PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Einstellungen Radius Server



crazy-hardware
28.04.2013, 04:42
Hallo,

ich habe seit neuestem einen Access Point wo ich die WPA2-Enterprise zur Verschlüsselung einstellen kann, also
die Absicherung mit einem Radius Server.

Ich habe natürlich auch gleich auf meiner DS713+ das Radius-Paket installiert und gestartet, was soll ich sagen es funktioniert.

Was ich aber irgendwo vermisse ist ein Sicherheitsschlüssel wie z.Bsp. bei der WPA-Verschlüsselung, deshalb meine Frage:
Generiert der Radius Server einen eigenen Schlüssel oder wie muss ich mir das Vorstellen.
Eine Anmeldung mit "User=Admin", "Passwort=12345" ( natürlich nicht wirklich ) kann ja nicht schwieriger zu knacken sein
als eine 63Zeichen lange Phrase.

Gruss Hansi

MoritzDorn
28.04.2013, 09:05
Hallo Hansi,

soweit ich das ganze Thema verstanden habe geschieht über den Benutzername/Passwort nur die Anmeldung am System, sprich darf der Nutzer ins WLAN/Netzwerk oder nicht.

Die Absicherung der Verbindung läuft dann über ein von der Synology generiertes Zertifikat, dieses muss man z.b. in seinem iPhone extra bestätigen bei der ersten Verbindung.

Gruß
Moritz

crazy-hardware
28.04.2013, 17:16
Hallo Hansi,

soweit ich das ganze Thema verstanden habe geschieht über den Benutzername/Passwort nur die Anmeldung am System, sprich darf der Nutzer ins WLAN/Netzwerk oder nicht.

Die Absicherung der Verbindung läuft dann über ein von der Synology generiertes Zertifikat, dieses muss man z.b. in seinem iPhone extra bestätigen bei der ersten Verbindung.

Gruß
Moritz

Hallo Moritz,

ja, ein Zertifikat habe ich auf meinem Notebook angezeigt bekommen, allerdings konnte ich mich unter gleichem Benutzernamen auch mit anderen Geräten iPod, iPhone am System anmelden.
Ich weis jetzt nicht, ob ich da auch nochmal ein Zertifikat angeboten bekommen habe, aber wenn das Zertifikat bei jeder ersten Anmeldung ( pro Device ) automatisch angeboten bekomme, dann macht das als Sicherheit ja auch keinen Sinn.

Mit anderen Worten, kommst Du mit Deinem Notebook,iPhone in meinen Empfangsbereich und kennst den Benutzer "Admin", "12345" dann bist Du drin.

Gruss Hansi

MoritzDorn
29.04.2013, 12:53
Naja dafür gibt es Richtlinien für Passwörter.

Und die Kombination aus Nutzername und Passwort macht es dabei sehr schwer das ganze zu erraten oder zu entschlüsseln. Bei einer reinen WPA2 Verschlüsslung genügt ja bereits der Schlüssel für das WLAN um sich anzumelden.

crazy-hardware
29.04.2013, 17:03
Ja, Benutzername und Passwort sollten schon schwer zu knacken sein, aber ein 10 Zeichen langer Benutzername + ein 20 Zeichen langes Passwort ergeben eine 30 lange Zeichenfolge die immer noch schneller zu knacken wären als ein 63 Zeichen langer Schlüssel oder habe ich jetzt einen Gedankenfehler?
Die meisten werden sicherlich nur ein vielleicht 10 Zeichen langes Passwort haben und gehe ich mal davon aus, das es immer einen User "Admin" bzw. "Root" gibt, dann bleibt wirklich nur noch das 10 Zeichen Passwort.

Anders sieht es aus, wenn man die Anzahl möglicher Fehleingaben festsetzen könnte, also 3 mal das falsche Passwort und der Zugang wird gesperrt oder zumindest zeitlich gesperrt, aber die Funktion hat "Radius Server" wohl nicht.

Gruss Hansi

MoritzDorn
29.04.2013, 17:13
Hallo,

es geht hier um verschiedene Themen.

Nutzername und Passwort sind natürlich an sich nur kurz im Gegensatz zu einem 32 Zeichen langen String.
Die sind aber in erster Linie auch nur dazu da den Login zu regeln, der Datenverkehr an sich wird durch Keys und AES Verschlüsslung gesichert, die der Client und Router aushandeln (berichtigt mich wenn ich falsch liege).

Generell kann man im Radius Server der DS Nutzer und Gruppen den Zugriff verbieten, ich fände die Lösung schöner das explizit freizugeben bzw. wie bei der Firewall zu sagen "alles blockieren außer..." / "alles erlauben außer...", im VPN Server gibt es ja auch die Möglichkeit generell jedem den Zugriff zu gewähren bzw. zu verweigern, da hat Synology leider keine klare Linie gefunden :(
Auch die automatische Blockierung sollte bei möglichst jedem Login aktiv sein.

Generell würde ich auch jedem empfehlen den Nutzer "admin" zu deaktiviern und durch einen anderen zu ersetzten, dann hat sich das Thema weitestgehend erledigt, der Nutzer erhält dann gar keinen Zugriff mehr und einen anderen gültigen Nutzername zu finden und dazu dann noch das Passwort, viel Spaß ;)

Gruß

crazy-hardware
29.04.2013, 17:52
Hallo Moritz,

kann man Admin deaktivieren?

Ich habe es noch nicht versucht, aber bei meiner Webcam geht das nicht.

Ich habe deshalb dem Admin eine gaaannnzzz langes und kompliziertes Passwort gegeben und wie Du schon geschrieben hast einen
neuen User mit merkbarem langem Passwort angelegt

Gruss Hansi

MoritzDorn
29.04.2013, 19:45
Ja,

der Admin lässt sich deaktivieren, wenn ein zweiter Admin angelegt ist, das ist eigentlich immer das Erste was ich mache.
Damit wird die Sicherheit um einiges gesteigert.

Was man allerdings beachten sollte, weshalb ich aktuell kein RADIUS verwende ist, dass sobald die DS im Standby ist, und sich jemand anmelden will dauert es eine Zeit bis der Zugriff funktioniert, eben so lange bis die DS wieder aktiv ist und ggf. geht die dann auch seltener in den Standby-Betrieb.

Gruß

crazy-hardware
29.04.2013, 20:24
Also Standby kommt bei meiner DS713+ nicht vor, weil ich die "Surveillance Station" permanent am laufen habe.

So, habe jetzt mein 2. Notebook angemeldet und das ging nur mit der Installation des Zertifikates. EIn Problem ist allerdings bei mir noch aufgetaucht.

Ein Anmeldung klappt bei mir nur mit dem User "Admin", ein User ohne Adminrechte wird einfach nicht akzeptiert.

Gruss Hansi

crazy-hardware
01.05.2013, 10:43
Aha, nun klappt auch die Anmeldung unter einem anderen Account.

Der Fehler liegt wohl im WIN7. Anmeldename und Passwort werden bei Änderung wohl nicht korrekt ersetzt.
Ich habe erst die gespeicherten Daten löschen müssen und bei der nächsten Anmeldung erschien das Anmeldefenster zur User-/Passworteingabe die dann korrekt
übernommen und gespeichert werden.

Weis jemand wie ich die Anmeldedaten beim iPhone ändern kann?
Ich kann das Netzwerk nicht ändern, nur auf ignorieren stellen. Löschen kann ich da auch nichts.
Ich möchte den Zugang der jetzt auf "Admin" steht in einen anderen Account ändern, damit der User Admin auf der DS gesperrt werden kann.

Gruss Hansi

MoritzDorn
01.05.2013, 10:45
Hi,

Netzwerk ignorieren ist da schon der richtige Ansatz, dann wird das komplett gelöscht und man kann es wieder auswählen und die Nutzerdaten eingeben.

Gruß