AA_123rf-437832_AdrianHughes123RF.jpg

© AdrianHughes, 123RF

Sicherer Umkreis

Zeroshell-Workshop, Teil 5: Radius-Server

17.10.2013
Ein WLAN lässt sich bequemer aufbauen als ein verkabeltes Heimnetz, bietet aber auch erheblich weniger Sicherheit. Das lässt sich mit einem Radius-Server ändern.

Drahtlose Netze haben sich längst auch in privaten Haushalten fest etabliert – zu Lasten der Kommunikationssicherheit. Zwar stellt der aktuelle WPA2-Standard gegenüber seinen Vorgängern einen bedeutenden Fortschritt dar, hat jedoch in der Personal-Variante mit PSK ("Pre-Shared Key") immer noch einige Mängel, die das Eindringen von Angreifern erleichtern. Für deutlich mehr Schutz sorgt die WPA2-Enterprise-Spezifikation (IEEE 802.11i). Mit Zeroshell kommen Sie dabei schnell und relativ einfach zum Ziel.

Zeroshell-Workshop

Teil 1 – Zeroshell aufsetzen LU 07/2013, S. 22 http://www.linux-community.de/29626
Teil 2 – Routing und WLAN-Bridge LU 08/2013, S. 38 http://www.linux-community.de/29993
Teil 3 – Firewall einrichten LU 09/2013, S. 66 http://www.linux-community.de/30220
Teil 4 – Proxy und AV-Scanner LU 10/2013, S. 63 http://www.linux-community.de/30471
Teil 5 -- Radius-Server einrichten LU 11/2013, S. ### http://www.linux-community.de/29651

Technik

Während WPA2-PSK lediglich einen einzigen Schlüssel für das gesamte Netz verwendet, gestattet die Authentifizierung mittels WPA2-Enterprise und eines dazugehörigen Radius-Servers unterschiedliche Methoden. Zudem stellt der Radius-Server ein zentrales Benutzer-Accounting zur Verfügung: So lassen sich beispielsweise Netzzugänge für jeden Client gesondert konfigurieren und gegebenenfalls auch abrechnen. Die Authentifizierung des Anwenders übernimmt bei der WPA2-Enterprise-Variante nicht mehr der Access Point, sondern der Radius-Server. Verläuft die Anmeldung erfolgreich, schaltet der Access Point den Netzzugang für den Client auf Veranlassung des Radius-Servers frei.

Die Authentifizierung mittels Radius-Server baut auf einer deutlich erweiterten Infrastruktur auf: Sie können hier zwischen unterschiedlichen Authentifizierungsmethoden wählen, die komplett verschlüsselte Kommunikation und Anmeldung mit verschiedenen Schlüsseln und Zertifikaten sorgt für ein hohes Maß an Sicherheit. Bei WPA2-Enterprise meldet sich der Anwender mit Benutzername und Passwort, die der Radius-Server verifiziert, am Access Point an. Dabei sichert asymmetrische Verschlüsselung gemäß EAP-TLS-Spezifikation die Kommunikation zwischen Client ("Supplicant"), Access Point ("Authenticator") und Radius-Server ab.

Auf jedem Client und auf dem Radius-Server liegen X.509-Zertifikate sowie private Schlüssel, mit deren Hilfe die Geräte miteinander kommunizieren. Access Point und Radius-Server wickeln ihre Kommunikation mithilfe eines Passworts ("Shared Secret") ab. Der Access Point selbst verfügt weder über ein Zertifikat noch einen Schlüssel, sondern arbeitet im Netz transparent. Die Zertifikate werden unter Zeroshell in der Regel auf dem Radius-Server generiert, wobei Sie das Stammzertifikat anschließend auf den Client-Computern installieren müssen.

Stichwort PKI

Zeroshell setzt somit auf eine sogenannte Public-Key-Infrastruktur (PKI) auf. Dabei kommen öffentliche Schlüssel ("Public Keys") zum Einsatz, die ein digitales Zertifikat gegen jede Verfälschung absichert. Das Zertifikat wiederum wird durch eine Signatur geschützt, die sich mit dem Public Key des Ausstellers authentifizieren lässt. Somit basiert eine PKI auf einer kaskadierten Authentifizierungsfolge, die es Angreifern praktisch unmöglich macht, den Datenverkehr und die Zugänge zu entschlüsseln.

Den Dreh- und Angelpunkt einer vertrauenswürdigen PKI stellt die Certification Authority (CA) dar, welche die digitalen Zertifikate generiert. Sie können solche Stammzertifikate bei Dienstleistern erhalten, doch Zeroshell bietet auch eine integrierte Root-CA, die Zertifikate und Schlüssel generiert. Dazu gehören je nach Sicherheitsspezifikation und Dienst sowohl anwenderbezogene als auch hostbezogene Zertifikate. Somit können Sie eine private PKI komplett mit Zeroshell aufbauen, ohne auf Software von Drittanbietern oder auf Dienstleister angewiesen zu sein.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 05/2016: DATEISYSTEME

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Aktuelle Fragen

MS LifeCam HD-5000 an Debian
Kay Michael, 13.04.2016 22:55, 0 Antworten
Hallo, ich versuche die oben erwähnte Cam an einem Thin Client mit Debian zu betreiben. Linux...
Import von Evolution nach KMail erzeugt nur leere Ordner
Klaus-Christian Falkner, 06.04.2016 12:57, 2 Antworten
Hallo, da ich vor einiger Zeit von Ubuntu auf Kubuntu umgestiegen bin, würde ich gerne meine E...
Sophos lässt sich nicht unter Lubuntu installieren
Chrstina Turm, 30.03.2016 20:56, 3 Antworten
Hi Leute, habe mir vor paar Tagen auf ein Notebook, das ohne Linux ausgedient hätte, Linux dr...
Novell Client auf Raspbian
Chris Baum, 16.03.2016 15:13, 3 Antworten
Hallo Community, ich hätte eine Frage, und zwar geht es um folgendes: Ich möchte eine Datei...
Pantheon konfigurieren (eOS)
John Smith, 16.03.2016 13:50, 0 Antworten
Hallo ins Forum, ich bin neu in der Linuxwelt und fühle mich bereits sehr wohl. Mein neues Sys...