Ist eine Verbindung zu Radius Server ohne Benutzerzertifikat unsicher?

Hallo ich habe zu Testzwecken einen Radius-Server (FreeRadius) eingerichtet. Nur leider war es mir nicht möglich ein ein Benutzerzertifikat einzurichten. Es wird also nur ein selbst generiertes Stammzertifikat zur Authentifikation des Servers verwendet.

Mich würde jetzt interessieren ob die Daten die zwischen meinem AP und meinem Tablet gesendet werden mit dem Stammzertifikat verschlüsselt werden oder ob die jetzt jeder mitlesen könnte.

3 Antworten

Vom Fragesteller als hilfreich ausgezeichnet

franzhartwig

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, WLAN, Netzwerk

11.02.2017, 09:53

Es gibt mehrere EAP-Methoden. Häufig verwendete Methoden sind PEAP und EAP-TLS.

Bei PEAP benötigt lediglich der RADIUS-Server ein Serverzertifikat. Damit authentisiert er sich gegenüber dem Client (ähnlich wie bei TLS). Dies kann durch aus ein selbst signiertes Zertifikat sein. Auf dem Client kann man, je nach Betriebssystem, einstellen, ob der Client das Zertifikat prüfen soll (darauf sollte man nicht verzichten), und welchen Zertifizierungsstellen der Client vertrauen soll. Da das Zertifikat nicht von einer öffentlichen Zertifizierungsstelle stammt, musst Du ihm auf jeden Fall sagen, dass er diesem Zertifikat vertrauen soll. Das ist dann auf jeden Fall eine sichere Sache. Mittels TLS-Handshake wird eine vertrauenswürdige und verschlüsselte Verbindung zwischen Client, über den AP, zum RADIUS-Server aufgebaut, innerhalb dieser verschlüsselten Verbindung findet dann per EAP der eigentliche Authentisierungsprozess für das WLAN statt, z.B. per Benutzername und Passwort. Das ist gängig und ausreichend sicher. Ein mitlesender Angreifer sieht weder die Übertragung von Benutzername noch das Passwort, weil die gesamte Kommunikation TLS-verschlüsselt ist.

Bei EAP-TLS ist zusätzlich zum Serverzertifikat ein Client-/Benutzerzertifikat nötig. Die Authentisierung des Clients findet dann mittels Zertifikat statt. Das ist aus meiner Sicht durchaus "sicherer" als PEAP mit Benutzername und Passwort, weil ein Angreifer ein gültiges Zertifikat samt privatem Schlüssel für die Authentisierung benötigt. Ein Benutername und Passwort ist theoretisch natürlich leichter knackbar. Trotzdem halte ich PEAP für ausreichend sicher.

klugshicer

Fragesteller

11.02.2017, 10:55

Wäre das dann so ausreichend?

http://www.fotos-hochladen.net/view/radiussetup5ntirh7qk2.png

franzhartwig

11.02.2017, 11:36

@klugshicer

Ja, das ist absolut ausreichend.

PeterKremsner

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer

10.02.2017, 17:47

Ich hab jetzt zwar mit dem Radius Server keine Erfahrungen, aber bei SSL ist es so, dass da auch Selbst Signierte Zertifikate den vollen Schutz bieten, es kann aber nicht garantiert werden, dass der Server wirklich der Server ist.

Sprich es ist nicht sichergestellt, dass jemand sich zwischen dich und den Server hängt und so die Verbindung mitliest.

Solltest du dich schon mal auf sicherem Wege mit dem Server verbunden haben, speichert der Client aber normal das Server Zertifikat und du bekommst eine Warnung wenn sich jemand dazwischen hängt, leider gilt das aber nicht für die erste Verbindung.

Wie gesagt ich weis jetzt nich was beim Radius das Stammzertifikat ist, aber wenn es ein normal generiertes RSA Zertifikat ist bietet es auch den Schutz einer Verschlüsselten Verbindung.

Sollte dieses Stammzertifikat nicht dynamisch generiert werden, sondern von Haus aus mitgeliefert werden und daher zwischen den Distributionen gleich sein sollte (ist aber sehr unwahrscheinlich, dass es so ist) ist es wertlos, die Verbindung ist zwar verschlüsselt, aber jeder kann sie entschlüsseln.

klugshicer

Fragesteller

10.02.2017, 18:38

Das Zertifikat auf meinem RadiusServer habe ich selber erstellt - ist also nicht das allseits bekannte snakeoil-Zertifikat

PeterKremsner

11.02.2017, 17:04

@klugshicer

Dann ist es ausreichend, du kannst zur steigerung der Sicherheit auch noch eine CA erstellen und mit dieser das Zertifikat unterschreiben, die CA bzw die Chain importierst du dann in die Browser bzw ins Betriebsystem.

https://jamielinux.com/docs/openssl-certificate-authority/

coonicon1

10.02.2017, 18:46

Solange du EAP-TLS verwendest, ist die Verbindung verschlüsselt.

Du solltest lediglich, das selbst generierte Stammzertifikat im Truststore des Clients installieren und die Validierung erzwingen, damit keine Verbindung zu einem Fake-Accesspoint aufgebaut wird.

https://depthsecurity.com/blog/when-802-1x-peap-eap-ttls-is-worse-than-no-wireless-security

klugshicer

Fragesteller

10.02.2017, 20:24

Die Anleitung der ich gefolgt bin, beschreibt unter Android die Installation eines Zertifikates mit der Endung .crt

Um dieses Zertifikat verwenden zu können muss man es zunächst für die Verwendung mit WLAN freigeben.

Anschließend richtet man die WLAN-Verbindung mit Benutzername und Kennwort unter Verwendung von PEAP, MSCHAPV2 und dem Zertifikat ein.

Was ich jetzt nicht weiß ist ob dabei TLS erzwungen wird.

coonicon1

10.02.2017, 22:55

@klugshicer

Ich habe mich vermutlich missverständlich ausgedrückt, ich meinte das es so eingestellt werden sollte, dass der Client das Server Zertifikat prüft.

Dazu musst du auf Android nur das Stammzertifikat installieren, bei Windows musst du zusätzlich wie in dem Link extra noch einen Haken setzen, da Windows sonst jedes Zertifikat akzeptiert.

Ähnliche Fragen

Minecraft Server Domain?

Hey, bin im Besitz eines Minecraft Servers. Habe versucht eine Domain für meinen Server einzurichten. Domain Hoster ist Freenom und ich habe sie über Cloudflare eingerichtet. Aber egal ob ich es über A oder SRV mache nichts funktioniert. Steht immer wieder in Minecraft das er keinen Server finden kann. Kann mir bitte jemand helfen? Tüfftel jetzt schon 2 Tage daran und es treibt mich in den wahnsinn da ich nichts falsch gemacht habe.

...zur Frage

Radius Server Raspberry PI Projekt?

Hallo,

ich würde gerne in meinem Heimnetz WPA2 Enterprise Authentifizierung nutzen, also das man beliebig viele Nutzer mit Passwörtern erstellen kann, die sich dann im WLAN anmelden können.
Idealerweise inkl. Nutzerverwaltung über ein Webinterface. Ich weiß, dass es hier sowas wie freeradius gibt, allerdings habe ich da nur Tutorials gefunden, in denen die Passwörter der Benutzer im Cleartext angegeben wurden. Ein Microsoft Server ist ein bisschen über meinem Budget.
Deswegen hatte ich gehofft, dass jemand hier vlt. schonmal sowas gemacht hat. Es muss auch nicht zwangsweise auf einem Raspberry PI sein, aber so ca. der Preisrahmen (50€).
Vielleicht kennt hier jemand Tutorials oder hat sowas schonmal gemacht und kann mir vorschlagen, wie ich das machen könnte.

...zur Frage

Warum sollte ich ein VPN benutzen?

Ich hab mal ne Frage zum Bild oben. Hier sieht man ja, dass der VPN Server die Daten wieder entschlüsselt. Theoretisch ist es also möglich, dass ein Hacker auf die Daten doch wieder zugriff hat, selbst wenn sie vorher verschlüsselt wurden, da sie entschlüsselt ins Internet gesendet werden. Wieso sollte man also ein VPN benutzen, wenn es keine Ende zu Ende verschlüsselung ist, außerhalb der Tatsache dass man sein Standort ändern kann Thema: VPNs benutzen beim öffentlichen WLAN

...zur Frage

Mein Freund wird immer beim Joinen meines Minecraft Servers rausgeschmissen

Habe mir einen kleinen Server für mich und meinen Freund mit hamachi eingerichtet. Es hat auch alles geklappt aber wenn mein Freund joinen will, bleibt er für ca. 5 Sekunden im Server und verlässt ihn dann. Bei ihm steht dass eine Verbindung vom Remote Host geschlossen wurde... Helft mir bitte!!!!

...zur Frage

OPNsense Minecraft Portforwarding?

Grüßt euch,

ich habe eine OPNsense bei mir im Einsatz. Die FW sitzt hinter eine Modem.

Nun möchte ich gerne den Port 25565 forwarden.

Hierzu habe ich folgendes eingerichtet unter NAT -> Port Forward:

Regel im Detail:

Unter NAT Outbound:

Kurz geprüft ob der Port offen ist:

Allerdings kann sich niemand auf meinen Server verbinden.

Im Log auch nachgesehen, dort wird es nicht geblockt, sondern an den internen Server gepasst:

Wo ist mein Fehler bzw. was habe ich noch vergessen einzurichten?

...zur Frage

PFsense DNS Einstellungen für Active Directory Server?

Hallo Gutefrage Community,

Ich habe auf meinem Synology NAS Server einen Active Directory Server mit dem dazugehörigen DNS und den DNS records. Wie kann ich bei der PFsense den DNS so konfigurieren, sodass ich anstelle des NAS Server DNS den DNS der PFsense mit der Active Directory verwenden kann? Als Ansatz dazu habe ich bei "DNS Auflösung" die Domain auf die IP Adresse des NAS Servers mit der AD zeigend eingerichtet, jedoch fehlen noch parameter, damit es funktioniert.

Danke für jede Antwort im Voraus.

...zur Frage

Festplatte im Netzwerk einbinden Asus Router?

Hallo an alle erstmal einen schönen ersten Mai.

Ich habe einen Asus Router RT-AC51U und einen Speedport von Telekom. Nun der Telekom Router ist der Hauptrouter welcher an die DSL Leitung angeschlossen ist. Das Modell besitzt nur USB 2.0 meine HDD von Seagate mit 1Tb USB 3.0. Die Stromversorgung von USB 2.0 genügt also nicht aus sodass man sie am Router betreiben kann. Ein zusätzlichen Stromanschluss hat die HDD auch nicht. Der Router in meinem Zimmer (Asus) ist im AP Modus eingerichtet. Nun bietet der Router USB 3.0 an womit die HDD angeschlossen werden kann. Wenn ich das richtig gesehen habe, kann ich in der Oberfläche des Routers einen Medienserver erstellen, was jedoch nicht mein Ziel ist, da dort jeder im Heimnetzwerk auf die Daten Zugreifen kann. Option zwei die für mich ersichtlich war ist das einrichten eines Servers (Samba). Habe ich gemacht. Mit den aktivierten Windows Protokollen kann ich per Web Oberfläche des Routers den Zugriff beschränken und verschiedene Accounts erstellen. Nun möchte ich mit meinem IPhoneX, IPad 2018 beides mit Ios13 bzw. IPadOS 13 auf die HDD zugreifen. In der Dateien App gibts dort eine Option >“mit Server verbinden“. Nun wird man darum gebeten die Server Adresse einzugeben. Diese finde ich nirgends. Die Ping Anfrage in cmd hat mir die Adresse geliefert jedoch klappt das verbinden nicht. Es tritt immer ein Fehler auf das mein Handy/IPad sich nicht verbinden können.

Liegt es eventuell daran das das iPhone/iPad kein Samba unterstützt? Was muss ich machen damit ich auf die HDD mit dem IPad zugreifen kann, sprich diese als Server agiert.

Alles sehr ausführlich beschrieben ich hoffe das hilft euch erstmal. Danke im Voraus :)

...zur Frage

Minecraft Server funktioniert nicht?

Hallo Allerseits!

Ich bin 13 Jahre alt und habe mir vor kurzem einen Minecraft Server eingerichtet, um mit meinen Freunden zu spielen, Ich kann in meinem Netzwerk problemlos darauf zugreifen, aber meine Freunde nicht. Ich habe alles versucht: Den Port(25565) freigegeben, in der Firewall den Zugriff des Servers erlaubt, Die Einstellungen des Severs passend geändert, aber sie können immer noch nicht zugreifen.

P.S: ich habe natürlich die WAN-iP weitergegeben

Vielen Dank schon mal im Voraus!

...zur Frage

Minecraft Sever einrichten, crossplay?

Guten Abend,

ich versuche jetzt schon seit Tagen einen Minecraft Server für mich und meine Freunde einzurichten, das Problem ist, das wir alle verschiedene Versionen haben, eigne Spielen Java, die anderen Beadrock von der Konsole und der Rest per Handy.

Ich habe auf den Server das Plug-In Geyser-Spigot und floodgate-spigot insterliert, und die Ports in die Dateien Eingetragen, trotzdem können die Leute von der Konsole und Handy den Server nicht erreichen.

Einer hat es zwar mit einer Konsole geschaft, landet da aber in ein unendlichen fall, und nicht wirklich auf dem Server.

Hat jemand von euch schon mal ein crossplay Minecraft Sever Eingerichtet, oder kann mir sagen woran es liegt?

Grüße

Moritz

...zur Frage

phpMyAdmin: Fehler bei der Konfiguration?

Moin zusammen,

nachdem ich XAMPP auf meinem Rechner neu eingerichtet habe, bekomme ich jetzt Fehlermeldungen bei phpMyAdmin:

Fehler: mysqli::query(): (HY000/1018): Verzeichnis von '.' nicht lesbar (Fehler: 13 &quot;Permission denied&quot;)

Logisch, der Fehler ist "offensichtlich", er kann ein Verzeichnis nicht lesen. Lese+Schreib-Rechte geben hab ich schon versucht.

Wenn ich auf den Link "Finden Sie heraus warum" gehe, gibt er mir die Möglichkeit, eine Datenbank anzulegen und die Konfigurationsspeicher-Tabellen einzurichten.

Wenn ich auf "anlegen" klicke, kommt eine weitere Fehlermeldung:

Die config.inc.php spuckt das hier aus:

$cfg['blowfish_secret'] = 'xampp'; /* YOU SHOULD CHANGE THIS FOR A MORE SECURE COOKIE AUTH! */

/**
 * Servers configuration
 */
$i = 0;

/**
 * First server
 */
$i++;
/* Authentication type */
$cfg['Servers'][$i]['auth_type'] = 'config';
$cfg['Servers'][$i]['user'] = 'root';
$cfg['Servers'][$i]['password'] = '';
/* Server parameters */
$cfg['Servers'][$i]['host'] = '127.0.0.1';
$cfg['Servers'][$i]['compress'] = false;
$cfg['Servers'][$i]['AllowNoPassword'] = true;

/**
 * phpMyAdmin configuration storage settings.
 */

/* User used to manipulate with storage */
// $cfg['Servers'][$i]['controlhost'] = '';
// $cfg['Servers'][$i]['controlport'] = '';
$cfg['Servers'][$i]['controluser'] = 'pma';
$cfg['Servers'][$i]['controlpass'] = '';

/* Storage database and tables */
$cfg['Servers'][$i]['pmadb'] = 'phpmyadmin';
$cfg['Servers'][$i]['bookmarktable'] = 'pma__bookmark';
$cfg['Servers'][$i]['relation'] = 'pma__relation';
$cfg['Servers'][$i]['table_info'] = 'pma__table_info';
$cfg['Servers'][$i]['table_coords'] = 'pma__table_coords';
$cfg['Servers'][$i]['pdf_pages'] = 'pma__pdf_pages';
$cfg['Servers'][$i]['column_info'] = 'pma__column_info';
$cfg['Servers'][$i]['history'] = 'pma__history';
$cfg['Servers'][$i]['table_uiprefs'] = 'pma__table_uiprefs';
$cfg['Servers'][$i]['tracking'] = 'pma__tracking';
$cfg['Servers'][$i]['userconfig'] = 'pma__userconfig';
$cfg['Servers'][$i]['recent'] = 'pma__recent';
$cfg['Servers'][$i]['users'] = 'pma__users';
$cfg['Servers'][$i]['usergroups'] = 'pma__usergroups';
$cfg['Servers'][$i]['navigationhiding'] = 'pma__navigationhiding';
$cfg['Servers'][$i]['savedsearches'] = 'pma__savedsearches';
$cfg['Servers'][$i]['central_columns'] = 'pma__central_columns';
$cfg['Servers'][$i]['designer_coords'] = 'pma__designer_coords';
$cfg['Servers'][$i]['designer_settings'] = 'pma__designer_settings';
$cfg['Servers'][$i]['export_templates'] = 'pma__export_templates';
$cfg['Servers'][$i]['favorite'] = 'pma__favorite';

/**
 * End of servers configuration
 */

Heute Mittag hat alles noch wunderbar funktioniert. Ich hatte dann versucht, mit compose phpmailer zu installieren. Da bekam ich dann Probleme mit den Rechten bei den Ordnern (innerhalb von lampp) und hab da womöglich irgendwas kaputt gemacht und jetzt alles neu installiert mit dem Ergebnis, dass MySQL Probleme macht.

Weiß jemand Rat? ^^

...zur Frage

Domain auf Webserver leiten?

Hey,

Ich habe mir einen eigenen Webserver eingerichtet und unabhängib eine registrierte Domain. Bisher habe ich Domain immer auf die public Ip des Servers geleitet. So funktioniert das auch, bis der Server eine neue IP generiert.

Wie komme ich um dieses Problem rum?

...zur Frage

Wie kann eine Verbindung zum Zielserver mit einem VPN aufgebaut werden?

Ich habe ein Verständnissproblem. Lt. diversen Informationen wird bei der Nutzung eines VPNs auch die IP Addresse des Empfänger Servers verschlüsselt. Woher wissen die diversen Server auf dem Weg zum Empfängerserver die IP Addresse des Empfängerservers? Eine Googlesuche und ChatGPT waren nicht wirklich hilfreich. Danke

...zur Frage

Wie kann man mehr Mitglieder auf seinem Discord Server bekommen?

Mein Server ist für den Anfang sehr gut eingerichtet und ich habe schon einige Rollen erstellt. Im Moment habe ich erst ein paar Freunde auf meinem Server (etwa 20 Mitglieder) und ich würde gerne mehr kriegen. Das Topic des Servers beruht auf Memes und Gaming.

...zur Frage

Minecraft Server von Linux Homeserver freigeben?

Ich habe mir letztens einen Homeserver mit Debian 11 eingerichtet und einen Minecraft Server darauf installiert. Der Minecraft Server und alles andere läuft soweit, doch trotz Portfreigabe in der Fritz Box Oberfläche und auch in der Firewall des Servers (ufw) ist er nur aus meinem Netz erreichbar und von nirgendwo sonst (das gleiche gilt für SSH).

Ich habe auch schon eingenständige Portfreigabe und exposed Host ausprobiert, doch beides hat nichts gebracht.

Außerdem erscheint in Minecraft, sobald ich den Server mit einer Domain verbinde, die Meldung "Cannot resolve Hostname". Vielleicht hilft das bei der Lösungssuche.

Danke im Vorraus.

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen