Ein WLAN lässt sich bequemer aufbauen als ein verkabeltes Heimnetz, bietet aber auch erheblich weniger Sicherheit. Das lässt sich mit einem Radius-Server ändern.
Drahtlose Netze haben sich längst auch in privaten Haushalten fest etabliert – zu Lasten der Kommunikationssicherheit. Zwar stellt der aktuelle WPA2-Standard gegenüber seinen Vorgängern einen bedeutenden Fortschritt dar, hat jedoch in der Personal-Variante mit PSK (“Pre-Shared Key”) immer noch einige Mängel, die das Eindringen von Angreifern erleichtern. Für deutlich mehr Schutz sorgt die WPA2-Enterprise-Spezifikation (IEEE 802.11i). Mit Zeroshell kommen Sie dabei schnell und relativ einfach zum Ziel.
Zeroshell-Workshop
| Teil 1 – Zeroshell aufsetzen | LU 07/2013, S. 22 | https://www.linux-community.de/29626 |
| Teil 2 – Routing und WLAN-Bridge | LU 08/2013, S. 38 | https://www.linux-community.de/29993 |
| Teil 3 – Firewall einrichten | LU 09/2013, S. 66 | https://www.linux-community.de/30220 |
| Teil 4 – Proxy und AV-Scanner | LU 10/2013, S. 63 | https://www.linux-community.de/30471 |
| Teil 5 — Radius-Server einrichten | LU 11/2013, S. ### | https://www.linux-community.de/29651 |
Technik
Während WPA2-PSK lediglich einen einzigen Schlüssel für das gesamte Netz verwendet, gestattet die Authentifizierung mittels WPA2-Enterprise und eines dazugehörigen Radius-Servers unterschiedliche Methoden. Zudem stellt der Radius-Server ein zentrales Benutzer-Accounting zur Verfügung: So lassen sich beispielsweise Netzzugänge für jeden Client gesondert konfigurieren und gegebenenfalls auch abrechnen. Die Authentifizierung des Anwenders übernimmt bei der WPA2-Enterprise-Variante nicht mehr der Access Point, sondern der Radius-Server. Verläuft die Anmeldung erfolgreich, schaltet der Access Point den Netzzugang für den Client auf Veranlassung des Radius-Servers frei.
Die Authentifizierung mittels Radius-Server baut auf einer deutlich erweiterten Infrastruktur auf: Sie können hier zwischen unterschiedlichen Authentifizierungsmethoden wählen, die komplett verschlüsselte Kommunikation und Anmeldung mit verschiedenen Schlüsseln und Zertifikaten sorgt für ein hohes Maß an Sicherheit. Bei WPA2-Enterprise meldet sich der Anwender mit Benutzername und Passwort, die der Radius-Server verifiziert, am Access Point an. Dabei sichert asymmetrische Verschlüsselung gemäß EAP-TLS-Spezifikation die Kommunikation zwischen Client (“Supplicant”), Access Point (“Authenticator”) und Radius-Server ab.
Auf jedem Client und auf dem Radius-Server liegen X.509-Zertifikate sowie private Schlüssel, mit deren Hilfe die Geräte miteinander kommunizieren. Access Point und Radius-Server wickeln ihre Kommunikation mithilfe eines Passworts (“Shared Secret”) ab. Der Access Point selbst verfügt weder über ein Zertifikat noch einen Schlüssel, sondern arbeitet im Netz transparent. Die Zertifikate werden unter Zeroshell in der Regel auf dem Radius-Server generiert, wobei Sie das Stammzertifikat anschließend auf den Client-Computern installieren müssen.
Stichwort PKI
Zeroshell setzt somit auf eine sogenannte Public-Key-Infrastruktur (PKI) auf. Dabei kommen öffentliche Schlüssel (“Public Keys”) zum Einsatz, die ein digitales Zertifikat gegen jede Verfälschung absichert. Das Zertifikat wiederum wird durch eine Signatur geschützt, die sich mit dem Public Key des Ausstellers authentifizieren lässt. Somit basiert eine PKI auf einer kaskadierten Authentifizierungsfolge, die es Angreifern praktisch unmöglich macht, den Datenverkehr und die Zugänge zu entschlüsseln.
Den Dreh- und Angelpunkt einer vertrauenswürdigen PKI stellt die Certification Authority (CA) dar, welche die digitalen Zertifikate generiert. Sie können solche Stammzertifikate bei Dienstleistern erhalten, doch Zeroshell bietet auch eine integrierte Root-CA, die Zertifikate und Schlüssel generiert. Dazu gehören je nach Sicherheitsspezifikation und Dienst sowohl anwenderbezogene als auch hostbezogene Zertifikate. Somit können Sie eine private PKI komplett mit Zeroshell aufbauen, ohne auf Software von Drittanbietern oder auf Dienstleister angewiesen zu sein.
Radius-Server mit Zeroshell
Das Einrichten eines Radius-Servers verursacht unter herkömmlichen Linux-Distributionen meist viel Aufwand, nicht zuletzt durch das Editieren vieler Konfigurationsdateien und das Generieren von Zertifikaten und Schlüsseln. Zeroshell bildet dagegen über seine Weboberfläche alle anfallenden Arbeitsschritte bequem aus einem Guss ab.
Um die Komponenten des in Zeroshell integrierten Radius-Servers zu konfigurieren, wechseln Sie im Einstellungsfenster im Webbrowser links in das Menü RADIUS. Zeroshell zeigt Ihnen nun an, dass bereits ein Zertifikat und ein Schlüssel generiert wurden (Abbildung 1). Zum Importieren extern vorhandener Stammzertifikate und Schlüssel nutzen Sie die Schaltfläche Imported rechts im Fenster und geben die entsprechenden Suchpfade an.
Abbildung 1: Der Einstiegsbildschirm von Zeroshell für den Radius-Server.
In kleineren Installationen kommen jedoch in der Regel selbst generierte Zertifikate zum Einsatz. Sie schalten daher nun zunächst den Radius-Dienst ein, indem Sie in der Zeile Status: rechts ein Häkchen vor dem Feld Enabled setzen. Anschließend klicken Sie rechts mittig auf die Schaltfläche Trusted CAs, woraufhin sich das Fenster Trusted Certification Authorities öffnet. Im großen Bereich Trusted CAs List finden Sie den Eintrag ZeroShell (Local CA) den Sie anklicken.
Oben rechts im Fenster wählen Sie nun in der Auswahlbox hinter der Schaltfläche Export die Option DER und klicken anschließend auf Export. Zeroshell öffnet daraufhin einen Dateidialog und fragt Sie, wo es das frisch generierte X.509-Zertifikat ablegen soll. Dazu geben Sie jetzt einen Pfad an und speichern das Zertifikat ab. Es bildet später die Authentifizierungsgrundlage für alle Clients und muss daher auch auf jedem Arbeitsplatzrechner im WLAN abgelegt sein (Abbildung 2).
Abbildung 2: Mithilfe von Zeroshell generieren Sie X.509-Zertifikate.
Nach dem Ablegen des Zertifikats machen Sie den Radius-Server mit dem Access Point bekannt. Da der Server von sich aus keinerlei Anfragen ins Netz sendet, müssen Sie jeden im WLAN vorhandenen Access Point zunächst manuell anmelden. Sie klicken dazu oben mittig im Konfigurationsfenster auf die Schaltfläche Authorized Clients. Im sich öffnenden Bereich geben Sie einen Namen, die IP-Adresse und das Shared Secret für den Access Point ein. Mithilfe des Shared Secrets, einer variabel auszuwählenden Zeichen- und Ziffernfolge, sichern der Radius-Server und der Access Point ihre Kommunikation ab.
Nach Abschluss der Eingaben klicken Sie oben rechts auf das Plus-Symbol. Zeroshell übernimmt den Access Point nun in die Liste der autorisierten Clients. Anschließend klicken Sie im Hauptmenü links auf den Eintrag Users und danach oben mittig auf die Schaltfläche Add. Rechts im Fenster öffnet sich nun ein sehr umfangreicher Konfigurationsdialog.
Sie tragen hier die entsprechenden Angaben zu jedem einzelnen Anwender ein. Achten Sie bitte darauf, keinerlei Umlaute zu verwenden, da Zeroshell darauf mit Fehlermeldungen reagiert. In größeren Netzen sollten Sie sich die entsprechenden Daten notieren, um auf den jeweiligen Clients korrekte Angaben machen zu können. Zeroshell generiert für jeden User automatisch ein X.509-Zertifikat sowie einen Public Key (Abbildung 3).
Abbildung 3: Für jeden User muss Zeroshell ein eigenes Zertifikat generieren.
Auf dem Router
Auch den Router gilt es, als erstes Gerät hinter dem DSL-Modem entsprechend zu konfigurieren. Hier müssen Sie die Sicherheitsoptionen für das WLAN von WPA2 Personal auf WPA2 Enterprise ändern. In aller Regel verlangt der Router anschließend die Eingabe des Shared Secrets, das Sie auf dem Zeroshell-System definiert haben. Achten Sie bitte hierbei auch auf die Groß- und Kleinschreibung.
Zusätzlich fragt der Router den verwendeten Verschlüsselungsalgorithmus sowie die IP-Adresse des Radius-Servers ab. Erst nach dem vollständigen und korrekten Konfigurieren dieser Verbindung klappt die Kommunikation zwischen dem Access Point und dem Authentifizierungsserver. Sie bleibt für die Clients transparent, sodass diese nicht direkt mit dem Authentifizierungsdienst in Berührung kommen.
Auf dem Client
Nun müssen Sie auch alle Workstations im Netz für die Nutzung mit dem Radius-Server konfigurieren. Dazu kopieren Sie zunächst das ursprünglich auf dem Zeroshell-Rechner abgelegte Zertifikat auf jeden einzelnen Client. Anschließend öffnen Sie den auf den Rechnern befindlichen Netzwerk-Manager und stellen dort zunächst den Sicherheitsmodus von WPA & WPA2-Personal auf WPA & WPA2 Enterprise um.
In unserem Fall wählen Sie im Feld Legitimierung: die Option Getunneltes TLS an, um eine Verbindung nach EAP-TLS-Standard zu erhalten. Im Feld CA-Zertifikat tragen Sie das auf die Festplatte kopierte, ursprünglich vom Zeroshell-System generierte Zertifikat ein. Unter Debian und dessen Derivaten erledigen Sie das bequem per Suche mithilfe des Dateimanagers, auf Mageia/Mandriva-basierten Systemen müssen Sie im entsprechenden Feld den kompletten Suchpfad angeben.
Schließlich tragen Sie noch den auf dem Radius-Server hinterlegten Benutzernamen sowie das zugehörige Passwort ein, die als Legitimation des Anwenders dienen. Das Speichern der Einstellungen schließt die Konfiguration ab (Abbildung 4). Sie können sich nun problemlos im Netz anmelden, wobei die gesamte Kommunikation verschlüsselt und digital signiert abläuft. Ein Einbrechen unbefugter Dritter ins WLAN durch Mitschneiden und Entschlüsseln des Datenverkehrs ist in dieser Konstellation ausgeschlossen.
Abbildung 4: Auch auf dem Client sind einige Einstellungen vorzunehmen, hier unter Knoppix.
Accounting
Ein weiterer Dienst, der mit dem Radius-Server in Ihr WLAN Einzug halten kann, ist das Accounting. Hierbei legen Sie anwender- und klassenspezifische Konten an, die zum Abrechnen und zum Einschränken des Internet-Zugangs dienen. In Zeroshell lassen sich nicht nur volumen- oder zeitbasierte Abrechnungsmodelle spezifizieren, sondern auch Limits festlegen, wobei diese daten-, zeit- oder bandbreitenbasiert ausfallen können.
Sie erreichen den Accounting-Einstellungsdialog durch einen Klick auf den Eintrag Accounting links im Optionsfenster. Anschließend schalten Sie im rechten Bereich des Fensters das Accounting ein und definieren über Accounting Classes | Add eigene Modelle. Diese erscheinen anschließend rechts unter Accounting Classes in Listenform, Sie müssen sie je nach Kontenmodell eventuell noch aktivieren. Links im größeren Bereich sehen Sie ebenfalls in Listenform die angemeldeten Benutzer. Deren detaillierte Konten- und Abrechnungsdaten rufen Sie durch einen Doppelklick auf den jeweiligen Benutzernamen links ab.
Fazit
Mit Zeroshell sichern Sie Ihr WLAN professionell gegen unerwünschte Lauscher und Eindringlinge. Dabei senkt Zeroshell den Konfigurationsaufwand gegenüber herkömmlichen Distributionen erheblich, indem es alle nötigen Einstellungsdialoge sowie Kontrollmechanismen unter einer leicht zu handhabenden Oberfläche zusammenfasst.
