Drahtlose Netzwerke sind überall: Zu Hause, im Café und in der Firma. Im Gegensatz zu Kabelnetzen verliert der Admin bei WLANs allerdings schnell die ... (mehr)

Tunnel

Die im vorherigen Absatz erwähnte Modulkonfigurationsdatei »sites-enabled/inner-tunnel« kommt unter anderem bei der Authentifizierung mittels WPA-Enterprise zum Tragen. Der WPA-Enterprise zugrunde liegende 802.1X-Standard definiert nämlich eine verschlüsselte Verbindung nach dem EAP-over-LAN-Protokoll (EAPOL), wobei EAP für »Extensible Authentication Protocol« steht.

Bei EAPOL erfolgt die Übermittlung der Benutzerdaten vom Client an den Zugangsknoten, bei 802.1X der WLAN-Hotspot, über einen verschlüsselten Tunnel. Der Zugangsknoten gibt die Anfrage an den Radius-Server weiter, der diese nach dem üblichen Prinzip behandelt. Allerdings liest Freeradius bei der Verwendung von EAP-Protokollen eben statt »sites-enabled/default« die Liste der Module aus »sites-enabled/inner-tunnel« .

Der Tunnel benötigt weiterhin ein Verschlüsselungszertifikat. Im Produktivbetrieb sollte dies von einer vertrauenswürdigen Stelle signiert werden. Dem Freeradius-Quellpaket liegt aber zu Testzwecken ein Demozertifikat bei, das der Befehl »make« im Unterverzeichnis »certs« generiert. Allerdings fehlt das Demo-Zertifikat in den Paketen der meisten Linux-Distributionen, da es sich eben nicht um ein signiertes und damit vertrauenswürdiges Zertifikat handelt.

Wer die EAPOL-Authentifizierung ausprobieren möchte, findet dafür außerdem das Programm »eapol_test« im WPA-Supplicant-Paket, das die verschiedenen WPA-Verschlüsselungsmechanismen zu Test- und Analysezwecken implementiert. Standardmäßig wird »eapol_test« allerdings nicht kompiliert, sondern nur wenn man in den Quellen die Konfigurationsoption »CONFIG_EAPOL_TEST=y« aktiviert. Sie steht auskommentiert in der Datei »defconfig« im Unterverzeichnis »wpa_supplicant« des WPA-Supplicant-Quellpakets; also kopiert man diese Datei nach »wpa_supplicant/.config« , entfernt das Kommentarzeichen in der ».config« -Datei und kompiliert mit »make eapol_test« .

Für den Test von WPA-Enterprise eignet sich die Beispielkonfigurationsdatei »peap-mschapv2.conf« unter [7]. Darin passt man die Einträge »identity« und »password« an, um einen in Freeradius angelegten User zu authentifizieren. Nun erfolgt der Test mit:

eapol_test -c peap-mschapv2 -s Client-Passwort

Das Client-Passwort entspricht dabei dem in der Datei »clients.conf« festgelegten. In der vorgegebenen Beispielkonfiguration für »localhost« heißt es »testing123« . Nach erfolgreichem Test sollte man den »localhost« -Client wie alle nicht verwendeten Client-Einträge deaktivieren oder das Passwort ändern.

Hürdenlauf

Freeradius ist für die Benutzerverwaltung in der Größenordnung von Internet-Providern konzipiert worden. Die mit Freeradius paketierte Standardkonfiguration erhält damit einen großen Wert, denn sie macht den Einstieg dennoch einfach; so erhält der lokale WLAN-Hotspot statt eines gemeinsamen Passworts problemlos eine benutzerspezifische Authentifizierung und Konfiguration – WPA-Enterprise-Kompatibilität vorausgesetzt.

comments powered by Disqus
Mehr zum Thema

Sicherheit im WLAN: Fakten und Mythen

Das drahtlose Netzwerk bringt Komfort für Nutzer und Eindringlinge. Wir erklären die grundlegenden Konzepte und Begriffe und klären über Mythen auf.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019