Hallo Juergen, danke für die Nachricht vom 22.07.2015, 15:48: > meine Frage zu WPA_RADIUS (ohne chilli!), egal ob aus GRUEN oder BLAU. > http://www.linuxmuster.net/wiki/anwenderwiki:benutzerrechner:wlan:radius-accesspoint
> Geht bei diesem Verfahren irgendetwas unverschlüsselt durch den Äther?
Ja nach meiner Kenntnis gehen die Authentifizierungsdaten beim WPA2 Enterprise
ohne Verschlüsselung durch die Verbindung,
und der Client gibt jedem die Anmeldedaten der Sie anfordert (auch einem
fremden Access-Point von außerhalb:-().
Damit der Client dem Access-Point-Radius-System vertrauen kann und damit die
Anmeldedaten nicht in Klartext übertragen werden (WLAN-Client <-> AP <->
Radiusserver)
muss zwischen WLAN-Client und Radiusserver ein Schlüssel/Zertifikat
vereinbart sein. Damit wird die Vertrauenswürdig hergestellt und der
Anmeldedatenverkehr verschlüsselt.
(Jetzt kommt die Paranoia :-) Wenn die Schule und damit das WLAN entfernt von
der Umgebungsbebauung liegt und keine IT-begeisterte Menschen durch die Räume
der Schule gehen,
dann ist das in der Regel kein Problem.
Bei uns sind gegenüber mehrere IT-Firmen und auch Institute der Universität
darum bin ich da vorsichtiger :-))
IMHO ist der vorherige Import der digitalen Zertifikaten sehr zu empfehlen.
Nach dem Authentifizierungsvorgang kommt das Aushandeln des Sessionkeys für die
individuelle WLAN-Verbindung. Danach ist die WPA2 Verschlüsselung sehr sicher.
> Hat das Serverzertifikat eine weitere Funktion, außer sicher zu stellen, dass
> man sich auch mit dem RADIUS-Server verbindet, dem man seine Credentials
> anvertrauen möchte, oder bleiben etwa genau diese unverschlüsselt?
dto.
> Die Anmeldung funktioniert bei uns nämlich auch ohne dass man sich wie
> vorgesehen das Zertifikat installiert hat - was es für die BenutzerInnen
> natürlich einfacher macht.
Ja, aber mit Anmeldedaten im Klartext und mit promisken Clients.
> IServ realisiert WLAN aus BLAU auch so und komplett ohne Zertifikat.
???
> Sie verwenden aus GRUEN für Schulrechner sogar WPA(2)-PSK - wohl wissend,
> dass man in Windows 7 (und Mac OS X) nicht verhindern kann, dass jeder
> Benutzer diesen in Klarschrift auslesen kann.
Das WPA2-PSK ist nur bedingt (private kleine Netze) zur
Netzzugangs-Authentifizierung geeignet. Bei Grün sollte der Zugang IMHO besser
abgesichert sein. (Aber für eine Grundschule im Grünen ist es sicher
ausreichend :-) )
> In XP und Ubuntu geht letzeres sinnvollerweise nicht, weshalb ich WLAN aus
> GRUEN mit temporären APs auch ohne Bedenken so eingerichtet habe
> ("Notebookwagen").
> Mit Windows 7 käme dies für mich nicht in Frage.
> Es gilt eben immer einen dem Sicherheitsbedürfnis angemessenen Kompromiss
> zwischen Sicherheit und Benutzbarkeit zu finden ...
Mir ist nicht klar welche Risiken (Nutzerhaftung) deine Schule bereit ist zu
tragen?
IMHO ist die WLAN-Authentifizierung mit WPA2 und die folgende
Authentifizierung an einen Portal/Firewall über https zur anschließenden
Nutzung der Internetangebote der Schule
die z.Z beste Methode und einfachste Methode für Schulen.
> Offenes WLAN wäre m. E. nur vertretbar,
Was verstehst du unter offenes WLAN ? (freifunk.net?)
> wenn die Anmeldung am Captive Portal via https erfolgte.
Das ist auch möglich.
> Dann bekämen die Benutzer jedoch je nach Browser u. U. eine merkwürdige
> Meldung bezüglich eines unsignierten Zertifikats und in Android würde man die
> Meldung Dritte könnten einen belauschen nicht los.
Auch da kann man das Zertifikat als Vertrauenswürdig einstufen.
IMHO müssen die Schülerinnen und Schüler auch die Gefahren im Umgang mit WLAN
bewältigen können.
--
Mit freundlichen Grüßen
Willi Platzer
(Fachleiter für die Arbeitsschwerpunkte Informatik, ev. Religion und
Mediendidaktik )
Ich bin. Aber ich habe mich nicht. Darum werden wir erst.
E. Bloch
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.lehrerbüro.
. mailto:[email protected]
. telefon:.(+49)6151/136283
. mobile:.(+49)1758434707
. skype:platzer.willi?call
.studienseminar.für.berufliche.schulen.in.darmstadt
. http://sts-bs-darmstadt.bildung.hessen.de/
. telefon:.(+49)6151/3682510
. fax:.(+49)6151/3682519
.heinrich-emanuel-merck-schule
. http://www.hems.de
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
.Diese E-Mail wurde digital signiert.
.Falls Ihr E-Mail-Programm nicht ueber die notwendigen Prueffunktionen verfuegt,
.ignorieren Sie bitte die angehaengte Signatur-Datei.
0x0DCC4EE3.asc
Description: application/pgp-keys
signature.asc
Description: OpenPGP digital signature
_______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
