AA_123rf-437832_AdrianHughes123RF.jpg

© AdrianHughes, 123RF

Zeroshell-Workshop, Teil 5: Radius-Server

Sicherer Umkreis

Ein WLAN lässt sich bequemer aufbauen als ein verkabeltes Heimnetz, bietet aber auch erheblich weniger Sicherheit. Das lässt sich mit einem Radius-Server ändern.

Drahtlose Netze haben sich längst auch in privaten Haushalten fest etabliert – zu Lasten der Kommunikationssicherheit. Zwar stellt der aktuelle WPA2-Standard gegenüber seinen Vorgängern einen bedeutenden Fortschritt dar, hat jedoch in der Personal-Variante mit PSK ("Pre-Shared Key") immer noch einige Mängel, die das Eindringen von Angreifern erleichtern. Für deutlich mehr Schutz sorgt die WPA2-Enterprise-Spezifikation (IEEE 802.11i). Mit Zeroshell kommen Sie dabei schnell und relativ einfach zum Ziel.

Zeroshell-Workshop

Teil 1 – Zeroshell aufsetzen LU 07/2013, S. 22 http://www.linux-community.de/29626
Teil 2 – Routing und WLAN-Bridge LU 08/2013, S. 38 http://www.linux-community.de/29993
Teil 3 – Firewall einrichten LU 09/2013, S. 66 http://www.linux-community.de/30220
Teil 4 – Proxy und AV-Scanner LU 10/2013, S. 63 http://www.linux-community.de/30471
Teil 5 -- Radius-Server einrichten LU 11/2013, S. ### http://www.linux-community.de/29651

Technik

Während WPA2-PSK lediglich einen einzigen Schlüssel für das gesamte Netz verwendet, gestattet die Authentifizierung mittels WPA2-Enterprise und eines dazugehörigen Radius-Servers unterschiedliche Methoden. Zudem stellt der Radius-Server ein zentrales Benutzer-Accounting zur Verfügung: So lassen sich beispielsweise Netzzugänge für jeden Client gesondert konfigurieren und gegebenenfalls auch abrechnen. Die Authentifizierung des Anwenders übernimmt bei der WPA2-Enterprise-Variante nicht mehr der Access Point, sondern der Radius-Server. Verläuft die Anmeldung erfolgreich, schaltet der Access Point den Netzzugang für den Client auf Veranlassung des Radius-Servers frei.

Die Authentifizierung mittels Radius-Server baut auf einer deutlich erweiterten Infrastruktur auf: Sie können hier zwischen unterschiedlichen Authentifizierungsmethoden wählen, die komplett verschlüsselte Kommunikation und Anmeldung mit verschiedenen Schlüsseln und Zertifikaten sorgt für ein hohes Maß an Sicherheit. Bei WPA2-Enterprise meldet sich der Anwender mit Benutzername und Passwort, die der Radius-Server verifiziert, am Access Point an. Dabei sichert asymmetrische Verschlüsselung gemäß EAP-TLS-Spezifikation die Kommunikation zwischen Client ("Supplicant"), Access Point ("Authenticator") und Radius-Server ab.

Auf jedem Client und auf dem Radius-Server liegen X.509-Zertifikate sowie private Schlüssel, mit deren Hilfe die Geräte miteinander kommunizieren. Access Point und Radius-Server wickeln ihre Kommunikation mithilfe eines Passworts ("Shared Secret") ab. Der Access Point selbst verfügt weder über ein Zertifikat noch einen Schlüssel, sondern arbeitet im Netz transparent. Die Zertifikate werden unter Zeroshell in der Regel auf dem Radius-Server generiert, wobei Sie das Stammzertifikat anschließend auf den Client-Computern installieren müssen.

Stichwort PKI

Zeroshell setzt somit auf eine sogenannte Public-Key-Infrastruktur (PKI) auf. Dabei kommen öffentliche Schlüssel ("Public Keys") zum Einsatz, die ein digitales Zertifikat gegen jede Verfälschung absichert. Das Zertifikat wiederum wird durch eine Signatur geschützt, die sich mit dem Public Key des Ausstellers authentifizieren lässt. Somit basiert eine PKI auf einer kaskadierten Authentifizierungsfolge, die es Angreifern praktisch unmöglich macht, den Datenverkehr und die Zugänge zu entschlüsseln.

Den Dreh- und Angelpunkt einer vertrauenswürdigen PKI stellt die Certification Authority (CA) dar, welche die digitalen Zertifikate generiert. Sie können solche Stammzertifikate bei Dienstleistern erhalten, doch Zeroshell bietet auch eine integrierte Root-CA, die Zertifikate und Schlüssel generiert. Dazu gehören je nach Sicherheitsspezifikation und Dienst sowohl anwenderbezogene als auch hostbezogene Zertifikate. Somit können Sie eine private PKI komplett mit Zeroshell aufbauen, ohne auf Software von Drittanbietern oder auf Dienstleister angewiesen zu sein.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 12/2016: Neue Desktops

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Drucker Epson XP-332 unter ubuntu 14.04 einrichten
Andrea Wagenblast, 30.11.2016 22:07, 2 Antworten
Hallo, habe vergeblich versucht mein Multifunktionsgerät Epson XP-332 als neuen Drucker unter...
Apricity Gnome unter Win 10 via VirtualBox
André Driesel, 30.11.2016 06:28, 2 Antworten
Halo Leute, ich versuche hier schon seit mehreren Tagen Apricity OS Gnome via VirtualBox zum l...
EYE of Gnome
FRank Schubert, 15.11.2016 20:06, 2 Antworten
Hallo, EOG öffnet Fotos nur in der Größenordnung 4000 × 3000 Pixel. Größere Fotos werden nic...
Kamera mit Notebook koppeln
Karl Spiegel, 12.11.2016 15:02, 2 Antworten
Hi, Fotografen ich werde eine SONY alpha 77ii bekommen, und möchte die LifeView-Möglichkeit nu...
Linux auf externe SSD installieren
Roland Seidl, 28.10.2016 20:44, 1 Antworten
Bin mit einem Mac unterwegs. Mac Mini 2012 i7. Würde gerne Linux parallel betreiben. Aber auf e...