Hallo Michael, die eigentliche Projektseite ist hier: http://coova.org/CoovaChilli Das ganze ist ja kein "linuxmuster"-Projekt, sondern nur ein fertig angepasstes Paket.
Sicherheitstechnisch sehe ich die üblichen Bedenken, die man bei CaptivePortalen hat - man benötigt eine Nutzerkennung und kann surfen. Da man (bei uns) nur im blauen Netz surft, kann ich ganz gut damit leben. Technisch bedingte Sicherheitslücken sind mir keine bekannt, da die komplette Kommunikation jenseits des Portals ja für den Benutzer nicht einsehbar ist (und ja auch nicht über das WLAN läuft). Man kann und sollte auf den APs WPA einstellen, damit der Verkehr zwischen Gerät und AP zusätzlich verschlüsselt wird (und weil offene Netze so einladend wirken), aber wenn ich mir die Referenzen von CoovaChilli anschaue, bezweifele ich, dass es gravierende Sicherheitslücken im CoovaChilli selber gibt. Viele Grüße, Thomas Am 06.10.2014 um 08:56 schrieb Oeser Michael: > > Also muss im Access Point kein WPA2 Enterprise verwendet werden? > > Der würde dann ja auf den FreeRadius verweisen. > > > > Ich bin von der Sicherheit des ganzen noch nicht so überzeugt :/ > > Das ganze soll einfach komplett sicher sein bevor wir sowas in den > ganzen Schulen hier ausrollen. > > > > Michael Oeser > > > > *Von:*linuxmuster-user > [mailto:[email protected]] *Im Auftrag > von *Jesko Anschütz > *Gesendet:* Montag, 6. Oktober 2014 08:23 > *An:* Discussions about using linuxmuster.net > *Betreff:* Re: [lmn] Fragen Freeradius Coovachilli > > > > Hallo Michael, > > > > Am 06.10.2014 um 08:03 schrieb Oeser Michael > <[email protected] <mailto:[email protected]>>: > > Hallo Leute, > > > > ich hab mir mal das Coovachilli Projekt angeschaut und finde das > eigentlich ganz spitze aber hab da noch 1 – 2 bedenken weil > darüber NICHTS beschrieben ist (oder ich finde es einfach nicht). > > > > Meine Fragen: > > > > Wie läuft hier die Authentifizierung ab? > > > > man öffnet ein Browserfenster, egal welche Seite man ansurft, fängt > einen das Login-Portal ab und dort muss man seinen Login und Passwort > eingeben. Sobald das richtig gemacht wurde, lässt einen der Chilli ins > Netz. > > > > Ist der Äußere Tunnel TLS verschüsselt? > > > > hmmm... ? Die Laptops verbinden sich per WLAN, da ist WPA zu > empfehlen, so dass die SChicht schonmal verschlüsselt ist. > > Innen drin ist es wie im LAN auch, https ist verschlüsselt das andere > nicht. > > > > Wird für den Inner-Tunnel PAP mit PAM; LDAP oder mtlm_auth verwendet > oder EAP-MSCHAPv2? > > > > der Chilli "holt" sich die Erlaubnis, einen Benutzer ins Netz zu > lassen vom Musterlösungs-LDAP. > > > > > > Und wie genau läuft dann die Authentifizierung der Clients? Für > korrekte Verschlüsselung muss ja im Client die Sicherheitseinstellung > normalerweise angepasst werden aber davon wird auf der Webseite kein > Wort verloren. > > > > nein. Weil das ja über den Webbrowser läuft. > > Die Firewall des Chillis ist dicht, sobald man sich auf der > Portalseite eingelogged hat, ist sie für den Rechner offen. > > > > Oder läuft das alles anders ab als ich es von einem FreeRadius Server > kenne? > > > > da ich mich damit nicht auskenne, kann ich das nicht sagen ;) > > > -- > > Grüße, Jesko > > ... von unterwegs gesendet. > > > > > ------------------------------------------------------------------------ > > Bitte nutzen Sie die E-Mail-Verbindung mit uns ausschließlich zum > Informationsaustausch. Der Inhalt dieser Nachricht ist vertraulich und > nur für den angegebenen Empfänger bestimmt. Jede Form der Kenntnisnahme > oder Weitergabe durch Dritte ist unzulässig. > Sollte diese Nachricht nicht für Sie bestimmt sein, so bitten wir Sie, > sich mit uns per E-Mail oder telefonisch in Verbindung zu setzen. > > Dieser Kommunikationsweg steht ausschließlich für > Verwaltungsangelegenheiten zur Verfügung. > Es wird darauf hingewiesen, dass mit diesem Kommunikationsmittel > Verfahrensanträge nicht wirksam > eingereicht werden können. Sollte Ihre Nachricht einen entsprechenden > Schriftsatz enthalten, ist > eine Wiederholung der Übermittlung mittels Telefax oder auf dem > Postweg erforderlich. > Durch eine Übermittlung auf diesem Kommunikationsweg können keine > Fristen gewahrt werden. > > > _______________________________________________ > linuxmuster-user mailing list > [email protected] > https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
_______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
