Freeradius und WLAN Security

Neo-=IuE=-

Here to stay

Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3232

19.10.2006 - 09:38

Hi, i weiß net ob ich hier ins richtige Forum poste oder ob vielleicht eines der NEtzwerkforen sinnvoller ist, aber egal.
In der FH machen wir bei Security Sachen unter anderem WLAN mit Radius gesichert. Nur leider hat unser Vortragender davon absolut keinen Plan und i hab mi jetzt mal per Tutorials ausm Inet eingelesen.

Wir haben Suse10.1 laufen mit Freeradius installiert.
Wir haben einen D-Link AP der WPA-EAP unterstützt.
Clients sind Windows XP.
Jetzt würde mich interessieren wie muss ich den Freeradius konfigurieren, dass des so funktioniert wie ich will

clients.conf ist der AP schon eingetragen mit einem Secret. AP sollte auch richtig eingerichtet sein mit Radius-IP, Standard-Port 1812 und dem Secret.

In meiner Ferialpraxis hab ich schon mal als Client mich in ein Radius geschütztes WLAN netz eingeloggt, da kam User und PW eingabe....
Jetzt hab ich mir gedacht ich kann des auch so einrichten

In allen Tutorials die ich jetzt im Inet gefunden habe werden aber immer mit OpenSSL erstellte Zertifikate verwendet zur Authentifizierung...

Meine Frage, kann ich von WinXP-Clients zu FreeRadius nur EAP-TLS verwenden (was wenn ich des richtig verstanden hab a Zertifikat erfordert), oder kann ich auch andere EAP-Authentifizierungsmethoden verwenden...

tia Neo

NyoMic

xepera-xeper-xeperu

Registered: Feb 2001
Location: Stahlstadt
Posts: 2619

19.10.2006 - 20:17

hmm gute frage. iirc geht auch md5 bin mir aber ned sicher und kanns leider ned testen

Neo-=IuE=-

Here to stay

Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3232

20.10.2006 - 01:07

ich bin jetzt schon so weit, dass ich weiß, dass EAP-TLS server und client zertifikat braucht, des geht schon mal
EAP-TTLS, EAP-PEAP brauchen nur server zertifikat und dann user,pw
es gibt welche ohne zertifikate sind aber cisco-properitär

i versuch mich grad an EAP-TTLS nur beim debugging sagt mir der server
No '@' in Username = "Neo", looking up realm NULL
No such realm "NULL"

NyoMic

xepera-xeper-xeperu

Registered: Feb 2001
Location: Stahlstadt
Posts: 2619

20.10.2006 - 14:02

diese fehlermeldung sagt aber nix aus. einen realm brauchst ja nichtmal. iirc brauchst einen realm nur wennst mehrere radius-auth-server betreibst und auf jedem eigene userlisten hast. dann gibt der erste radius mittels realm auf den richtigen radius weiter.

Neo-=IuE=-

Here to stay

Registered: Jun 2002
Location: Berndorf, NÖ
Posts: 3232

21.10.2006 - 11:09

habs jetzt schon gelöst

WPA-EAP mit TTLS und innerm Protokoll mschapv2 funkt nur steht da leider des pw dann in klartext im usersfile vom radiusserver
jetzt solls noch die möglichkeit geben des über den samba server zu umgehen, naja mal schaun

Neo-=IuE=- Here to stay Registered: Jun 2002 Location: Berndorf, NÖ Posts: 3232	19.10.2006 - 09:38 Hi, i weiß net ob ich hier ins richtige Forum poste oder ob vielleicht eines der NEtzwerkforen sinnvoller ist, aber egal. In der FH machen wir bei Security Sachen unter anderem WLAN mit Radius gesichert. Nur leider hat unser Vortragender davon absolut keinen Plan und i hab mi jetzt mal per Tutorials ausm Inet eingelesen. Wir haben Suse10.1 laufen mit Freeradius installiert. Wir haben einen D-Link AP der WPA-EAP unterstützt. Clients sind Windows XP. Jetzt würde mich interessieren wie muss ich den Freeradius konfigurieren, dass des so funktioniert wie ich will clients.conf ist der AP schon eingetragen mit einem Secret. AP sollte auch richtig eingerichtet sein mit Radius-IP, Standard-Port 1812 und dem Secret. In meiner Ferialpraxis hab ich schon mal als Client mich in ein Radius geschütztes WLAN netz eingeloggt, da kam User und PW eingabe.... Jetzt hab ich mir gedacht ich kann des auch so einrichten In allen Tutorials die ich jetzt im Inet gefunden habe werden aber immer mit OpenSSL erstellte Zertifikate verwendet zur Authentifizierung... Meine Frage, kann ich von WinXP-Clients zu FreeRadius nur EAP-TLS verwenden (was wenn ich des richtig verstanden hab a Zertifikat erfordert), oder kann ich auch andere EAP-Authentifizierungsmethoden verwenden... tia Neo
NyoMic xepera-xeper-xeperu Registered: Feb 2001 Location: Stahlstadt Posts: 2619	19.10.2006 - 20:17 hmm gute frage. iirc geht auch md5 bin mir aber ned sicher und kanns leider ned testen
Neo-=IuE=- Here to stay Registered: Jun 2002 Location: Berndorf, NÖ Posts: 3232	20.10.2006 - 01:07 ich bin jetzt schon so weit, dass ich weiß, dass EAP-TLS server und client zertifikat braucht, des geht schon mal EAP-TTLS, EAP-PEAP brauchen nur server zertifikat und dann user,pw es gibt welche ohne zertifikate sind aber cisco-properitär i versuch mich grad an EAP-TTLS nur beim debugging sagt mir der server No '@' in Username = "Neo", looking up realm NULL No such realm "NULL"
NyoMic xepera-xeper-xeperu Registered: Feb 2001 Location: Stahlstadt Posts: 2619	20.10.2006 - 14:02 diese fehlermeldung sagt aber nix aus. einen realm brauchst ja nichtmal. iirc brauchst einen realm nur wennst mehrere radius-auth-server betreibst und auf jedem eigene userlisten hast. dann gibt der erste radius mittels realm auf den richtigen radius weiter.
Neo-=IuE=- Here to stay Registered: Jun 2002 Location: Berndorf, NÖ Posts: 3232	21.10.2006 - 11:09 habs jetzt schon gelöst WPA-EAP mit TTLS und innerm Protokoll mschapv2 funkt nur steht da leider des pw dann in klartext im usersfile vom radiusserver jetzt solls noch die möglichkeit geben des über den samba server zu umgehen, naja mal schaun

Freeradius und WLAN Security

Forum Index > Software > Linux and other OS

Neo-=IuE=-

NyoMic

Neo-=IuE=-

NyoMic

Neo-=IuE=-