AA_123rf-437832_AdrianHughes123RF.jpg

© AdrianHughes, 123RF

Zeroshell-Workshop, Teil 5: Radius-Server

Sicherer Umkreis

Ein WLAN lässt sich bequemer aufbauen als ein verkabeltes Heimnetz, bietet aber auch erheblich weniger Sicherheit. Das lässt sich mit einem Radius-Server ändern.

Drahtlose Netze haben sich längst auch in privaten Haushalten fest etabliert – zu Lasten der Kommunikationssicherheit. Zwar stellt der aktuelle WPA2-Standard gegenüber seinen Vorgängern einen bedeutenden Fortschritt dar, hat jedoch in der Personal-Variante mit PSK ("Pre-Shared Key") immer noch einige Mängel, die das Eindringen von Angreifern erleichtern. Für deutlich mehr Schutz sorgt die WPA2-Enterprise-Spezifikation (IEEE 802.11i). Mit Zeroshell kommen Sie dabei schnell und relativ einfach zum Ziel.

Zeroshell-Workshop

Teil 1 – Zeroshell aufsetzen LU 07/2013, S. 22 http://www.linux-community.de/29626
Teil 2 – Routing und WLAN-Bridge LU 08/2013, S. 38 http://www.linux-community.de/29993
Teil 3 – Firewall einrichten LU 09/2013, S. 66 http://www.linux-community.de/30220
Teil 4 – Proxy und AV-Scanner LU 10/2013, S. 63 http://www.linux-community.de/30471
Teil 5 -- Radius-Server einrichten LU 11/2013, S. ### http://www.linux-community.de/29651

Technik

Während WPA2-PSK lediglich einen einzigen Schlüssel für das gesamte Netz verwendet, gestattet die Authentifizierung mittels WPA2-Enterprise und eines dazugehörigen Radius-Servers unterschiedliche Methoden. Zudem stellt der Radius-Server ein zentrales Benutzer-Accounting zur Verfügung: So lassen sich beispielsweise Netzzugänge für jeden Client gesondert konfigurieren und gegebenenfalls auch abrechnen. Die Authentifizierung des Anwenders übernimmt bei der WPA2-Enterprise-Variante nicht mehr der Access Point, sondern der Radius-Server. Verläuft die Anmeldung erfolgreich, schaltet der Access Point den Netzzugang für den Client auf Veranlassung des Radius-Servers frei.

Die Authentifizierung mittels Radius-Server baut auf einer deutlich erweiterten Infrastruktur auf: Sie können hier zwischen unterschiedlichen Authentifizierungsmethoden wählen, die komplett verschlüsselte Kommunikation und Anmeldung mit verschiedenen Schlüsseln und Zertifikaten sorgt für ein hohes Maß an Sicherheit. Bei WPA2-Enterprise meldet sich der Anwender mit Benutzername und Passwort, die der Radius-Server verifiziert, am Access Point an. Dabei sichert asymmetrische Verschlüsselung gemäß EAP-TLS-Spezifikation die Kommunikation zwischen Client ("Supplicant"), Access Point ("Authenticator") und Radius-Server ab.

Auf jedem Client und auf dem Radius-Server liegen X.509-Zertifikate sowie private Schlüssel, mit deren Hilfe die Geräte miteinander kommunizieren. Access Point und Radius-Server wickeln ihre Kommunikation mithilfe eines Passworts ("Shared Secret") ab. Der Access Point selbst verfügt weder über ein Zertifikat noch einen Schlüssel, sondern arbeitet im Netz transparent. Die Zertifikate werden unter Zeroshell in der Regel auf dem Radius-Server generiert, wobei Sie das Stammzertifikat anschließend auf den Client-Computern installieren müssen.

Stichwort PKI

Zeroshell setzt somit auf eine sogenannte Public-Key-Infrastruktur (PKI) auf. Dabei kommen öffentliche Schlüssel ("Public Keys") zum Einsatz, die ein digitales Zertifikat gegen jede Verfälschung absichert. Das Zertifikat wiederum wird durch eine Signatur geschützt, die sich mit dem Public Key des Ausstellers authentifizieren lässt. Somit basiert eine PKI auf einer kaskadierten Authentifizierungsfolge, die es Angreifern praktisch unmöglich macht, den Datenverkehr und die Zugänge zu entschlüsseln.

Den Dreh- und Angelpunkt einer vertrauenswürdigen PKI stellt die Certification Authority (CA) dar, welche die digitalen Zertifikate generiert. Sie können solche Stammzertifikate bei Dienstleistern erhalten, doch Zeroshell bietet auch eine integrierte Root-CA, die Zertifikate und Schlüssel generiert. Dazu gehören je nach Sicherheitsspezifikation und Dienst sowohl anwenderbezogene als auch hostbezogene Zertifikate. Somit können Sie eine private PKI komplett mit Zeroshell aufbauen, ohne auf Software von Drittanbietern oder auf Dienstleister angewiesen zu sein.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 10/2016: Kryptographie

Digitale Ausgabe: Preis € 0,00
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Probleme mit MPC/MPD
Matthias Göhlen, 27.09.2016 13:39, 0 Antworten
Habe gerade mein erstes Raspi Projekt angefangen, typisches Einsteigerding: Vom Raspi 3B zum Radi...
Soundkarte wird erkannt, aber kein Ton
H A, 25.09.2016 01:37, 6 Antworten
Hallo, Ich weiß, dass es zu diesem Thema sehr oft Fragen gestellt wurden. Aber da ich ein Linu...
Scannen nur schwarz-weiß möglich
Werner Hahn, 20.09.2016 13:21, 2 Antworten
Canon Pixma MG5450S, Dell Latitude E6510, Betriebssyteme Ubuntu 16.04 und Windows 7. Der Canon-D...
Meteorit NB-7 startet nicht
Thomas Helbig, 13.09.2016 02:03, 4 Antworten
Verehrte Community Ich habe vor Kurzem einen Netbook-Oldie geschenkt bekommen. Beim Start ersch...
windows bootloader bei instalation gelöscht
markus Schneider, 12.09.2016 23:03, 1 Antworten
Hallo alle zusammen, ich habe neben meinem Windows 10 ein SL 7.2 Linux installiert und musste...