6
WLan Authentifizierung über Freeradius mit EAP und ldap
Hallo zusammen,
Ich bin neuer Azubi als Fachinformatiker und habe gleich eine knackige Aufgabe von meinem Chef gestellt bekommen.
Das Firmen interne WLan ist mehr als nur schlecht gesichert und meine Aufgabe ist es nun eine gute Lösung vorzustellen, wie wir das ganze anders lösen können.
Nun zu meinem Plan:
Ich möchte mittles Access Points und Repeatern das WLan "durch" die Firma verteilen und die Anmeldung soll über einen von mir konfiguriertem FreeRadius Server über die in unserer Firma vorhanden OpenLdap Datenbank erfolgen.
Dabei soll alles durch OpenSSL Zertifikate gesichert werden.
Was ich bisher hinbekomme ist das sich ein nutzer mit seinen Ldap Daten am Access Point anmeldet und wenn auf dem zu verbindendem Gerät das von mir erstellte ca Zertifikat vorhanden ist klappt auch alles soweit.
Eig. sollte es das ja sein, aber das reicht mir noch nicht ganz an Sicherheit. Deshalb meine frage:
Gibt es die Möglichkeit am FreeRadius Server Einstellungen zu machen das der Client der ins WLan möchte nicht nur das ca Zertifikat benötigt, sondern auch ein Client Zertifikat das mit dem ca.key "unterschrieben" wurde ? Sodass fals ein Laptop geklaut wird oder ein Mitarbeiter aus der Firma ausscheidet, man nur noch das Zertifikat des Clients sperren braucht und das Gerät dann nicht mehr ins WLan kommt ?
Danke für Antworten im voraus
Ich bin neuer Azubi als Fachinformatiker und habe gleich eine knackige Aufgabe von meinem Chef gestellt bekommen.
Das Firmen interne WLan ist mehr als nur schlecht gesichert und meine Aufgabe ist es nun eine gute Lösung vorzustellen, wie wir das ganze anders lösen können.
Nun zu meinem Plan:
Ich möchte mittles Access Points und Repeatern das WLan "durch" die Firma verteilen und die Anmeldung soll über einen von mir konfiguriertem FreeRadius Server über die in unserer Firma vorhanden OpenLdap Datenbank erfolgen.
Dabei soll alles durch OpenSSL Zertifikate gesichert werden.
Was ich bisher hinbekomme ist das sich ein nutzer mit seinen Ldap Daten am Access Point anmeldet und wenn auf dem zu verbindendem Gerät das von mir erstellte ca Zertifikat vorhanden ist klappt auch alles soweit.
Eig. sollte es das ja sein, aber das reicht mir noch nicht ganz an Sicherheit. Deshalb meine frage:
Gibt es die Möglichkeit am FreeRadius Server Einstellungen zu machen das der Client der ins WLan möchte nicht nur das ca Zertifikat benötigt, sondern auch ein Client Zertifikat das mit dem ca.key "unterschrieben" wurde ? Sodass fals ein Laptop geklaut wird oder ein Mitarbeiter aus der Firma ausscheidet, man nur noch das Zertifikat des Clients sperren braucht und das Gerät dann nicht mehr ins WLan kommt ?
Danke für Antworten im voraus
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 227365
Url: https://administrator.de/contentid/227365
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
6 Kommentare
Neuester Kommentar
Die entsprechenden Forums Tutorials zu dem Thema hier hast du alle gelesen ??
Freeradius Management mit WebGUI
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
und
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
und als Plattform für den FreeRadius:
Netzwerk Management Server mit Raspberry Pi
Das sollte (fast) alle Fragen beantworten. Und Ja...du kannst auch mit Client Zertifikaten arbeiten musst dann aber EAP-TLS verwenden.
Freeradius Management mit WebGUI
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
und
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
und als Plattform für den FreeRadius:
Netzwerk Management Server mit Raspberry Pi
Das sollte (fast) alle Fragen beantworten. Und Ja...du kannst auch mit Client Zertifikaten arbeiten musst dann aber EAP-TLS verwenden.
Danke erstmal für die schnelle Antwort.
Die ersten beiden Links bin ich am Anfang meines "Experiments" schon mal durchgegangen und hat mir auch sehr weiter geholfen. Bin es jetzt nochmal überflogen. In den beiden Tutorials geht es ja mehr oder weniger um das was ich bisher eingerichtet habe, aber weniger um die Einstellung der Client Zertifikate. Nach meinem Verständnis müsste es ja eig. reichen den "EAP-TLS-REQUIRE-CLIENT-CERT = Yes" aus den Kommentaren zu entfernen, laut den Kommentaren in der Config setzt Peap dann ein Client Cert vorraus. Nur irgendwie will es nicht so recht funktionieren. Bin mir nicht sicher ob ich was bei den Zertifikaten falsch mache oder am Freeradius Server noch andere Dinge einstellen muss.
Zu deinem dritten Link, um ein Bediener freundliches Front-End für die ganze Geschichte wollte ich mich kümmern, wenn ich das alles 100% über die Kommandozeile hinkriege
Die ersten beiden Links bin ich am Anfang meines "Experiments" schon mal durchgegangen und hat mir auch sehr weiter geholfen. Bin es jetzt nochmal überflogen. In den beiden Tutorials geht es ja mehr oder weniger um das was ich bisher eingerichtet habe, aber weniger um die Einstellung der Client Zertifikate. Nach meinem Verständnis müsste es ja eig. reichen den "EAP-TLS-REQUIRE-CLIENT-CERT = Yes" aus den Kommentaren zu entfernen, laut den Kommentaren in der Config setzt Peap dann ein Client Cert vorraus. Nur irgendwie will es nicht so recht funktionieren. Bin mir nicht sicher ob ich was bei den Zertifikaten falsch mache oder am Freeradius Server noch andere Dinge einstellen muss.
Zu deinem dritten Link, um ein Bediener freundliches Front-End für die ganze Geschichte wollte ich mich kümmern, wenn ich das alles 100% über die Kommandozeile hinkriege
Du hast Recht...auf Client Zertifikate geht das Tutorial nicht im Detail ein. Ist mal ne Anregung für die Erweiterung 
Es gibt im Web aber ne Menge Anleitungen. Einfach mal nach User Certificate suchen....
Da kommt schon was Grundlegendes wie z.B. hier:
https://www2.lancom.de/kb.nsf/1276/9D2DB33FAF75A9E0C12578FE00428158?Open ...
http://www.cisco.com/en/US/products/sw/secursw/ps2086/products_white_pa ...
usw.
Es gibt im Web aber ne Menge Anleitungen. Einfach mal nach User Certificate suchen....
Da kommt schon was Grundlegendes wie z.B. hier:
https://www2.lancom.de/kb.nsf/1276/9D2DB33FAF75A9E0C12578FE00428158?Open ...
http://www.cisco.com/en/US/products/sw/secursw/ps2086/products_white_pa ...
usw.
Sooo ich bins dann nochmal ....
Ich komm irgendwie überhaupt nicht weiter und habe kein blassen schimmer woran es liegen kann.
Soweit ich es jetzt verstanden habe, bestätigt der Server den Client und umgekehrt mit Zertifikaten ihre Vertrauenswürdigkeit bei der Methode Eap-Tls, ohne das man groß was umstellt.
Was ich bei meiner Testumgebung nicht verstehe ist, wenn ich das Root Ca am Client installiere reicht es um ihn zu authentifizieren. Der Server will anscheind überhaupt kein Client Zertifikat sehen ?
Hat evt. jmd. ein Tipp wo ich ein Fehler machen könnte ?
Danke für Antworten
Ich komm irgendwie überhaupt nicht weiter und habe kein blassen schimmer woran es liegen kann.
Soweit ich es jetzt verstanden habe, bestätigt der Server den Client und umgekehrt mit Zertifikaten ihre Vertrauenswürdigkeit bei der Methode Eap-Tls, ohne das man groß was umstellt.
Was ich bei meiner Testumgebung nicht verstehe ist, wenn ich das Root Ca am Client installiere reicht es um ihn zu authentifizieren. Der Server will anscheind überhaupt kein Client Zertifikat sehen ?
Hat evt. jmd. ein Tipp wo ich ein Fehler machen könnte ?
Danke für Antworten
Schon weitergekommen? Prinzipiell hast Du nämlich schon recht - mit EAP-TLS müssen auf beiden Seiten Zertifikate vorhanden sein, die von der gleichen CA unterschrieben wurden (bzw. irgendwie von der gleichen CA abstammen - geht auch mit Zwischenzertifizierungsstellen). Hast Du vielleicht EAP-TTLS ausgewählt?
Das ist nämlich nicht das gleiche wie EAP-TLS - hier baut der Client quasi wie bei einer HTTPS-Verbindung eine verschlüsselte Verbindung auf und benutzt dazu das Zertifikat, das der Radius-Server ihm präsentiert - der Client selbst braucht aber keins. Innerhalb dieses verschlüsselten Tunnels wird dann das Passwort übertragen, was in verschiedenen Formen möglich ist (z.B. als MD5-Hash, mittels MSCHAP/v2, etc.). PEAP funktioniert übrigens sehr ähnlich...
Das ist nämlich nicht das gleiche wie EAP-TLS - hier baut der Client quasi wie bei einer HTTPS-Verbindung eine verschlüsselte Verbindung auf und benutzt dazu das Zertifikat, das der Radius-Server ihm präsentiert - der Client selbst braucht aber keins. Innerhalb dieses verschlüsselten Tunnels wird dann das Passwort übertragen, was in verschiedenen Formen möglich ist (z.B. als MD5-Hash, mittels MSCHAP/v2, etc.). PEAP funktioniert übrigens sehr ähnlich...
Was ich bei meiner Testumgebung nicht verstehe ist, wenn ich das Root Ca am Client installiere reicht es um ihn zu authentifizieren. Der Server will anscheind überhaupt kein Client Zertifikat sehen ?
Das kommt drauf an....!Hättest du das o.a. Tutorial wirklich einmal nur ansatzweise gelesen wäre diese Frage überflüssig gewesen !!
Du kannst am .1x Client in den Settings anhaken ob eine Server Zertifikatsüberprüfung stattfinden soll oder nicht. In so fern ist es möglich das der Client das Server Zertifikat gar nicht prüft.
Das das natürlich völliger Blödsinn ist das zu deaktivieren sollte auch dir einleuchten ! Die Zertifikatsabfrage ist ja genau dafür da zu verhindern das jemand den Geräten einen "Fremd Radius" unterschiebt und so die Authentisierung aushebelt.
Da kannst du dann auch gleich ein völlig offenes WLAN betreiben.
Es macht nur Sinn das temporär aus Troubleshooting Gründen mal zu entfernen. Dauergaft das zu machen wäre unsinnig und kontraproduktiv zu einem Radius Konzept.
WO bitte genau kommst du denn nun nicht weiter ?? Mit der o.a. Anleitung ist das doch nun wirklich ein Kinderspiel und klappt z.B. auf einem Raspberry Pi auf Anhieb. Bei Winblows sowieso...
Was sagen denn die Radius Logs ?
Eine gute zusätzliche Hilfestellung bietet das hier noch:
http://www.heise.de/netze/artikel/WLAN-sichern-mit-Radius-1075339.html
Das sollte generell für einen Fachinformatiker keine Hürde sein, denn das bekommt auch jeder Laie hin.
