wiki:sicherheit:wlan_mit_radius

barcode

WLAN-Anmeldung über Radiusserver

in diesem Tutorial soll beschrieben werden, wie man Zugänge zu WLANs per radius absichern kann

Installation

aptitude install freeradius

Konfiguration

Alle Konfigurationsdateien befinden sich im Verzeichnis /etc/freeradius

Zunächst muss man dem Radius erklären, welcher WLAN Zugangspunkt überhaupt zugriff gewährt werden soll. Dies geschieht in der Datei clients.conf. Die IP-Adressen können separat (192.168.0.100/32)oder als ganzes Netz (192.168.0.0/24) eingegeben werden.

client 192.168.0.0/24 {
        secret          = testing123
        shortname       = WLAN-test
}

Dieser Eintrag gewährt allen WLAN Zugrangspunkten mit der Adresse 192.168.0.x Zugang zum Radiusserver. Die Kommunikation von Radius und Accesspoint wird per Passwort abgesichert. Dieses Kennwort wird unter Secret angegeben.

Sollten mehrere AccessPoints verwendet werden, kann man diese auch mit separaten Kennworten ansprechen.

client ap1 {
        ipaddr = 192.168.0.20
        netmask = 32
        secret = testing_ap1
}
 
client ap2 {
        ipaddr = 192.168.0.21
        netmask = 32
        secret = testing_ap2
}

Als nächstes sollte man sich die Datei users.conf zu gemüte führen. In dieser Datei sind alle Usernamen und Passwörter abgelegt, die der Accesspoint entgegen nimmt. Auch Anmeldezeiten und andere nützliche Dinge können hier hinterlegt werden.

"User1"       Cleartext-Passwort := "Geheim"
"User2"       Cleartext-Passwort := "Geheim", Login-Time := "wk0700-1800"
"User3"       Cleartext-Passwort := "Geheim", Login-Time :="A1000-1700"

Alle User haben das Passwort geheim. Der User2 kann sich aber nur wochentags von 7:00 - 18:00 anmelden, der User3 an allen Tagen von 10:00 - 17:00. Weitere Attribute findet man unter http://freeradius.org/rfc/attributes.html

Als nächstes muss man die Zertifikate erzeugen, mit denen das am Laptop eingegebene Passwort sicher zum AccessPoint übertragen werden soll. Dazu muss man ins Verzeichnis /etc/freeradius/certs wechseln und alle unnötigen Dateien löschen

rm -f *.pem *.der *.csr *.crt *.key *.p12 serial* index.txt*

Als zweiten Schritt kopiert man sich den Inhalt des Verzeichnises /usr/share/doc/freeradius/examples/certs/ in das Verzeichnis /etc/freeradius/certs/ und wechselt in dieses. In diesem Verzeichnis befindet sich nun eine Beispielkonfiguration, die man nach eigenen Wünschen anpassen kann.

Die Datei ca.cnf stellt die Einstellungen für die Certification Authority dar. Folgende Inhalte sollten nach eigene Wünschen angepasst werden:

[ CA_default ]
default_days            = 3650
 
[ req ]
input_password          = testing123
output_password         = testing123
 
[certificate_authority]
countryName             = DE
stateOrProvinceName     = Radius
localityName            = Bad Neustadt / Saale
organizationName        = da-checka.de
emailAddress            = patrick.schindelmann@googlemail.com
commonName              = "radiustest"

Die gleichen Einstellungen sollte man auch in der Datei server.cnf eintragen. Vor allem das Passwort sollte gleich sein.

Zur Zertifikatserstellung führt man in dem Verzeichnis certs das Kommando

make all

aus. Alle benötigten Dateien werden in dem Verzeichnis erzeugt. Die Datei ca.der sollte man sich auf einen USB-Stick sichern, da diese bei jedem Rechner benötigt wird, der sich am AccessPoint anmelden soll.

Da das Zertifikat mit einem Passwort (testing123) gesichert ist, muss man freeradius dazu bringen, dieses Passwort beim lesen des Zertifikats zu nutzen. Dazu muss in der Datei eap.conf der Eintrag private_key_password gesucht und der Wert „whatever“ in „testing123“ geändertt werden.

Radius testen

Zunächst sollte man sich das Radius Log-file unter /var/log/freeradius/radius.log anschauen. Sollten dies zu wenige Informationen sein, muss man den Radius-Server stoppen und im Debug-Modus starten.

/etc/init.d/freeradius stop
freeradius -X

Das Paket radius-utils enthält das sehr nützliche Programm radtest. Mit diesem Werkzeug kann man die Passwortkonfigurationen testen. Benutzt wird es wie folgt:

radtest <Username> <Userpasswort> <RadiusserverIP> <Port> <Gerätepasswort>

In meinem Fall baut sich der Befehlt wie folgt auf

radtest Patrick Geheim 127.0.0.1 1812 testing123

AccessPoint vorbereiten

Im AccessPoint muss der Verschlüsselungsalgorithmus auf WPA2-Enterprise gestellt werden. Weiterhin muss die IP und der Port des Radiusservers eingetragen werden, sowie das oben definierte Paswort (testing123).

Fertig

Clients einrichten

Zunächst sollte man sich die Datei ca.der vom Radiusserver (im Verzeichnis /etc/freeradius/cert auf einen USB-Stick kopieren. Diese ist das Zertifikat, das die verschlüsselte Passwortübermittlung vom Client zum AccessPoint sicherstellt.

Auf dem Client muss dieses Installiert werden. Auf Windows XP Systemen muss man den Assistenten nur durchklicken. Bei Windows 7 und 8 muss man den Zertifikatsspeicher manuell auf „Vertrauenswürdige Stammzertifizierungsstellen“ setzen.

Jetzt muss noch ein Profil für das WLAN erzeugen. In einem Profil stehen alle Daten, die für eine Authentifizierung wichtig sind:

  • AccessPoint Name / SSID
  • passendes Zertifikat
  • Verchlüsselungsalgorithmus

Zunächst muss man im Netzwerk- und Freigabecenter einen Neue Verbindung oder anderes Netzwerk einrichten

Im neuen Fenster muss man den netzwerknamen und die Verschlüsselung angeben und auf weiter klicken

Die Verbindung wurde erfolgreich hinzugefügt. Weiter zu den Einstellungen

Die Netzwerkauthentifizierung muss auf Geschütztes EAP (PEAP) gestellt werden. Bei einem klick auf Einstellungen kommt man zum nächsten Fenster

Hier muss man das Serverzertifikat anhacken, das man erstellt und importiert hat. Außerdem muss die Authentifizierungsmethode auf EAP-MSCHAP v2 gestellt werden. Beim Klick auf konfigurieren öffnet sich das nächste Fenster

Hier muss der Hacken entfernt werden und mit OK bestätigen werden.

Das Fenster „Eigenschaften für geschütztes EAP“ kann mit einem Klicke auf OK geschlossen werden

Unter Erweiterte Einstellungen kommt man zum nächsten Fenster. Der Authentifizierungsmodus muss auf Benutzer- und Computerauthentifizierung gestellt werden.

SQL-Anbindung und daloRADIUS

Quellen

Geben Sie Ihren Kommentar ein. Wiki-Syntax ist zugelassen:
   ___    __  ___   _  __   ___    _  __
  / _ |  /  |/  /  | |/_/  / _ |  | |/_/
 / __ | / /|_/ /  _>  <   / __ | _>  <  
/_/ |_|/_/  /_/  /_/|_|  /_/ |_|/_/|_|
 
  • wiki/sicherheit/wlan_mit_radius.txt
  • Zuletzt geändert: 2013/05/13 22:39
  • von wikiadmin