1
Zertifikate mit RADIUS und BYOD - Wie erstellen und verteilen?
Hallo zusammen!
Der Titel gibt ja schon grob Auskunft, in welche Richtung meine Frage geht. Ich hoffe, ich bin mit dem Thema in der richtigen Kategorie.
Nun aber erstmal ein wenig Hintergrundinformationen:
Ziel
Das LAN- und WLAN-Netzwerk soll mittels RADIUS abgesichert werden, sodass nur Personen mit Anmeldedaten (Benutzername/Passwort) Zugang zum Netz bekommen. Dabei gibt es neben "vertrauenswürdigen" Geräten, die unter Kontrolle der Organisation stehen, auch noch nicht vertrauenswürdige Geräte, die privater Natur sind (BYOD).
Eine Trennung in unterschiedliche VLANs mit entsprechenden Regeln ist ebenfalls vorgesehen, tut hier aber nichts zur Sache.
Aktueller Stand
Da das Thema RADIUS noch recht neu für mich ist, habe ich mir ein kleines Testsetup aufgebaut, das dem echten Netzwerk ähnelt. Dabei habe ich eine OPNSense-Firewall, auf der ein FreeRadius-Server läuft, in einer virtuellen Umgebung aufgesetzt (Virtualbox). Diese läuft auf meinem Laptop, der wiederum an eine Fritzbox angeschlossen ist. An der Fritzbox ist weiter ein MikroTik cAP ac-Accesspoint mit CAPSMAN eingerichtet. Für meine Testzwecke nutze ich aktuell nur die interne Userdatenbank des FreeRadius-Server und ein selbst erstelltes Zertifikat aus der OPNSense. Dort habe ich auch einen Client eingerichtet, der mein lokales Netz umfasst und auf dem MikroTik Accesspoint, habe ich den RADIUS-Client eingerichtet, sodass er auf den RADIUS-Server zeigt. Auf dem Laptop kann ich mich bereits ohne Probleme mit den Zugangsdaten anmelden und erhalte Zugang zum WLAN. Bei Android und iOS-Geräte habe ich aktuell aber Probleme.
Problem
Android: Beim Versuch mich mit dem WLAN zu verbinden, erhalte ich folgende Abfrage (in Klammern meine Testeingaben):
(MeinPasswort)
Mit den Eingaben, die ich testweise eingegeben habe, erhalte ich dann Zugriff aufs WLAN. Eigentlich möchte ich aber, dass Zertifikate genutzt werden, um die Sicherheit zu erhöhen. Ich habe daher das Zertifikat von der OPNSense auf mein Smartphone geladen und dort installiert. Wenn ich das Zertifikat dann auswähle, erscheint ein neues Feld "Domain", das ausgefüllt werden muss. Ich habe bei der Erstellung des Zertifikates aber keine Domain angegeben. Was muss ich hier tun?
iOS: Beim Versuch mich mit dem WLAN zu verbinden, erhalte ich nur eine Abfrage (Benutzername/Passwort). Anschließend wird mir das Zertifikat angezeigt und ich muss bestätigen, dass ich dem Zertifikat vertraue. Sobald ich das bestätige, dauert es einen Moment und ich erhalte die Meldung, dass die Verbindung zum Netzwerk fehlgeschlagen ist. Nachdem ich das einmal gemacht habe, wird nach der Eingabe der Zugangsdaten nur noch die Fehlermeldung gezeigt, das Zertifikat aber nicht (vermutlich ist es im Zertifikatsspeicher des I-Phones hinterlegt).
Fragen
1. Über die OPNSense ein selbst signiertes Zertifikat zu erstellen, ist wahrscheinlich nicht die beste Variante. Wie sollte man bei RADIUS mit der Zertifikatserstellung vorgehen?
2. Muss auf den Endgeräten manuell ein Zertfikat installiert werden? Für kontrollierte Geräte ist das machbar, aber für BYOD wird es sehr aufwendig.
3. Was gibt es noch für Möglichkeiten, wie man das umsetzt?
Vielen Dank im Voraus!
Der Titel gibt ja schon grob Auskunft, in welche Richtung meine Frage geht. Ich hoffe, ich bin mit dem Thema in der richtigen Kategorie.
Nun aber erstmal ein wenig Hintergrundinformationen:
Ziel
Das LAN- und WLAN-Netzwerk soll mittels RADIUS abgesichert werden, sodass nur Personen mit Anmeldedaten (Benutzername/Passwort) Zugang zum Netz bekommen. Dabei gibt es neben "vertrauenswürdigen" Geräten, die unter Kontrolle der Organisation stehen, auch noch nicht vertrauenswürdige Geräte, die privater Natur sind (BYOD).
Eine Trennung in unterschiedliche VLANs mit entsprechenden Regeln ist ebenfalls vorgesehen, tut hier aber nichts zur Sache.
Aktueller Stand
Da das Thema RADIUS noch recht neu für mich ist, habe ich mir ein kleines Testsetup aufgebaut, das dem echten Netzwerk ähnelt. Dabei habe ich eine OPNSense-Firewall, auf der ein FreeRadius-Server läuft, in einer virtuellen Umgebung aufgesetzt (Virtualbox). Diese läuft auf meinem Laptop, der wiederum an eine Fritzbox angeschlossen ist. An der Fritzbox ist weiter ein MikroTik cAP ac-Accesspoint mit CAPSMAN eingerichtet. Für meine Testzwecke nutze ich aktuell nur die interne Userdatenbank des FreeRadius-Server und ein selbst erstelltes Zertifikat aus der OPNSense. Dort habe ich auch einen Client eingerichtet, der mein lokales Netz umfasst und auf dem MikroTik Accesspoint, habe ich den RADIUS-Client eingerichtet, sodass er auf den RADIUS-Server zeigt. Auf dem Laptop kann ich mich bereits ohne Probleme mit den Zugangsdaten anmelden und erhalte Zugang zum WLAN. Bei Android und iOS-Geräte habe ich aktuell aber Probleme.
Problem
Android: Beim Versuch mich mit dem WLAN zu verbinden, erhalte ich folgende Abfrage (in Klammern meine Testeingaben):
EAP-Methode: //PEAP//
Phase-2-Authentifizerung: //MSCHAPv2//
CA-Zertifikat: //Nicht ausgewählt// (Nicht validieren)
Identität: <leer> (MeinUser)
Anonyme Identität: <leer> (leer)
Passwort: <leer>Mit den Eingaben, die ich testweise eingegeben habe, erhalte ich dann Zugriff aufs WLAN. Eigentlich möchte ich aber, dass Zertifikate genutzt werden, um die Sicherheit zu erhöhen. Ich habe daher das Zertifikat von der OPNSense auf mein Smartphone geladen und dort installiert. Wenn ich das Zertifikat dann auswähle, erscheint ein neues Feld "Domain", das ausgefüllt werden muss. Ich habe bei der Erstellung des Zertifikates aber keine Domain angegeben. Was muss ich hier tun?
iOS: Beim Versuch mich mit dem WLAN zu verbinden, erhalte ich nur eine Abfrage (Benutzername/Passwort). Anschließend wird mir das Zertifikat angezeigt und ich muss bestätigen, dass ich dem Zertifikat vertraue. Sobald ich das bestätige, dauert es einen Moment und ich erhalte die Meldung, dass die Verbindung zum Netzwerk fehlgeschlagen ist. Nachdem ich das einmal gemacht habe, wird nach der Eingabe der Zugangsdaten nur noch die Fehlermeldung gezeigt, das Zertifikat aber nicht (vermutlich ist es im Zertifikatsspeicher des I-Phones hinterlegt).
Fragen
1. Über die OPNSense ein selbst signiertes Zertifikat zu erstellen, ist wahrscheinlich nicht die beste Variante. Wie sollte man bei RADIUS mit der Zertifikatserstellung vorgehen?
2. Muss auf den Endgeräten manuell ein Zertfikat installiert werden? Für kontrollierte Geräte ist das machbar, aber für BYOD wird es sehr aufwendig.
3. Was gibt es noch für Möglichkeiten, wie man das umsetzt?
Vielen Dank im Voraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1560115718
Url: https://administrator.de/contentid/1560115718
Printed on: April 25, 2024 at 07:04 o'clock
1 Comment
1.)
Warum nicht ? Solange du es rein nur in deinem internen Netzwerk nutzt ist das doch ein simpler Klassiker und problemlos machbar.
2.)
Ja
3.)
Guckst du hier:
Freeradius Management mit WebGUI
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Mikrotik - mehrere VLANs auf cAP AC mit CAPsMAN
PFSense 2.3.2 Freeradius
Cisco SG 350x Grundkonfiguration
Ruckus ICX - 802.1x - is mac-vlan member of 2 vlans in single-untagged mode
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Im Grunde einfach und alles kein Hexenwerk...
Warum nicht ? Solange du es rein nur in deinem internen Netzwerk nutzt ist das doch ein simpler Klassiker und problemlos machbar.
2.)
Ja
3.)
Guckst du hier:
Freeradius Management mit WebGUI
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Mikrotik - mehrere VLANs auf cAP AC mit CAPsMAN
PFSense 2.3.2 Freeradius
Cisco SG 350x Grundkonfiguration
Ruckus ICX - 802.1x - is mac-vlan member of 2 vlans in single-untagged mode
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Im Grunde einfach und alles kein Hexenwerk...
