Ergebnis 1 bis 10 von 10
  1. #1
    Anwender
    Registriert seit
    02.01.2017
    Beiträge
    18

    Standard Radius Zertifikatvergabe abschalten

    Sodala; Funktionieren tut ja das Ganze eigentlich echt toll mit meinen 5 APs und dem Radius dank der umfamgreichen Hilfe aus diesem Forum. Mich quält dazu aber noch ein Sicherheitsproblem.
    Der Radius Server vergibt nach Eingabe von Benutzernamen und Passwort gerade freizügig das Zertifikat zur Bestätigung. Kann man das nicht je nach Bedarf ein- und ausschalten? Ich hab eigentlich nur permanente Clienten und keine Laufkundschaft mit Gastzugang. Daher wäre die derzeit automatische Zertifikatsvergabe nur wieder bei einem Neuzugang kurz einzuschalten damit dieser im Netz aufgenommen werden kann.
    Ist so was möglich?

  2. #2
    Anwender
    Registriert seit
    02.05.2012
    Beiträge
    65

    Standard

    Hallo,

    Wo war jetzt das Sicherheitsproblem?
    Meines Wissens nach nutzt der Client das Zertifikat zur verfifizierung der Servers, nicht umgekehrt.
    Kann aber auch falsch sein.

    Bei https Seiten kann man ja auch den pub-key runterladen.

    Greets

    Flanders

  3. #3
    Anwender
    Registriert seit
    02.01.2017
    Beiträge
    18

    Standard

    Kann ja gut sein dass ich hier etwas verwechsle, verdrehe oder einfach nur falsch verstehe. Aber indem das Problem immer noch in meinem Kopf herumgeistert beschreibe ich die Sache einfach mal etwas genauer.
    Also ich habe mehrere Wlanzugänge im Haus und diese sind mit dem Radiusserver verbunden. Wenn ich mich nun erstmalig mit einem Gerät einlogge muss ich im Vorfeld den Benutzernamen und das Passwort eingeben. Sind diese Angaben korrekt bekomme ich automatisch die Möglichkeit das Zertifikat zu bestätigen. Ja und genau hier ist meine geistige Sackgasse. Ich möchte nicht dass meine DS diese Möglichkeit automatisch irgend einen Klienten bietet. Ich hätte das Zertifikat eigentlich gerne selbst am Klienten installiert oder dies nur kurzfristig zulassen. Den dadurch, bin zumindest ich der Meinung, kann ich einem Missbrauch von Usernamen und Passwort mit anderen Geräten vorbeugen.
    Hoffe das kommt irgendwie, wenn auch Laienhaft, doch etwas verständlich rüber.
    Daher die Frage: Wie kann ich es unterbinden dass die DS automatisch für einen Klienten am Radiusserver ein Zertifikat zur Bestätigung herausgibt?
    Geändert von moschno (10.08.2018 um 09:05 Uhr)

  4. #4
    Anwender
    Registriert seit
    02.05.2012
    Beiträge
    65

    Standard

    Hallo,,

    hast Du Dich mal eingelesen in den Ablauf und die Funktionsweise eines Radius?


    Ich habe es so verstanden:

    Das Zertifikat, dass der RADIUS aussendet dient nicht dem Zugang zum WLAN!
    Damit authentifiziert sich der RADIUS beim Endgerät. Es dient dazu, dass Dein Endgerät sicher ist, das es der echte Radius ist.
    Denn er teilt ihm dann Benutzernamen und Kennwort mit. Findet diese Prüfung nicht statt (also ohne Zertifikat) könnte man mit einem kleinen Raspberry den RADIUS emulieren (gleicher Netzwerknamen) und Benutzernamen und Kennwort auslesen, man hätte damit alles was man braucht, um in das echte WLAN Netz zu kommen.
    Also wäre es kein Schutz, die Zertifikatsvergabe abzuschalten.

    RADIUS sieht es aber wohl auch vor, anstatt der Benutzername/Kennwort Anmeldung das ganze mit einem Zertifikat zu machen. Das sollte dann vorab nicht übertragen werden ;-)

    Greets

  5. #5
    Anwender
    Registriert seit
    02.01.2017
    Beiträge
    18

    Standard

    Zitat Zitat von Flanders Beitrag anzeigen
    RADIUS sieht es aber wohl auch vor, anstatt der Benutzername/Kennwort Anmeldung das ganze mit einem Zertifikat zu machen. Das sollte dann vorab nicht übertragen werden ;-)

    Greets
    Genau um das gehts mir.
    Ich wollte eigentlich die Anmeldung mit Username und Passwort sowie auch mit Zertifikat. Den es bringt eigentlich nur das Maximum an Sicherheit wenn ein Zertifikat zusätzlich am Gerät installiert wird. Username und Passwort kann auch problemlos weitergegeben werden und jeder hat somit die Möglichkeit für einen Zugang. Wird aber zusätzlich noch ein Zertifikat benötigt ist das schon nicht mehr so im Vorbeigehen zu bewerkstelligen.
    Bis jetzt ist es immer so, dass bei erstmaliger Anmeldung automatisch ein Zertifikat zu bestätigen ist und schon läufts. Das möchte ich nicht mehr. Sondern der Client muss vorher direkt das Zertifikat an Gerät installiert haben und dann ist es erst möglich mit den Zugangsdaten von Usernamen und Passwort einzuloggen.
    Aber indem mir weder bei der Konfiguration vom Radiusserver und auch bei den Clienten aufgefallen ist irgendwie dieses Anmeldeverfahren einzustellen war ich mir eigentlich nicht mehr sicher ob ich alles richtig verstanden hab. Bin ja auch nicht unbedingt die hellste Birne im Leuchtturm. Nur mir erscheint eben diese Form der Anmeldung eigentlich am sichersten vor unbefugter Fremdnutzung zu sein. Den Passworter müssen ja nicht immer weitergegeben sondern können durchaus auch gestohlen werden.

  6. #6
    Anwender
    Registriert seit
    02.05.2012
    Beiträge
    65

    Standard

    OK, dann habe ich das Verstanden.

    Das Zertifikat, das Du meinst ist KEINs zur Anmeldung, sondern damit weist sich der RADIUS dem Handy gegenüber aus. Das soll verhindern, dass das Handy seine Benutzeranmeldung an einen fremden RADIUS (man in the middle) mitteilt.
    Darum wird es auch "angeboten" wie Du es sagst.
    Du möchtest also weg von Benutzername + Kennwort hin zu einer Zertifikatsanmeldung (wie bei OpenVPN oder SSH-Servern) oder noch besser, beides. Grundsätzlich hast Du recht, dass diese Zertifikate sicherer sind. Allerdings können diese ebenfalls gestohlen werden.
    Wie und ob man das bei Synology-Radius einstellt, ist mir unbekannt.

    Lies mal hier: https://www.heise.de/ct/hotline/FAQ-Radius-2081948.html

    PEAP = Server weist sich mit Zertifikat aus. Zugang erfolgt per Benutzername + Kennwort
    EAP-TLS = Client muss sich mit -individuell für ihn ausgestelltem Zertifikat- ausweisen! Also dass, was Du suchst..

    Laut Synology : https://www.synology.com/de-de/knowl...r/rad_settings
    Sollte EAP-TTLS funktionieren. Ich weiß aber nicht, wie es geht. Wenn Du es herausgefunden hast, sag bitte bescheid, ich bin auch interessiert!



    Gruß
    Geändert von Flanders (26.08.2018 um 13:00 Uhr)

  7. #7
    Anwender
    Registriert seit
    02.01.2017
    Beiträge
    18

    Standard

    Ahaaa jetzt wirds heller. Flanders du hast mir da den Knoten in meinem Kopf aufgemacht. Ich dussl hab immer gedacht der verwendet das Zertifikat. Dabei ist dass nur zur Kontrolle ob der Radiusserver auch jener ist den man will. Das war der Denkfehler.
    Das mit der Benutzerzertifizierung ist somit eine ganz andere Baustelle. Alles klar. Werd mich entsprechend damit befassen indem ich nun endlich geschnallt habe wo mein Problem liegt. Wird wohl wieder etwas dauern. Aber sollte ich wirklich meinen Gedanken durchsetzen können und die Anmeldung mit User/Passwort und Zertifikat hinbekommen werd ich auf jeden Fall hier berichten.
    Danke fürs Ausleuchten.

  8. #8
    Anwender
    Registriert seit
    02.05.2012
    Beiträge
    65

    Standard

    Hallo,

    beim Googeln habe ich folgende Seite gefunden:
    http://www.deszynski.com/wp/axis-cam...entifizierung/
    Ohne Gewähr. Es geht zwar dabei um die Absicherung von LAN-Schnittstellen, grundsätzlich sollte dies aber keinen Unterschied machen.
    Es sind tiefergehende Systemkenntnisse erforderlich, da Du mit SSH auf die Synology muss.


    Allerdings finde ich die eap.conf nicht. Suche ich falsch? Wo müsste sie sein?


    Greets
    Geändert von Flanders (29.08.2018 um 08:33 Uhr)

  9. #9
    Anwender
    Registriert seit
    25.06.2012
    Beiträge
    14

    Standard

    Hallo,

    ja ich suche auch die Möglichkeit EAP-TLS mit dem RADIUS zumachen. Eigentlich würde ich lieber den LDAP verwenden, aber dazu finde ich gar nichts.

    @Flanders,
    ja hast du übersehen, siehe hier:
    4.2. Jetzt muss der Radius auf unsere Zertifikate um konfiguriert werden:
    vi ../eap.conf

    Die original DSM Parameter mit # auskommentieren:
    # private_key_file = /usr/syno/etc/ssl/ssl.key/server.key
    # certificate_file = /usr/syno/etc/ssl/ssl.crt/server.crt
    # CA_file = ${cadir}/ca.crt
    # CA_path = ${cadir}

    und folgende Parameter setzen:
    private_key_file = ${certdir}/server.key
    certificate_file = ${certdir}/server.crt
    CA_file = ${certdir}/ca.crt
    CA_path = ${certdir}
    Probiert habe ich die Anleitung noch nicht, sieht doch sehr aufwendig aus, wenn ich viel Lust und Zeit habe, dann vielleicht.

    ciao
    mr_drlove

  10. #10
    Anwender
    Registriert seit
    09.11.2016
    Beiträge
    2.726

    Standard

    Ich habe das Zertifikat im AP (Draytek hat diese Funktionalität) erstellt, hat also hinsichtlich des Zerttifikats nichts mehr mit der Syno zu tun.
    Damit identifiziert sich der WLAN AP gegenüber dem WLAN Client. Funktioniert total einfach und zuverlässig.
    Der Radius läuft natürlich auf der Syno, obwohl das die Drayteks auch könnten.
    • verwendete Typenreihen:
    • Synology: RS1619xs+, RX1217RP, RS815RP+, DS916+, S418play * HP Server * Lenovo Server *
    • Router/Modem: Draytek Vigor130, 2960 * Fritzbox 6591C, 7490, 7590 * Technicolor TC4400 *
    • LAN/WLAN: Ubiquiti UniFi US-8-60W, Cloud Key, AC PRO * Draytek Vigor 1280G, P2280X, AP910C *
    • USV: CyberPower Rackmount Serie 1000VA * BlueWalker VI 3000, FI 3000 * Eaton Ellipse ECO800 *

Ähnliche Themen

  1. RADIUS Sicherheitsproblem
    Von Boxxy im Forum Radius Server
    Antworten: 0
    Letzter Beitrag: 11.08.2016, 10:24
  2. erweiterte RADIUS Konfiguration
    Von JudgeDredd im Forum Radius Server
    Antworten: 9
    Letzter Beitrag: 09.12.2014, 11:08
  3. Radius Invalid User
    Von iDeathz im Forum Sonstiges
    Antworten: 1
    Letzter Beitrag: 01.11.2014, 21:17
  4. Radius
    Von falcone im Forum IPKG
    Antworten: 45
    Letzter Beitrag: 21.11.2013, 04:34
  5. RADIUS Server auf DS
    Von mskassel im Forum Andere 3rd Party Anwendungen
    Antworten: 7
    Letzter Beitrag: 02.11.2012, 14:56

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •