AA_123rf-437832_AdrianHughes123RF.jpg

© AdrianHughes, 123RF

Zeroshell-Workshop, Teil 5: Radius-Server

Sicherer Umkreis

Ein WLAN lässt sich bequemer aufbauen als ein verkabeltes Heimnetz, bietet aber auch erheblich weniger Sicherheit. Das lässt sich mit einem Radius-Server ändern.

Drahtlose Netze haben sich längst auch in privaten Haushalten fest etabliert – zu Lasten der Kommunikationssicherheit. Zwar stellt der aktuelle WPA2-Standard gegenüber seinen Vorgängern einen bedeutenden Fortschritt dar, hat jedoch in der Personal-Variante mit PSK ("Pre-Shared Key") immer noch einige Mängel, die das Eindringen von Angreifern erleichtern. Für deutlich mehr Schutz sorgt die WPA2-Enterprise-Spezifikation (IEEE 802.11i). Mit Zeroshell kommen Sie dabei schnell und relativ einfach zum Ziel.

Zeroshell-Workshop

Teil 1 – Zeroshell aufsetzen LU 07/2013, S. 22 http://www.linux-community.de/29626
Teil 2 – Routing und WLAN-Bridge LU 08/2013, S. 38 http://www.linux-community.de/29993
Teil 3 – Firewall einrichten LU 09/2013, S. 66 http://www.linux-community.de/30220
Teil 4 – Proxy und AV-Scanner LU 10/2013, S. 63 http://www.linux-community.de/30471
Teil 5 -- Radius-Server einrichten LU 11/2013, S. ### http://www.linux-community.de/29651

Technik

Während WPA2-PSK lediglich einen einzigen Schlüssel für das gesamte Netz verwendet, gestattet die Authentifizierung mittels WPA2-Enterprise und eines dazugehörigen Radius-Servers unterschiedliche Methoden. Zudem stellt der Radius-Server ein zentrales Benutzer-Accounting zur Verfügung: So lassen sich beispielsweise Netzzugänge für jeden Client gesondert konfigurieren und gegebenenfalls auch abrechnen. Die Authentifizierung des Anwenders übernimmt bei der WPA2-Enterprise-Variante nicht mehr der Access Point, sondern der Radius-Server. Verläuft die Anmeldung erfolgreich, schaltet der Access Point den Netzzugang für den Client auf Veranlassung des Radius-Servers frei.

Die Authentifizierung mittels Radius-Server baut auf einer deutlich erweiterten Infrastruktur auf: Sie können hier zwischen unterschiedlichen Authentifizierungsmethoden wählen, die komplett verschlüsselte Kommunikation und Anmeldung mit verschiedenen Schlüsseln und Zertifikaten sorgt für ein hohes Maß an Sicherheit. Bei WPA2-Enterprise meldet sich der Anwender mit Benutzername und Passwort, die der Radius-Server verifiziert, am Access Point an. Dabei sichert asymmetrische Verschlüsselung gemäß EAP-TLS-Spezifikation die Kommunikation zwischen Client ("Supplicant"), Access Point ("Authenticator") und Radius-Server ab.

Auf jedem Client und auf dem Radius-Server liegen X.509-Zertifikate sowie private Schlüssel, mit deren Hilfe die Geräte miteinander kommunizieren. Access Point und Radius-Server wickeln ihre Kommunikation mithilfe eines Passworts ("Shared Secret") ab. Der Access Point selbst verfügt weder über ein Zertifikat noch einen Schlüssel, sondern arbeitet im Netz transparent. Die Zertifikate werden unter Zeroshell in der Regel auf dem Radius-Server generiert, wobei Sie das Stammzertifikat anschließend auf den Client-Computern installieren müssen.

Stichwort PKI

Zeroshell setzt somit auf eine sogenannte Public-Key-Infrastruktur (PKI) auf. Dabei kommen öffentliche Schlüssel ("Public Keys") zum Einsatz, die ein digitales Zertifikat gegen jede Verfälschung absichert. Das Zertifikat wiederum wird durch eine Signatur geschützt, die sich mit dem Public Key des Ausstellers authentifizieren lässt. Somit basiert eine PKI auf einer kaskadierten Authentifizierungsfolge, die es Angreifern praktisch unmöglich macht, den Datenverkehr und die Zugänge zu entschlüsseln.

Den Dreh- und Angelpunkt einer vertrauenswürdigen PKI stellt die Certification Authority (CA) dar, welche die digitalen Zertifikate generiert. Sie können solche Stammzertifikate bei Dienstleistern erhalten, doch Zeroshell bietet auch eine integrierte Root-CA, die Zertifikate und Schlüssel generiert. Dazu gehören je nach Sicherheitsspezifikation und Dienst sowohl anwenderbezogene als auch hostbezogene Zertifikate. Somit können Sie eine private PKI komplett mit Zeroshell aufbauen, ohne auf Software von Drittanbietern oder auf Dienstleister angewiesen zu sein.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 05/2017: Linux unterwegs

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Knoppix-Live-CD (8.0 LU-Edition) im Uefiboot?
Thomas Weiss, 26.04.2017 20:38, 0 Antworten
Hallo, Da mein Rechner unter Windows 8.1/64Bit ein Soundproblem hat und ich abklären wollte, o...
Grub2 reparieren
Brain Stuff, 26.04.2017 02:04, 3 Antworten
Ein Windows Update hat mir Grub zerschossen ... der Computer startet nicht mehr mit Grub, sondern...
Linux open suse 2,8
Wolfgang Gerhard Zeidler, 18.04.2017 09:17, 2 Antworten
Hallo.bitte um Hilfe bei. Code fuer den Rescue-login open suse2.8 Mfg Yvo
grep und sed , gleicher Regulärer Ausdruck , sed mit falschem Ergebnis.
Josef Federl, 15.04.2017 00:23, 1 Antworten
Daten: dlfkjgkldgjldfgl55.55klsdjfl jfjfjfj8.22fdgddfg {"id":"1","name":"Phase L1","unit":"A",...
IP Cams aufzeichnen?
Bibliothek der Technischen Hochschule Mittelhessen / Giessen, 07.04.2017 09:25, 7 Antworten
Hallo, da nun des öfteren bei uns in der Nachbarschaft eingebrochen wird, würde ich gern mein...