xaero1982
Goto Top

WLAN Verschlüsselung und Zertifikate

Moin Zusammen,

im Moment hab ich hier ein WPA WLAN mit einem ziemlich langen Kennwort laufen, aber wie das nun mal so ist bei "öffentlich" zugänglichen Notebooks werden da kurzer Hand die Keys ausgelesen und dann zum Surfen mit dem eigenen Smartphone o.ä. zu nutzen.
Ich hatte das mal so von meinem Vorgänger übernommen und kam bisher nicht dazu das zu ändern.
Im Moment sperre ich die meisten nur über einen MAC Filter im DHCP aus, was leicht umgangen werden kann.

Lange Rede kurzer Sinn:

Ich wollte nun auf zertifikatbasierte Authentifizierung zurück greifen, wenn das sinnvoll ist.

Ich habe hier ca. 60 Notebooks laufen. Dazu kommen etliche Geräte wie Smartphones(IOS; Android, BB) und weitere Notebooks(Win/Mac) und Tablets.

Bei den 60 Notebooks gibt es bei den Zertifikaten erst mal kein Problem. Aber wie sieht es mit den anderen mobilen Endgeräten aus?

Ich habe das mal testweise versucht mit diesem Tutorial von LANCOM:

https://www2.lancom.de/kb.nsf/b8f10fe5665f950dc125726c00589d94/8ce39818c ...

Leider scheitert es bei mir schon bei den Zertifikaten.

Mit den Zertifikaten von der Seite klappt es.
Nach der verlinkten Anleitung zur Erstellung bin ich vorgegangen, aber welches Zertifikat und wie muss ich es für den Router erstellen?
Ein Lancom IAP 54.

Oder gibt es da inzwischen bessere Alternativen damit auch diese ganzen Smartphones Zugriff bekommen?

Wie würdet ihr das regeln?

Gruß und Dank

ps: es handelt es sich um 10 LANCOM IAP 54 Accesspoints mit der aktuellen Firmware.
edit: Die Nutzer können sich mit einem allgemeinem Konto an den 60 Notebooks anmelden oder mit einem eigenen Kontonamen.
Die anderen Geräte sind in der Regel private Geräte ohne Domänenzugehörigkeit etc. Sind insofern nur dem DHCP und DNS bekannt.

Content-Key: 223247

Url: https://administrator.de/contentid/223247

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: aqui
aqui 29.11.2013 um 15:48:58 Uhr
Goto Top
Auf allen Endgeräten kannst du diese Zertifikate importieren. Mit Smartphones geht das am einfachsten wenn man sie per Web downloaden kann oder einfach per Email gesendet bekommt.
Grundlagen dazu erklärt auch dieses Forumsturorial:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Mitglied: Xaero1982
Xaero1982 29.11.2013 um 16:51:56 Uhr
Goto Top
Hi Aqui,

da bin ich auch schon drüber gestolpert.

Dieses Zertifikat kann ich dann auf jedem importieren oder sollte man für jeden Nutzer ein Zertifikat erstellen?
Das kann man dann auch nicht so einfach sperren, wenn einer nicht mehr ins Netz soll von den Nutzern, oder?
Gibt es eine Möglichkeit sowas zu automatisieren und nicht 60 + x Zertifikate von Hand zu erstellen? Bzw. kann ich ja auf diesen 60 das gleiche installieren, aber die anderen sind doch schon 20-30+x und steigend.
Und auf dem Radiusserver importiere ich das gleiche Zertifikat wie auf den Clients?!

Fragen über Fragen...

Gruß
Mitglied: 108012
108012 29.11.2013 um 19:30:39 Uhr
Goto Top
Hallo,

wenn schon denn schon würde ich sagen.
Also alle Kabel gebundenen Geräte und Klienten mittels LDAP und alle Kabel losen Geräte via Radius Server anbinden,
das macht dann auch richtig Sinn, aber "haut" einem auch immer gleich mehr Last auf das Netzwerk und somit sollten die Switche
dann mindestens einen Layer3 Switch haben und gestapelt (Switch Stack) sein damit die gesamte Last dann auch abgearbeitet werden
kann und nicht Engpässe entstehen.

Für die Zertifikatserstellung unter;
- Windows
- Linux

gibt es auch Tools die das ganze Vorhaben auch vereinfachen.

Die Zertifikate kann man auch auf einer Zertifikatsperrliste (certificate revocation list (CRL)) "zurückstellen" bzw. zurück ziehen oder als
ungültig markieren, so dass sie nicht mehr greifen, nur man sollte dann den Mitarbeitern auch per Schulung und/oder Arbeitsanweisung
vermitteln, dass es dann eben auch unumgänglich ist, dass verlorene Geräte auch sofort gemeldet werden und das jeder seine "umsonst"
aber Schnüffel APP installiert sollte sich dann wohl auch erledigt haben. Denn was nützt Dir (Euch) ein Zertifikat was alle 2 Stunden
von selbst nach China verschickt wird.

Die Tools sind kostenlos und damit lassen sich auch recht gut alle Zertifikate inklusive die CRL managen, zusammen mit einem
RaspBerry PI für ~40 € ist das auch recht schnell mittels Debian Linux umzusetzen. Der @aqui hat dazu auch noch eine super
Anleitung (Debian auf dem RaspBerry PI) und somit sollte das ganze auch für jedermann gut zu realisieren sein.

Gruß
Dobby
Mitglied: Xaero1982
Xaero1982 29.11.2013 um 21:29:02 Uhr
Goto Top
Nabend,

Danke für die Antwort.

Leider hat mir bisher meine konkreten Fragen noch niemand beantwortet.

Welche Zertifikate benutze ich bzw. wie erstelle ich die korrekten für den Router.

Ansonsten verstehe ich es richtig, dass es sinnvoller wäre für jedes Gerät bzw. Nutzer ein Zertifikat zu erstellen, richtig?

Einen Radiusserver an sich benötige ich nicht extra, weil der in den Accesspoints bereits enthalten ist.

Gruß
Mitglied: 108012
108012 30.11.2013 um 19:41:51 Uhr
Goto Top
Hallo nochmal,

Danke für die Antwort.
Kein Thema

Leider hat mir bisher meine konkreten Fragen noch niemand beantwortet.
Na dann jetzt aber hoffentlich.

Welche Zertifikate benutze ich bzw. wie erstelle ich die korrekten für den Router.
Ich würde X.509 Zertifikate nehmen wollen.
Mit den beiden oben genannten Tools hast Du die Möglichkeit dies zum Einen unter Linux zu erzeugen und mit zum Anderen
mit dem anderen Tool unter Windows. Man erzeugt dann ein Root CA Zertifikat mit einem geheimen Schlüssel und dieser
kommt dann in der Regel in den Radius Server und/oder den Router und die Zertifikate für Nutzer oder Geräte und öffentlichen
Schlüssel werden dann in einer .pem Datei für Windows oder einer .pam Datei für Linux abgespeichert, also Zertifikat und Schlüssel
und dann müssen eben diese auf den Klienten installiert werden von Dir.

Ansonsten verstehe ich es richtig, dass es sinnvoller wäre für jedes Gerät bzw. Nutzer ein Zertifikat zu erstellen, richtig?
Ja genau, zumindest würde ich das so machen wollen, aber ich würde auch immer einen eigenen kleinen Radius Server
betreiben wollen und zarw aus folgendem Grund, sollte mal der Router oder der WLAN AP überfüllt sein, nicht mehr ansprechbar
sein, nicht mehr erreichbar sein oder funktionieren, kommt man auch nicht mehr in das Netz um die Störung zu beheben!

Einen Radiusserver an sich benötige ich nicht extra, weil der in den Accesspoints bereits enthalten ist.
Man kann das sicherlich auf viele Arten erledigen aber direkt im Router oder aber wie schon angesprochen als kleinen
"Stand Alone" Radius Server würde ich halt bevorzugen wollen.


Gruß
Dobby
Mitglied: Xaero1982
Xaero1982 01.12.2013 um 00:59:53 Uhr
Goto Top
Hi,

ich hab das mit dem Programm von der Lancomseite gemacht und sowohl ein Client als auch ein Root CA erstellt. Das Root CA hab ich dann auf dem Accesspoint/Radiusserver geladen und das Client Zertifikat auf ein Notebook. Leider ohne Erfolg. Keine Verbindung.

Deswegen muss da noch irgendwo anders der Hase begraben sein.

Zu einer Überlastung dürfte es wohl nicht kommen da sich die Geräte wohl in der Regel auf 10 Accesspoints verteilen.

Gruß
Mitglied: funnysandmann
funnysandmann 01.12.2013 um 14:18:44 Uhr
Goto Top
Hi,

ich weiß zwar nicht wie tief du in die Materie eingedrungen bist bis jetzt. Aber ich beschäftige mich momentan sehr intensiv mit 802.1x Authentifizierung und könnte daher vielleicht etwas über Zertifikate sagen.

1. Auf dem Client brauchst du ein SSL/TLS Client zertifikat das von deiner RootCa ausgestellt wurde
2. Auf dem server brauchst du ein SSL/TLS server Zertifikat ebenfalls von deiner RootCA ausgestellt.
3. du brauchst auf allen Geräten von deiner RootCA das Zertifikat. ABER ohne Private key!

allerdings würde ich das persönlich nicht mit zertifikaten machen sondern mit einem radius server der an ein ldap hingeht und dort dann benutzername und passwort über 802.1x mit PEAP und MSCHAP-v2 abfrägt.

Was willst du eigentlich damit erreichen? Wenn willst du vor was schützen?

Gruß
Mitglied: Xaero1982
Xaero1982 01.12.2013 um 15:14:34 Uhr
Goto Top
Hi Funny,

noch nicht wirklich tief face-smile

Über MSCHAP hab ich ebenfalls schon nachgedacht. Wäre in meinem Vorhaben wohl auch das beste, aber ein Zertifikat muss so weit ich das verstanden habe dennoch auf allen Clients eingerichtet werden.

Zu den Zertifikaten: Das ist klar, aber:
Ich bin nach dieser Anleitung vorgegangen:
https://www2.lancom.de/kb.nsf/675ae5e6532c992a41256a100049e9e3/55eb39056 ...

Nun habe ich also ein Root CA und ein Client CA. Das Root CA hab ich auf den Radius geladen und das Client CA aufs Notebook.
Nur leider geht das nicht.
MIt den Zertifikaten in meinem oben genannten Link geht es hingegen problemlos, aber das sind eben nur Testzertifikate.

Gruß
Mitglied: funnysandmann
funnysandmann 01.12.2013 um 16:28:48 Uhr
Goto Top
Zitat von @Xaero1982:

Hi Funny,

noch nicht wirklich tief face-smile
Dann sollten wir dies ändern. Sonst wird das nichts.

Über MSCHAP hab ich ebenfalls schon nachgedacht. Wäre in meinem Vorhaben wohl auch das beste, aber ein Zertifikat muss
so weit ich das verstanden habe dennoch auf allen Clients eingerichtet werden.
Vorsicht nicht MSCHAP alleine! da dies unverschlüsselt passwort und username überträgt. Daher im außeren PEAP(da überall vorhanden) und im inneren MSCHAP über Domäne oder LDAP oder weiß was sonst noch.

Zu den Zertifikaten: Das ist klar, aber:
Ich bin nach dieser Anleitung vorgegangen:
https://www2.lancom.de/kb.nsf/675ae5e6532c992a41256a100049e9e3/55eb39056 ...
Ok, aber dort wird nur erklärt wie eine CA erstellt wird und ein Zertifikat für einen Client. Allerdings werden andere Dinge bei einem Server Zertifikat benötigt. des Dein Radius Server braucht.

vorallem bei der key usage.


Nun habe ich also ein Root CA und ein Client CA. Das Root CA hab ich auf den Radius geladen und das Client CA aufs Notebook.
Ich hoffe du meinst eine RootCA mit einem Zertifikat und einem Private Key und ein Client Zertifikat mit Private Key.
CA = Certificate Authority = Ausstellende Instanz != Zertifkat. face-smile


Nur leider geht das nicht.
Ja ist klar. Du benötigst die CA nur damit beide Zertifikate sich gegenseitig vertrauen. Du kannst nicht das CA Zertifikat als Server Zertifikat missbrauchen.

MIt den Zertifikaten in meinem oben genannten Link geht es hingegen problemlos, aber das sind eben nur Testzertifikate.
OK.


Einigen Seiten die vielleicht interessant sind:
https://pki-tutorial.readthedocs.org/en/latest/
http://openvpn.net/index.php/open-source/documentation/howto.html#pki

Also nochmal:
Auf dem Client solltest du haben:
RootCA Zertifikat
Client Zertifikat + Private Key

auf deinem Radius Server:
Root CA Zertifikat
Server Zertifikat + private Key

Nirgends solltest du haben:
RootCA Private Key


übrigens wer macht den radius server? du sagtest was von deinem access point? aber du kannst nur einen haben ist klar oder? ich würde lieber einen kleinen server dafür hernehmen und alle access points so konfigurieren das sie auf diesen zugreifen. aber das kannst du dir ja selbst überlegen.


gruß
Mitglied: Xaero1982
Xaero1982 01.12.2013 um 16:38:20 Uhr
Goto Top
Hey,

danke für die zahlreichen Infos und Anmerkungen.
Ich glaub da muss ich mich noch bissel reinhängen face-smile

Der letzte Satz ist äußerst interessant. Aber ich könnte doch jeden AP gleich konfigurieren, aber ich werde das wohl einen Server 2008 übernehmen lassen.

Ich werde kommende Woche weiter basteln und mich dann zurück melden.

Gruß
Mitglied: funnysandmann
funnysandmann 01.12.2013 um 16:49:55 Uhr
Goto Top
Zitat von @Xaero1982:

Hey,

danke für die zahlreichen Infos und Anmerkungen.
Ich glaub da muss ich mich noch bissel reinhängen face-smile

Der letzte Satz ist äußerst interessant. Aber ich könnte doch jeden AP gleich konfigurieren, aber ich werde das
wohl einen Server 2008 übernehmen lassen.
ja das kannst du. aber wenn du einen user hinzufügen möchtest du dies an allen machen. wäre doch echt blöd oder?


Ich werde kommende Woche weiter basteln und mich dann zurück melden.
ok


Gruß

Gruß
Mitglied: Cthluhu
Cthluhu 02.12.2013 um 09:32:35 Uhr
Goto Top
Hi zusammen,

Ich klinge mich da mit einer Verständnisfrage ein, die auch den TO interessieren dürfte:
Wie wird beim Einsatz eines Radiusserver und Zertifikaten verhindert, dass die User das Zertifikat vom Firmenlaptop auf ihr Privatgerät (Laptop/Telefon/Tablet) kopieren um mit dem Privatgerät im Firmen-WLAN zu surfen?

mfg

Cthluhu
Mitglied: Xaero1982
Xaero1982 02.12.2013 um 11:33:07 Uhr
Goto Top
Hi,

nun so weit ich das bisher gesehen habe wird für die Installation des Zertifikats ein Passwort benötigt.
Das heißt z.b. dass der Admin das Passwort nicht weiter gibt und das Zertifikat selbst auf dem Firmennotebook einrichten oder aber man wohl Geräte sperren kann.

Wirklich interessant ist die Frage für mich allerdings nicht face-smile Zertifikate bekommen nur eine bestimmte Nutzergruppe und diese wird das Zertifikat nicht weiter geben. Die anderen werden von mir eingerichtet - sprich das Passwort bekommt keiner.

Gruß
Mitglied: funnysandmann
funnysandmann 02.12.2013 um 13:52:49 Uhr
Goto Top
Zitat von @Cthluhu:

Ich klinge mich da mit einer Verständnisfrage ein, die auch den TO interessieren dürfte:
Wie wird beim Einsatz eines Radiusserver und Zertifikaten verhindert, dass die User das Zertifikat vom Firmenlaptop auf ihr
Privatgerät (Laptop/Telefon/Tablet) kopieren um mit dem Privatgerät im Firmen-WLAN zu surfen?

indem Du das Zertifikat bei Windows importierst und dabei dem pc sagst das der private Schlüssel nicht exportierbar ist.


ich würde gar keine Zertifikate verteilen sondern alles über Passwort und username machen.

Gruß
Mitglied: Xaero1982
Xaero1982 10.12.2013 um 19:20:11 Uhr
Goto Top
So...

Hat jemand mal ne gescheite Anleitung für die Einrichtung eines RADIUS Servers unter Windows Server 2008 mit Anbindung an einen AP?

Ich habe heute die Anbindung an den Radiusserver auf dem AP erfolgreich umgesetzt. So weit so schön.

Aber ich würde das gerne über den Radius vom Server laufen lassen wegen der Nutzer etc.

Im AP hab ich den 2008er angegeben auf dem der Radius läuft, aber ich bekomme immer einen AUTH Fehler.

Gruß
Mitglied: Xaero1982
Xaero1982 11.12.2013 um 13:48:24 Uhr
Goto Top
Neuste Erkenntnis:

Im Eventlog des Radiusservers steht:

Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

Kontaktieren Sie den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
	Sicherheits-ID:			xxx\Gast
	Kontoname:				-
	Kontodomäne:				xxx
	Vollqualifizierter Kontoname:		xxx\Gast

Clientcomputer:
	Sicherheits-ID:			NULL SID
	Kontoname:				-
	Vollqualifizierter Kontoname:		-
	Betriebssystemversion:			-
	Empfangs-ID:				02-0B-6B-34-D3-6E:eap-PEAP-test
	Anrufer-ID:				00-26-82-97-E1-48

NAS:
	NAS-IPv4-Adresse:			192.168.178.23
	NAS-IPv6-Adresse:			-
	NAS-ID:					WLANAP-xxx
	NAS-Porttyp:				Drahtlos - IEEE 802.11 
	NAS-Port:				13

RADIUS-Client:
	Clientname:				WLANAP-xxx
	Client-IP-Adresse:			192.168.178.23

Authentifizierungsdetails:
	Proxyrichtlinienname:			Sichere Drahtlosverbindungen
	Netzwerkrichtlinienname:		-
	Authentifizierungsanbieter:		Windows 
	Authentifizierungsserver:		xxxx
	Authentifizierungstyp:			EAP
	EAP-Typ:				-
	Kontositzungs-ID:			-
	Begründungscode:			34
	Grund:					Die Authentifizierung ist fehlgeschlagen, weil das Benutzerkonto nicht aktiviert ist. Bevor das Konto authentifiziert werden kann, muss eine Person mit Administratorrechten für den Computer bzw. die Domäne dieses Benutzerkonto aktivieren. 

Das kommt egal welchen Nutzer ich bei der Anmeldung verwende. Auch beim Domänenadmin kommt immer nur "Gast".

Jemand eine Idee?

Gruß
Mitglied: Xaero1982
Xaero1982 11.12.2013 um 14:37:10 Uhr
Goto Top
So ... nun zeigt er mir den Namen an, aber:

Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

Kontaktieren Sie den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
	Sicherheits-ID:			xxx\t.test
	Kontoname:				xxx\t.test
	Kontodomäne:				xxx
	Vollqualifizierter Kontoname:		xxx\t.test

Clientcomputer:
	Sicherheits-ID:			NULL SID
	Kontoname:				-
	Vollqualifizierter Kontoname:		-
	Betriebssystemversion:			-
	Empfangs-ID:				02-0B-6B-34-D3-6E:eap-PEAP-test
	Anrufer-ID:				00-26-82-97-E1-48

NAS:
	NAS-IPv4-Adresse:			192.168.178.23
	NAS-IPv6-Adresse:			-
	NAS-ID:					WLANAP-xxx
	NAS-Porttyp:				Drahtlos - IEEE 802.11 
	NAS-Port:				13

RADIUS-Client:
	Clientname:				WLANAP-xxx
	Client-IP-Adresse:			192.168.178.23

Authentifizierungsdetails:
	Proxyrichtlinienname:			Sichere Drahtlosverbindungen
	Netzwerkrichtlinienname:		Sichere Drahtlosverbindungen
	Authentifizierungsanbieter:		Windows 
	Authentifizierungsserver:		xxx
	Authentifizierungstyp:			PEAP
	EAP-Typ:				-
	Kontositzungs-ID:			-
	Begründungscode:			16
	Grund:					Die Authentifizierung war nicht erfolgreich, da ein unbekannter Benutzername oder ein ungültiges Kennwort verwendet wurde. 

Hab das ganze nun über die GPOs eingerichtet. Client ist W7. Nutzername und PW stimmen natürlich - hab ich mich ja mit angemeldet.

Ideen?

Gruß
Mitglied: Xaero1982
Xaero1982 11.12.2013 aktualisiert um 15:23:22 Uhr
Goto Top
Das ist interessant:

Smartphone genommen (android)
Mit dem Testnetz verbunden - mit den gleichen Benutzerdaten wie auf den Clients.

Läuft!

Was läuft hier schief?

edit: Eventlog sagt:

Android: EAP-Typ: Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)
W7: EAP-Typ: -


Gruß
Mitglied: Xaero1982
Xaero1982 11.12.2013 aktualisiert um 15:53:47 Uhr
Goto Top
So, nun noch den ganzen Spaß auf einem Windows XP Notebook.

Netzwerk gefunden. Kurz eingerichtet, dass eine Nutzerabfrage erfolgen soll.

Nutzerdaten eingegeben.

Läuft!

EAP-Typ: Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)


Daran wirds beim w7 wohl scheitern.

Was mich wundert: Brauche ich bei EAPMSCHAP v2 keinerlei Zertifikate auf den Clients?

Edit: Sobald ich die Option: Serverzertifikat überprüfen deaktiviere funktioniert die Verbindung auch auf einem W7 Client.

Gruß
Mitglied: Xaero1982
Xaero1982 11.12.2013 aktualisiert um 16:46:31 Uhr
Goto Top
Wie finde ich heraus, ob eine Zertifikatsprüfung stattfindet? Edit: Löschen... ohne gehts nicht.

Was mich nur wundert: Auf den Windowsclients wird das Zertifikat wie folgt hinterlegt:
Windows XP: Vertrauenswürdige Stammzertifikate - Zertifikate
Windows 7: Zwischenzertifizierungsstellen - Zertifikate
Da muss ich das erst exportieren und in den Vertrauenswürdigen installieren.

Gruß
Mitglied: aqui
aqui 13.12.2013 um 11:40:48 Uhr
Goto Top
Für eine Zertifikatsprüfung muss irgendwo zwingend ein Radius Request an den Radius Server gesendet werden. Normalweise macht das der Supplicant an dem der zu authentisierende Client hängt, sprich der AP.
Du müsstest also irgendwo diesen Radius Request sehen (Log, Wireshark etc.) Ohne Radius kein Zertifikat ! So einfach ist das.
Mitglied: Xaero1982
Xaero1982 13.12.2013 um 17:02:17 Uhr
Goto Top
Jep, ich sehs im Log.

Inzwischen läuft auch alles wie ich es mir vorgestellt habe und nur die Leute die Zugangsdaten haben oder die Geräte die im AD registriert sind bekommen Zugriff.

Gruß und Dank