Radius Radius Zertifikatvergabe abschalten

Status
Für weitere Antworten geschlossen.

moschno

Benutzer
Mitglied seit
02. Jan 2017
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
Sodala; Funktionieren tut ja das Ganze eigentlich echt toll mit meinen 5 APs und dem Radius dank der umfamgreichen Hilfe aus diesem Forum. Mich quält dazu aber noch ein Sicherheitsproblem.
Der Radius Server vergibt nach Eingabe von Benutzernamen und Passwort gerade freizügig das Zertifikat zur Bestätigung. Kann man das nicht je nach Bedarf ein- und ausschalten? Ich hab eigentlich nur permanente Clienten und keine Laufkundschaft mit Gastzugang. Daher wäre die derzeit automatische Zertifikatsvergabe nur wieder bei einem Neuzugang kurz einzuschalten damit dieser im Netz aufgenommen werden kann.
Ist so was möglich?
 

Flanders

Benutzer
Mitglied seit
02. Mai 2012
Beiträge
90
Punkte für Reaktionen
4
Punkte
8
Hallo,

Wo war jetzt das Sicherheitsproblem?
Meines Wissens nach nutzt der Client das Zertifikat zur verfifizierung der Servers, nicht umgekehrt.
Kann aber auch falsch sein.

Bei https Seiten kann man ja auch den pub-key runterladen.

Greets

Flanders
 

moschno

Benutzer
Mitglied seit
02. Jan 2017
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
Kann ja gut sein dass ich hier etwas verwechsle, verdrehe oder einfach nur falsch verstehe. Aber indem das Problem immer noch in meinem Kopf herumgeistert beschreibe ich die Sache einfach mal etwas genauer.
Also ich habe mehrere Wlanzugänge im Haus und diese sind mit dem Radiusserver verbunden. Wenn ich mich nun erstmalig mit einem Gerät einlogge muss ich im Vorfeld den Benutzernamen und das Passwort eingeben. Sind diese Angaben korrekt bekomme ich automatisch die Möglichkeit das Zertifikat zu bestätigen. Ja und genau hier ist meine geistige Sackgasse. Ich möchte nicht dass meine DS diese Möglichkeit automatisch irgend einen Klienten bietet. Ich hätte das Zertifikat eigentlich gerne selbst am Klienten installiert oder dies nur kurzfristig zulassen. Den dadurch, bin zumindest ich der Meinung, kann ich einem Missbrauch von Usernamen und Passwort mit anderen Geräten vorbeugen.
Hoffe das kommt irgendwie, wenn auch Laienhaft, doch etwas verständlich rüber.
Daher die Frage: Wie kann ich es unterbinden dass die DS automatisch für einen Klienten am Radiusserver ein Zertifikat zur Bestätigung herausgibt?
 
Zuletzt bearbeitet:

Flanders

Benutzer
Mitglied seit
02. Mai 2012
Beiträge
90
Punkte für Reaktionen
4
Punkte
8
Hallo,,

hast Du Dich mal eingelesen in den Ablauf und die Funktionsweise eines Radius?


Ich habe es so verstanden:

Das Zertifikat, dass der RADIUS aussendet dient nicht dem Zugang zum WLAN!
Damit authentifiziert sich der RADIUS beim Endgerät. Es dient dazu, dass Dein Endgerät sicher ist, das es der echte Radius ist.
Denn er teilt ihm dann Benutzernamen und Kennwort mit. Findet diese Prüfung nicht statt (also ohne Zertifikat) könnte man mit einem kleinen Raspberry den RADIUS emulieren (gleicher Netzwerknamen) und Benutzernamen und Kennwort auslesen, man hätte damit alles was man braucht, um in das echte WLAN Netz zu kommen.
Also wäre es kein Schutz, die Zertifikatsvergabe abzuschalten.

RADIUS sieht es aber wohl auch vor, anstatt der Benutzername/Kennwort Anmeldung das ganze mit einem Zertifikat zu machen. Das sollte dann vorab nicht übertragen werden ;-)

Greets
 

moschno

Benutzer
Mitglied seit
02. Jan 2017
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
RADIUS sieht es aber wohl auch vor, anstatt der Benutzername/Kennwort Anmeldung das ganze mit einem Zertifikat zu machen. Das sollte dann vorab nicht übertragen werden ;-)

Greets

Genau um das gehts mir.
Ich wollte eigentlich die Anmeldung mit Username und Passwort sowie auch mit Zertifikat. Den es bringt eigentlich nur das Maximum an Sicherheit wenn ein Zertifikat zusätzlich am Gerät installiert wird. Username und Passwort kann auch problemlos weitergegeben werden und jeder hat somit die Möglichkeit für einen Zugang. Wird aber zusätzlich noch ein Zertifikat benötigt ist das schon nicht mehr so im Vorbeigehen zu bewerkstelligen.
Bis jetzt ist es immer so, dass bei erstmaliger Anmeldung automatisch ein Zertifikat zu bestätigen ist und schon läufts. Das möchte ich nicht mehr. Sondern der Client muss vorher direkt das Zertifikat an Gerät installiert haben und dann ist es erst möglich mit den Zugangsdaten von Usernamen und Passwort einzuloggen.
Aber indem mir weder bei der Konfiguration vom Radiusserver und auch bei den Clienten aufgefallen ist irgendwie dieses Anmeldeverfahren einzustellen war ich mir eigentlich nicht mehr sicher ob ich alles richtig verstanden hab. Bin ja auch nicht unbedingt die hellste Birne im Leuchtturm. Nur mir erscheint eben diese Form der Anmeldung eigentlich am sichersten vor unbefugter Fremdnutzung zu sein. Den Passworter müssen ja nicht immer weitergegeben sondern können durchaus auch gestohlen werden.
 

Flanders

Benutzer
Mitglied seit
02. Mai 2012
Beiträge
90
Punkte für Reaktionen
4
Punkte
8
OK, dann habe ich das Verstanden.

Das Zertifikat, das Du meinst ist KEINs zur Anmeldung, sondern damit weist sich der RADIUS dem Handy gegenüber aus. Das soll verhindern, dass das Handy seine Benutzeranmeldung an einen fremden RADIUS (man in the middle) mitteilt.
Darum wird es auch "angeboten" wie Du es sagst.
Du möchtest also weg von Benutzername + Kennwort hin zu einer Zertifikatsanmeldung (wie bei OpenVPN oder SSH-Servern) oder noch besser, beides. Grundsätzlich hast Du recht, dass diese Zertifikate sicherer sind. Allerdings können diese ebenfalls gestohlen werden.
Wie und ob man das bei Synology-Radius einstellt, ist mir unbekannt.

Lies mal hier: https://www.heise.de/ct/hotline/FAQ-Radius-2081948.html

PEAP = Server weist sich mit Zertifikat aus. Zugang erfolgt per Benutzername + Kennwort
EAP-TLS = Client muss sich mit -individuell für ihn ausgestelltem Zertifikat- ausweisen! Also dass, was Du suchst..

Laut Synology : https://www.synology.com/de-de/knowledgebase/DSM/help/RadiusServer/rad_settings
Sollte EAP-TTLS funktionieren. Ich weiß aber nicht, wie es geht. Wenn Du es herausgefunden hast, sag bitte bescheid, ich bin auch interessiert!



Gruß
 
Zuletzt bearbeitet:

moschno

Benutzer
Mitglied seit
02. Jan 2017
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
Ahaaa jetzt wirds heller. Flanders du hast mir da den Knoten in meinem Kopf aufgemacht.:cool: Ich dussl hab immer gedacht der verwendet das Zertifikat. Dabei ist dass nur zur Kontrolle ob der Radiusserver auch jener ist den man will. Das war der Denkfehler.
Das mit der Benutzerzertifizierung ist somit eine ganz andere Baustelle. Alles klar. Werd mich entsprechend damit befassen indem ich nun endlich geschnallt habe wo mein Problem liegt. Wird wohl wieder etwas dauern. Aber sollte ich wirklich meinen Gedanken durchsetzen können und die Anmeldung mit User/Passwort und Zertifikat hinbekommen werd ich auf jeden Fall hier berichten.
Danke fürs Ausleuchten.:D
 

Flanders

Benutzer
Mitglied seit
02. Mai 2012
Beiträge
90
Punkte für Reaktionen
4
Punkte
8
Hallo,

beim Googeln habe ich folgende Seite gefunden:
http://www.deszynski.com/wp/axis-ca...er-und-802-1x-eap-tls-port-authentifizierung/
Ohne Gewähr. Es geht zwar dabei um die Absicherung von LAN-Schnittstellen, grundsätzlich sollte dies aber keinen Unterschied machen.
Es sind tiefergehende Systemkenntnisse erforderlich, da Du mit SSH auf die Synology muss.


Allerdings finde ich die eap.conf nicht. Suche ich falsch? Wo müsste sie sein?


Greets
 
Zuletzt bearbeitet:

mr_drlove

Benutzer
Mitglied seit
25. Jun 2012
Beiträge
14
Punkte für Reaktionen
0
Punkte
0
Hallo,

ja ich suche auch die Möglichkeit EAP-TLS mit dem RADIUS zumachen. Eigentlich würde ich lieber den LDAP verwenden, aber dazu finde ich gar nichts.

@Flanders,
ja hast du übersehen, siehe hier:
4.2. Jetzt muss der Radius auf unsere Zertifikate um konfiguriert werden:
vi ../eap.conf

Die original DSM Parameter mit # auskommentieren:
# private_key_file = /usr/syno/etc/ssl/ssl.key/server.key
# certificate_file = /usr/syno/etc/ssl/ssl.crt/server.crt
# CA_file = ${cadir}/ca.crt
# CA_path = ${cadir}

und folgende Parameter setzen:
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
CA_file = ${certdir}/ca.crt
CA_path = ${certdir}

Probiert habe ich die Anleitung noch nicht, sieht doch sehr aufwendig aus, wenn ich viel Lust und Zeit habe, dann vielleicht.

ciao
mr_drlove
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Ich habe das Zertifikat im AP (Draytek hat diese Funktionalität) erstellt, hat also hinsichtlich des Zerttifikats nichts mehr mit der Syno zu tun.
Damit identifiziert sich der WLAN AP gegenüber dem WLAN Client. Funktioniert total einfach und zuverlässig.
Der Radius läuft natürlich auf der Syno, obwohl das die Drayteks auch könnten.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat