privates WLAN mit div. Clients nun schon eine ganze Weile in Verbindung mit freeradius.
Mir geht es dabei vor allem auch um die Möglichkeit, die Clients in verschiedene VLANs einzusortieren.
Bei der Nutzung von PSK ist das ja, soweit mir bekannt, nur möglich, wenn man entweder verschiedene SSIDs auf macht oder - ebenfalls per Radius - die Clients z.B. anhand ihrer MAC-Adresse den VLANs zuordnet.

Ich bin ansich ganz glücklich mit der Lösung, die Zertifikate auf die einzelnen Geräte zu verteilen, nun ist das aber a) recht viel Aufwand und b) gibt es immer mal wieder Geräte, die dabei Schwierigkeiten bereiten.

Wie handhabt ihr das? Mir sind die VLANs wichtig und ich möchte - z.B. in Zeiten von Homeoffice - nicht fremd-verwaltete Geräte in mein internes LAN lassen, sondern sie einfach abgeschottet vom Rest in einem separaten VLAN betreiben.

Content-Key: 766939509

Url: https://administrator.de/contentid/766939509

Ausgedruckt am: 28.07.2021 um 03:07 Uhr

Mitglied: transocean
transocean 22.06.2021 um 14:26:18 Uhr
Goto Top
Moin,

ich habe das hier zuhause mit einem internen WLAN und einem separaten für Gäste gelöst. Beide verpackt in jeweils einem separaten VLAN.

Gruß

Uwe
Mitglied: mrserious73
mrserious73 22.06.2021 um 18:32:32 Uhr
Goto Top
Ja, das machen glaub ich recht viele so.
Mein Problem ist: Recht viele Geräte, daher recht viele VLANs.
Ich müsste also div. SSIDs auf machen, was nicht wirklich eine Lösung ist.

Denke momentan über radius+MAC nach, das Einzige, was mir daran nicht gefällt: Die MAC ist nicht geheim und kann außerdem von jedem draußen probemlos gesniffed werden.
Mitglied: Looser27
Looser27 22.06.2021 um 18:35:41 Uhr
Goto Top
Ich habe zuhause 3 Vlan für WLAN Netze. Jedes WLAN mit eigenem Passwort entsprechender Länge und Komplexität. Radius zuhause halte ich für übertrieben wegen der Zertifikate.
Mitglied: mrserious73
mrserious73 22.06.2021 um 18:36:56 Uhr
Goto Top
Ja genau! Der Aufwand der Zertifikate ist es ja auch, der mich momentan am meisten stört.
Mitglied: aqui
aqui 22.06.2021 um 18:39:35 Uhr
Goto Top
Radius zuhause halte ich für übertrieben wegen der Zertifikate.
Das ist Unsinn, denn der Einsatz von Radius benötigt niemals zwingend auch Zertifikate. Wie kommst du auf sowas ?
Mitglied: mrserious73
mrserious73 22.06.2021 um 18:43:59 Uhr
Goto Top
Man kann es auch mit TTLS machen, also Benutzername+Passwort... aber ist das nicht mindestens ähnlich aufwendig?
Klar: Das User-Zertifikat muss nicht mehr auf jedem Gerät installiert werden. Aber das CA-Cert ja dennoch?
Mitglied: aqui
aqui 22.06.2021 um 18:53:41 Uhr
Goto Top
aber ist das nicht mindestens ähnlich aufwendig?
Na ja die Frage ist was du letztlich erreichen willst ?? Sicherheit und Aufwand sind immer gegesätliche Kurven und du musst selber den Schnittpunkt bestimmen. Wasch mich aber mach mich nicht naß gibt es nicht.
Mitglied: mrserious73
mrserious73 22.06.2021 um 18:58:53 Uhr
Goto Top
Das ist wahr ;)
Aber wenn ich das recht verstehe, ist TTLS ohne das CA-Cert auf den Clients ja auch nicht sonderlich sicher.
Zumindest im Vergleich zu echtem TLS, wo CA- und User-Zert auf den Geräten installiert sind.
Mitglied: Spirit-of-Eli
Spirit-of-Eli 23.06.2021 um 11:49:09 Uhr
Goto Top
Moin,

wenn es um die Sicherheit geht, richte ich beim Kunden immer Zert+UserAuth ein. Im weitesten Sinn ist dies ja eine zwei Faktor Authentifizierung.

Bei mir zuhause habe irgend wann angefangen nur einzelne SSIDs zu verwenden. Allerdings hat das bei mir nun zur Folge, das ich gut 7 Netze ausstrahle.

Ist schon ein wenig viel geworden. Zum Teil bin ich schon auf Mikrotik Geräte auf beiden Seiten umgestiegen nachdem ich verstanden habe, weswegen mein Wireless-Vlan-Bridging nicht funktioniert hat.

Gruß
Spirit
Mitglied: aqui
aqui 23.06.2021 aktualisiert um 13:38:37 Uhr
Goto Top
Allerdings hat das bei mir nun zur Folge, das ich gut 7 Netze ausstrahle.
Was recht kontraproduktiv ist, denn es geht massiv auf Kosten der Airtime. Die Airtime ist ein einem begrenzten und gesharten Medium WLAN immer eine feste Größe. Bei dir müssen in diesem Zeitslot nun 7 mal die kompletten Management Daten für die Clients für 7 MSSIDs ausgestrahlt werden. Bei entsprechender Client Anzahl bleibt da nicht mehr viel über für die eigentlichen Produktivdaten. Deshalb sollte man in einem MSSID Design niemals mehr als 3 vielleicht noch 4 MSSIDs nutzen sofern man Wert auf WLAN Performance legt.
Besser, da skalierbarer, ist dann immer die Userverwaltung mit dynamischen VLANs. So strahlt man nur eine einzige SSID aus und hat trotzdem eine sinnvolle Segmentierung in unterschiedliche Netze.
Mitglied: mrserious73
mrserious73 23.06.2021 um 13:54:04 Uhr
Goto Top
Richtig, zu viele SSIDs sind - aus genau dem Grunde - für mich auch keine Option.
Möchte maximal zwei: Ein internes und ein 0815-PSK-Netz für Gäste (separiertes VLAN, darf nur Surfen).

Die VLAN-Segmentierung bekommt man dann wohl nur über Radius hin.
Was haltet ihr denn von der Variante mit MAC-Auth? Denn wie ich oben schon schrieb: In meinem Vorgarten zu sitzen und sich ein paar meiner MACs aufzuschreiben ist ja wirklich kein Hexenwerk...
Mitglied: aqui
aqui 23.06.2021 aktualisiert um 14:29:36 Uhr
Goto Top
Die VLAN-Segmentierung bekommt man dann wohl nur über Radius hin.
Die Aussage stimmt so pauschal ja nicht. Es geht ja über MSSIDs ohne Radius. Wenn du aber auf MSSIDs verzichtest dann stimmt es nur bedingt.
Das geht bei einigen Herstellern auch statisch über die interne Zuweisung der User Credentials. Z.B. Dynamic Preshared Keys bei Ruckus. Radius ist da dann nicht zwingend und Bordmittel reichen.
Bei allen Herstellern die bei den lokalen statischen User Credentials keine VLAN Info zulassen musst du dann über Radius gehen.
Was haltet ihr denn von der Variante mit MAC-Auth?
Das kann man machen ist aber tricky geworden seitdem Apple und Android sog. Private WLAN Adressen verwenden also das Dynamisieren der Mac Adressen pro WLAN.
https://support.apple.com/de-de/HT211227
Damit haben Mobilgeräte dann immer wechselnde Mac Adressen um ein User Tracking und Vermarktung der privaten Bewegungs Profildaten zu verhindern. Per se ja sehr gut, konterkariert aber die Mac Authentisierung, so das sich deine Frage gar nicht erst stellt und man besser auf 802.1x User Credentials geht oder User Zertifikate wer es ganz wasserdicht haben möchte.
Mitglied: mrserious73
mrserious73 23.06.2021 um 15:02:24 Uhr
Goto Top
Was du zu den Möglichkeiten ohne Radius sagst stimmt natürlich, ich habe zu stark pauschalisiert.

Die randomisierten MACs sind bei den privaten Geräten kein Problem, da man beim jeweiligen WLAN-Profil (iOS wie Android) einfach einstellen kann, er möge seine "echte" MAC nutzen.

Reines TLS fänd ich ansich prima, gerade Android-Geräte stellen sich da aber manchmal quer.
Ironischerweise habe ich mit einem uralten iPhone 5 getestet: Tada, funktioniert einwandfrei.

Außerdem unterstützen viele kleinere Geräte ausschließlich WPA-PSK, z.B. die FireTV-Sticks, Spielekonsolen etc.
Mitglied: Spirit-of-Eli
Spirit-of-Eli 26.06.2021 um 10:13:28 Uhr
Goto Top
Zitat von @aqui:

Allerdings hat das bei mir nun zur Folge, das ich gut 7 Netze ausstrahle.
Was recht kontraproduktiv ist, denn es geht massiv auf Kosten der Airtime. Die Airtime ist ein einem begrenzten und gesharten Medium WLAN immer eine feste Größe.

Das stimmt schon. Ich habe mich auch vertan und mir früher etwas bei dem Setup überlegt.
Pro Band und Kanal werden max 3 SSIDs ausgestrahlt. Ich habe mich nur selbst verwirren lassen da ich die Mikrotiks alle händisch konfiguriert habe und es mittlerweile sehr unübersichtlich geworden ist.
Mitglied: aqui
aqui 26.06.2021 um 12:12:31 Uhr
Goto Top
da ich die Mikrotiks alle händisch konfiguriert habe
CapsMan ist dein bester Freund ! 😉
Heiß diskutierte Beiträge
question
Zentrale Lösung für Antivirus, Patchmanagement, Monitoring in einem?Andre82msVor 1 TagFrageSicherheits-Tools24 Kommentare

Hallo Zusammen, ich suche schon seit längerem eine gute Lösung, welche ein gut funktionierendes Patchmanagement, Anti-Virenscanner mit EDR sowie ein Monitoring in einem Dashboard beinhaltet ...

question
Signatur-Programm gesuchtArchanVor 1 TagFrageOutlook & Mail20 Kommentare

Hi zusammen, vorab als Info: Wir haben eine Mischung aus Office365 und 2016, sowie einen Exchange 2016 Server. Ich bin nun auf der Suche nach ...

question
Mitarbeiter ab gewisser Uhrzeit am arbeiten hindern gelöst passy951Vor 23 StundenFrageWindows Netzwerk20 Kommentare

Guten Morgen zusammen, ich wurde gestern von unseren Betriebsrat gefragt ob es möglich ist ab z.B. 20 Uhr die Mitarbeiter daran zu hindern zu arbeiten. ...

question
Wie lange kann ein PC in der Domain ohne Kontakt zur Domain betrieben werden?DaxAtDS9Vor 22 StundenFrageNetzwerkmanagement16 Kommentare

Hallo, bis vor einer Woche habe ich einen SBS2011 Server inkl. AD etc. in Betrieb gehabt. Nun habe ich ihn abgeschaltet und nutze einer der ...

question
Mikrotik vs. Unify - Warum mögt Ihr Unify nicht? gelöst tagol.deVor 1 TagFragePeripheriegeräte10 Kommentare

Hallo immer wieder lese ich, das hier auf Administrator.de Mikrotik bevorzugt wird. Aktuell habe ich zuhause 2 AP von Unify + Controller auf einem Rasberry ...

question
Domänencontroller von Windows Server 2016 auf Windows Server 2019 migrierenEstefaniaVor 16 StundenFrageWindows Server24 Kommentare

Hi. Kann mir ein Admin bei folgendem Problem weiterhelfen !? Wir haben insgesamt 5 Domänencontroller, die auf einem Windows Server 2016 laufen. Nun ist es ...

question
Home-Office Laptop kann DNS nicht auflösenLubosNovyVor 1 TagFrageWindows Netzwerk15 Kommentare

Hallo zusammen, Situation: Manche Kolleginnen arbeiten im Home-Office und sind über Sophos SSL Client verbunden. Die Notebooks sind von mir vorbereitet, in die Domänen aufgenommen ...

report
Positive Erfahrung mit VodafoneitebobVor 1 TagErfahrungsberichtFlatrates3 Kommentare

Hallo zusammen, vieles, was ich im Beitrag Erfahrungsbericht Vodafone - Die endlose Vertragsänderung und in Kommentaren lese, deckt sich mit meinen persönlichen Erfahrungen mit Vodafone. ...