123788
Sep 19, 2015, updated at 16:48:52 (UTC)
2091
6
0
WLAN mit freeradius möglichst gut sichern
Hallo zusammen,
habe ein Standard-Problem: Ein WLAN-Netz, das mit freeradius gesichert werden soll.
Es kommt nur TTLS - und leider für manche Handies PEAP - in Frage.
Das Serverzertifikat habe ich mit easyrsa erstellt, meine bisherige config sieht folgendermaßen aus:
eap {
default_eap_type = ttls
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
max_sessions = 4096
tls {
certdir = ${confdir}/certs
cadir = ${confdir}/certs
private_key_file = ${certdir}/wlan.key
certificate_file = ${certdir}/wlan.crt
dh_file = ${certdir}/dh2048.pem
random_file = /dev/urandom
cipher_list = "DEFAULT"
make_cert_command = "${certdir}/bootstrap"
cache {
enable = no
max_entries = 255
}
}
ttls {
default_eap_type = mschapv2
copy_request_to_tunnel = yes
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
mschapv2 {
}
peap {
default_eap_type = mschapv2
copy_request_to_tunnel = no
use_tunneled_reply = no
virtual_server = "inner-tunnel"
}
}
Nun kann man solche Systeme ja recht einfach mit Man-in-the-Middle angreifen.
Daher meine Frage: Bieten lange User-Kennwörter guten Schutz?
Wenn ich einem Benutzernamen z.B. ein 70-stelliges Passwort zuordne?
Was empfehlt ihr?
Grüße
habe ein Standard-Problem: Ein WLAN-Netz, das mit freeradius gesichert werden soll.
Es kommt nur TTLS - und leider für manche Handies PEAP - in Frage.
Das Serverzertifikat habe ich mit easyrsa erstellt, meine bisherige config sieht folgendermaßen aus:
eap {
default_eap_type = ttls
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
max_sessions = 4096
tls {
certdir = ${confdir}/certs
cadir = ${confdir}/certs
private_key_file = ${certdir}/wlan.key
certificate_file = ${certdir}/wlan.crt
- Wird nur fuer EAP-TLS benoetigt
- CA_file = ${cadir}/ca.crt
dh_file = ${certdir}/dh2048.pem
random_file = /dev/urandom
cipher_list = "DEFAULT"
make_cert_command = "${certdir}/bootstrap"
- Elliptical cryptography configuration
- Only for OpenSSL >= 0.9.8.f
cache {
enable = no
max_entries = 255
}
}
ttls {
default_eap_type = mschapv2
copy_request_to_tunnel = yes
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
mschapv2 {
}
peap {
default_eap_type = mschapv2
copy_request_to_tunnel = no
use_tunneled_reply = no
virtual_server = "inner-tunnel"
}
}
Nun kann man solche Systeme ja recht einfach mit Man-in-the-Middle angreifen.
Daher meine Frage: Bieten lange User-Kennwörter guten Schutz?
Wenn ich einem Benutzernamen z.B. ein 70-stelliges Passwort zuordne?
Was empfehlt ihr?
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 283372
Url: https://administrator.de/contentid/283372
Printed on: April 19, 2024 at 05:04 o'clock
6 Comments
Latest comment
Hallo,
die Handys oder WLAN Geräte. Und fortan kann sich nur noch jemand anmelden der
auch ein gültiges Zertifikat hat.
Betrieb gewährleisten zu können bzw. Probleme zu vermeiden.
der WLAN Klient.
zu Problemen kommen, denn die maximale Passwortlänge ist 63 Zeichen.
Sicherlich Groß- und Kleinschreibung und alphanumerisch sollte es auch sein.
Bei Sonderzeichen wäre ich vorsichtig denn die werden nicht von allen Browsern
unterstützt bzw. richtig umgesetzt.
und dann kannst Du immer noch Fragen stellen wenn etwas unklar ist.
Sichere WLAN Benutzeranmeldung über einen Radius Server
Gruß
Dobby
habe ein Standard-Problem: Ein WLAN-Netz, das mit freeradius gesichert werden soll.
Der FreeRadius Server stellt die CA dar und Du verteilst dann die Klient Zertifikate aufdie Handys oder WLAN Geräte. Und fortan kann sich nur noch jemand anmelden der
auch ein gültiges Zertifikat hat.
Es kommt nur TTLS - und leider für manche Handies PEAP - in Frage.
AES-CCMP und kein TKIP sollte man beachten um einen reibungslosenBetrieb gewährleisten zu können bzw. Probleme zu vermeiden.
Das Serverzertifikat habe ich mit easyrsa erstellt,
Und wohin dann installiert und wo sind die Klient-Zertifikate?meine bisherige config sieht folgendermaßen aus:
Dafür gibt es hier Formatierungen und auch eine für Code!Nun kann man solche Systeme ja recht einfach mit Man-in-the-Middle angreifen.
Mit den Zertifikaten nicht wirklich, denn das Zertifikat hat ja nur der Radius Server undder WLAN Klient.
Daher meine Frage: Bieten lange User-Kennwörter guten Schutz?
Grundsätzlich tun sie dies.Wenn ich einem Benutzernamen z.B. ein 70-stelliges Passwort zuordne?
Bei sehr vielen WLAN Herstellern sollte das Probleme geben bzw. kann eszu Problemen kommen, denn die maximale Passwortlänge ist 63 Zeichen.
Sicherlich Groß- und Kleinschreibung und alphanumerisch sollte es auch sein.
Bei Sonderzeichen wäre ich vorsichtig denn die werden nicht von allen Browsern
unterstützt bzw. richtig umgesetzt.
Was empfehlt ihr?
Lies Dir doch erst einmal die Anleitung von dem Mitglied @aqui hier im Forum durchund dann kannst Du immer noch Fragen stellen wenn etwas unklar ist.
Sichere WLAN Benutzeranmeldung über einen Radius Server
Gruß
Dobby
Hi Dobby,
du gehst in deinem Ansatz von EAP-TLS aus, ich aber von EAP-TTLS.
Sicher, deine Variante ist sicherer, leider bin ich nicht in der Lage, auf allen Endgeräten Zertifikate installieren zu können, weshalb diese Option wegfällt.
Insofern existiert lediglich ein Server-Zertifikat zur Authentifizierung der Gegenstelle.
Eine maximale Passwortlänge von 63 Zeichen bezieht sich auf WPA(2)-PSK, aber hier geht's ja um WPA2-EAP.
Grüße
du gehst in deinem Ansatz von EAP-TLS aus, ich aber von EAP-TTLS.
Sicher, deine Variante ist sicherer, leider bin ich nicht in der Lage, auf allen Endgeräten Zertifikate installieren zu können, weshalb diese Option wegfällt.
Insofern existiert lediglich ein Server-Zertifikat zur Authentifizierung der Gegenstelle.
Eine maximale Passwortlänge von 63 Zeichen bezieht sich auf WPA(2)-PSK, aber hier geht's ja um WPA2-EAP.
Grüße
Weitere Details auch noch hier:
Freeradius Management mit WebGUI
Netzwerk Management Server mit Raspberry Pi
Mit einem entsprechenden Radius Zertifikat was den Radius eindeutig identifiziert und was der Client akzeptieren muss ist ein Man in the Middle vollkommen ausgeschlossen. Egal ob TTLS, PEAP oder was auch immer.
Freeradius Management mit WebGUI
Netzwerk Management Server mit Raspberry Pi
Mit einem entsprechenden Radius Zertifikat was den Radius eindeutig identifiziert und was der Client akzeptieren muss ist ein Man in the Middle vollkommen ausgeschlossen. Egal ob TTLS, PEAP oder was auch immer.
Haste recht, das Problem ist: Manche Clients checken das Zertifikat einfach nicht.
So z.B. viele Android-Handies.
So z.B. viele Android-Handies.
Zitat von @123788:
Haste recht, das Problem ist: Manche Clients checken das Zertifikat einfach nicht.
So z.B. viele Android-Handies.
Haste recht, das Problem ist: Manche Clients checken das Zertifikat einfach nicht.
So z.B. viele Android-Handies.
Dan verbiete diese Droiden in Deinem Netz.
lks
Zitat von @123788:
Haste recht, das Problem ist: Manche Clients checken das Zertifikat einfach nicht.
So z.B. viele Android-Handies.
Wenn es nicht automatisch installiert werden kann muss man als Admin eben auchHaste recht, das Problem ist: Manche Clients checken das Zertifikat einfach nicht.
So z.B. viele Android-Handies.
einmal manuell ran und nicht nur einfach mal dem Androis OS das Problem unterschieben.
Kleine Suchfunktion:
Android Freeradius
Große Suchfunktion:
heise WLAN sichern mit Radius
MSCE WLAN zertifikate Android
Zertifikat unter Android importieren
Dann muss man eben auch mal selber "Attacke" machen und nicht nur ein Frage
stellen und alles vorgekaut bekommen.
Gruß
Dobby
