wiki:sicherheit:wlan_mit_radius

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
wiki:sicherheit:wlan_mit_radius [2013/03/21 22:13] wikiadminwiki:sicherheit:wlan_mit_radius [2013/05/13 22:39] (aktuell) wikiadmin
Zeile 7: Zeile 7:
 ====== Installation ====== ====== Installation ======
  
-aptitude install freeradius+<file>aptitude install freeradius</file>
  
 ====== Konfiguration ====== ====== Konfiguration ======
Zeile 26: Zeile 26:
 Dieser Eintrag gewährt allen WLAN Zugrangspunkten mit der Adresse 192.168.0.x Zugang zum Radiusserver. Die Kommunikation von Radius und Accesspoint wird per Passwort abgesichert. Dieses Kennwort wird unter Secret angegeben. Dieser Eintrag gewährt allen WLAN Zugrangspunkten mit der Adresse 192.168.0.x Zugang zum Radiusserver. Die Kommunikation von Radius und Accesspoint wird per Passwort abgesichert. Dieses Kennwort wird unter Secret angegeben.
  
 +Sollten mehrere AccessPoints verwendet werden, kann man diese auch mit separaten Kennworten ansprechen.
 +
 +<file shell>
 +client ap1 {
 +        ipaddr = 192.168.0.20
 +        netmask = 32
 +        secret = testing_ap1
 +}
 +
 +client ap2 {
 +        ipaddr = 192.168.0.21
 +        netmask = 32
 +        secret = testing_ap2
 +}
 +</file>
 ===== Userkonfiguration ===== ===== Userkonfiguration =====
  
Zeile 44: Zeile 59:
  
 Als zweiten Schritt kopiert man sich den Inhalt des Verzeichnises ''/usr/share/doc/freeradius/examples/certs/'' in das Verzeichnis ''/etc/freeradius/certs/'' und wechselt in dieses. In diesem Verzeichnis befindet sich nun eine Beispielkonfiguration, die man nach eigenen Wünschen anpassen kann. Als zweiten Schritt kopiert man sich den Inhalt des Verzeichnises ''/usr/share/doc/freeradius/examples/certs/'' in das Verzeichnis ''/etc/freeradius/certs/'' und wechselt in dieses. In diesem Verzeichnis befindet sich nun eine Beispielkonfiguration, die man nach eigenen Wünschen anpassen kann.
 +
 +===== Zertifikate generieren =====
 +
  
 Die Datei ca.cnf stellt die Einstellungen für die Certification Authority dar. Folgende Inhalte sollten nach eigene Wünschen angepasst werden: Die Datei ca.cnf stellt die Einstellungen für die Certification Authority dar. Folgende Inhalte sollten nach eigene Wünschen angepasst werden:
Zeile 79: Zeile 97:
 Da das Zertifikat mit einem Passwort (testing123) gesichert ist, muss man freeradius dazu bringen, dieses Passwort beim lesen des Zertifikats zu nutzen. Da das Zertifikat mit einem Passwort (testing123) gesichert ist, muss man freeradius dazu bringen, dieses Passwort beim lesen des Zertifikats zu nutzen.
 Dazu muss in der Datei ''eap.conf'' der Eintrag __private_key_password__ gesucht und der Wert "whatever" in "testing123" geändertt werden.  Dazu muss in der Datei ''eap.conf'' der Eintrag __private_key_password__ gesucht und der Wert "whatever" in "testing123" geändertt werden. 
 +
 +====== Radius testen ======
 +
 +Zunächst sollte man sich das Radius Log-file unter ''/var/log/freeradius/radius.log'' anschauen. Sollten dies zu wenige Informationen sein, muss man den Radius-Server stoppen und im Debug-Modus starten.
 +
 +<file>
 +/etc/init.d/freeradius stop
 +freeradius -X
 +</file>
 +
 +Das Paket radius-utils enthält das sehr nützliche Programm radtest. Mit diesem Werkzeug kann man die Passwortkonfigurationen testen. Benutzt wird es wie folgt:
 +<file>
 +radtest <Username> <Userpasswort> <RadiusserverIP> <Port> <Gerätepasswort>
 +</file>
 +In meinem Fall baut sich der Befehlt wie folgt auf
 +<file bash>
 +radtest Patrick Geheim 127.0.0.1 1812 testing123
 +</file>
 +
 +====== AccessPoint vorbereiten ======
 +
 +Im AccessPoint muss der Verschlüsselungsalgorithmus auf WPA2-Enterprise gestellt werden. Weiterhin muss die IP und der Port des Radiusservers eingetragen werden, sowie das oben definierte Paswort (testing123).
 +
 +Fertig
 +
 +====== Clients einrichten ======
 +
 +Zunächst sollte man sich die Datei ''ca.der'' vom Radiusserver (im Verzeichnis ''/etc/freeradius/cert'' auf einen USB-Stick kopieren. Diese ist das Zertifikat, das die verschlüsselte Passwortübermittlung vom Client zum AccessPoint sicherstellt.
 +
 +Auf dem Client muss dieses Installiert werden. Auf Windows XP Systemen muss man den Assistenten nur durchklicken. Bei Windows 7 und 8 muss man den Zertifikatsspeicher manuell auf "Vertrauenswürdige Stammzertifizierungsstellen" setzen. 
 +
 +Jetzt muss noch ein Profil für das WLAN erzeugen. In einem Profil stehen alle Daten, die für eine Authentifizierung wichtig sind:
 +  * AccessPoint Name / SSID
 +  * passendes Zertifikat
 +  * Verchlüsselungsalgorithmus
 +
 +===== Windows 7 =====
 +
 +Zunächst muss man im Netzwerk- und Freigabecenter einen Neue Verbindung oder anderes Netzwerk einrichten
 +
 +{{:wiki:sicherheit:win7_1.png?direct&600|}}
 +
 +Im neuen Fenster muss man den netzwerknamen und die Verschlüsselung angeben und auf weiter klicken
 +
 +{{:wiki:sicherheit:win7_2.png?direct&600|}}
 +
 +Die Verbindung wurde erfolgreich hinzugefügt. Weiter zu den Einstellungen
 +
 +{{:wiki:sicherheit:win7_3.png?direct&600|}}
 +
 +Die Netzwerkauthentifizierung muss auf Geschütztes EAP (PEAP) gestellt werden. Bei einem klick auf Einstellungen kommt man zum nächsten Fenster
 +
 +{{:wiki:sicherheit:win7_4.png?direct&300|}}
 +
 +Hier muss man das Serverzertifikat anhacken, das man erstellt und importiert hat. Außerdem muss die Authentifizierungsmethode auf EAP-MSCHAP v2 gestellt werden. Beim Klick auf konfigurieren öffnet sich das nächste Fenster
 +
 +{{:wiki:sicherheit:win7_5.png?direct&300|}}
 +
 +Hier muss der Hacken entfernt werden und mit OK bestätigen werden.
 +
 +{{:wiki:sicherheit:win7_6.png?direct&300|}}
 +
 +Das Fenster "Eigenschaften für geschütztes EAP" kann mit einem Klicke auf OK geschlossen werden
 +
 +Unter Erweiterte Einstellungen kommt man zum nächsten Fenster. Der Authentifizierungsmodus muss auf Benutzer- und Computerauthentifizierung gestellt werden.
 +
 +{{:wiki:sicherheit:win7_7.png?direct&300|}}
 +
 +===== Android =====
 +
 +{{:wiki:sicherheit:sc20130326-211245.png?direct&300|}}
 +
 +
 +
 +====== SQL-Anbindung und daloRADIUS ======
 +
 +
 +[[http://andrewpakpahan.blogspot.de/2012/08/installing-and-configuring-freeradius.html]]
 +
  
 ====== Quellen ====== ====== Quellen ======
  
 +  * [[http://www.heise.de/netze/artikel/WLAN-sichern-mit-Radius-1075339.html]]
   * [[http://www.tecchannel.de/netzwerk/wlan/2036067/workshop_freeradius_fuer_linux_einrichten/index.html]]   * [[http://www.tecchannel.de/netzwerk/wlan/2036067/workshop_freeradius_fuer_linux_einrichten/index.html]]
   * [[http://www.wi-fiplanet.com/tutorials/article.php/3557251/FreeRADIUS-and-Linux-for-Your-WLAN.htm]]   * [[http://www.wi-fiplanet.com/tutorials/article.php/3557251/FreeRADIUS-and-Linux-for-Your-WLAN.htm]]
Zeile 87: Zeile 185:
   * [[http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizierung-%C3%BCber-radius-142241.html]]   * [[http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizierung-%C3%BCber-radius-142241.html]]
  
- 
- 
- 
-Im folgenden Tutorial wird beschrieben, wie man WLAN nich über shared Keys absichern, sondern per Radius. Eine Einführung / Anleitung gibt es [[http://www.heise.de/netze/artikel/WLAN-sichern-mit-Radius-1075339.html|hier]] 
- 
-Weitere Informationen findet man [[http://www.administrator.de/contentid/142241|hier]] und [[http://www.administrator.de/contentid/154402|hier]]. 
  • wiki/sicherheit/wlan_mit_radius.1363900436.txt.gz
  • Zuletzt geändert: 2013/03/21 22:13
  • von wikiadmin