-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Willi,
vielen Dank für die Klarstellung. Mit etwas Nachdenken: Womit sollte ein WPA-RADIUS-Client die Anmeldedaten verschlüsseln, wenn nicht mit dem Serverzertifikat? Kann man freeradius irgendwie zwingen, nur verschlüsselte Anfragen zu akzeptieren? Zur Nutzerhaftung: Da sähe ich nur ein ernsthaftes Problem, wenn die Schule wenig bis gar nichts für die Sicherheit tun würde. Wir tun jedoch bereits mehr als "Standard" ist (siehe z. B. IServ, https://iserv.eu/doc/wlan/), indem wir die verschlüsselte Anmeldung am WLAN in BLAU anbieten und der WPA2-PSK auf Schulrechnern in GRUEN den BenutzerInnen nicht zugänglich ist. Außerdem ist der Proxy (Schulrouter Plus von Time for Kids) bei uns für GRUEN nicht transparent (wie der Einfachheit halber vorgegeben), Port 80 und 443 sind nach ROT gesperrt, und es ist eine LDAP-Authentifizierung nötig. Fehlt nur noch, dass wir Port Security auf den Switches hätten ... Gruß Jürgen Am 22.07.2015 um 16:50 schrieb Platzer, Willi [Lehrer]: > Hallo Juergen, > danke für die Nachricht vom 22.07.2015, 15:48: >> meine Frage zu WPA_RADIUS (ohne chilli!), egal ob aus GRUEN oder BLAU. >> http://www.linuxmuster.net/wiki/anwenderwiki:benutzerrechner:wlan:radius-accesspoint > >> Geht bei diesem Verfahren irgendetwas unverschlüsselt durch den Äther? > Ja nach meiner Kenntnis gehen die Authentifizierungsdaten beim WPA2 Enterprise ohne Verschlüsselung durch die Verbindung, > und der Client gibt jedem die Anmeldedaten der Sie anfordert (auch einem fremden Access-Point von außerhalb:-(). > Damit der Client dem Access-Point-Radius-System vertrauen kann und damit die Anmeldedaten nicht in Klartext übertragen werden (WLAN-Client <-> AP <-> Radiusserver) > muss zwischen WLAN-Client und Radiusserver ein Schlüssel/Zertifikat vereinbart sein. Damit wird die Vertrauenswürdig hergestellt und der Anmeldedatenverkehr verschlüsselt. > > (Jetzt kommt die Paranoia :-) Wenn die Schule und damit das WLAN entfernt von der Umgebungsbebauung liegt und keine IT-begeisterte Menschen durch die Räume der Schule gehen, > dann ist das in der Regel kein Problem. > Bei uns sind gegenüber mehrere IT-Firmen und auch Institute der Universität darum bin ich da vorsichtiger :-)) > > IMHO ist der vorherige Import der digitalen Zertifikaten sehr zu empfehlen. > > Nach dem Authentifizierungsvorgang kommt das Aushandeln des Sessionkeys für die individuelle WLAN-Verbindung. Danach ist die WPA2 Verschlüsselung sehr sicher. > >> Hat das Serverzertifikat eine weitere Funktion, außer sicher zu stellen, dass man sich auch mit dem RADIUS-Server verbindet, dem man seine Credentials anvertrauen möchte, oder bleiben etwa genau diese unverschlüsselt? > dto. > >> Die Anmeldung funktioniert bei uns nämlich auch ohne dass man sich wie vorgesehen das Zertifikat installiert hat - was es für die BenutzerInnen natürlich einfacher macht. > Ja, aber mit Anmeldedaten im Klartext und mit promisken Clients. > >> IServ realisiert WLAN aus BLAU auch so und komplett ohne Zertifikat. > ??? >> Sie verwenden aus GRUEN für Schulrechner sogar WPA(2)-PSK - wohl wissend, dass man in Windows 7 (und Mac OS X) nicht verhindern kann, dass jeder Benutzer diesen in Klarschrift auslesen kann. > Das WPA2-PSK ist nur bedingt (private kleine Netze) zur Netzzugangs-Authentifizierung geeignet. Bei Grün sollte der Zugang IMHO besser abgesichert sein. (Aber für eine Grundschule im Grünen ist es sicher ausreichend :-) ) >> In XP und Ubuntu geht letzeres sinnvollerweise nicht, weshalb ich WLAN aus GRUEN mit temporären APs auch ohne Bedenken so eingerichtet habe ("Notebookwagen"). >> Mit Windows 7 käme dies für mich nicht in Frage. >> Es gilt eben immer einen dem Sicherheitsbedürfnis angemessenen Kompromiss zwischen Sicherheit und Benutzbarkeit zu finden ... > > Mir ist nicht klar welche Risiken (Nutzerhaftung) deine Schule bereit ist zu tragen? > > IMHO ist die WLAN-Authentifizierung mit WPA2 und die folgende Authentifizierung an einen Portal/Firewall über https zur anschließenden Nutzung der Internetangebote der Schule > die z.Z beste Methode und einfachste Methode für Schulen. > >> Offenes WLAN wäre m. E. nur vertretbar, > Was verstehst du unter offenes WLAN ? (freifunk.net?) >> wenn die Anmeldung am Captive Portal via https erfolgte. > Das ist auch möglich. > > > >> Dann bekämen die Benutzer jedoch je nach Browser u. U. eine merkwürdige Meldung bezüglich eines unsignierten Zertifikats und in Android würde man die Meldung Dritte könnten einen belauschen nicht los. > Auch da kann man das Zertifikat als Vertrauenswürdig einstufen. > > IMHO müssen die Schülerinnen und Schüler auch die Gefahren im Umgang mit WLAN bewältigen können. > > > > _______________________________________________ > linuxmuster-user mailing list > [email protected] > https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.22 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/ iEYEARECAAYFAlWwFjAACgkQky9L9U/hmWEAcACePxBmfpK0BElwYrECF70b3awL ymoAnjcTUk9RgNx6+UrZhWZH+HpP/Ck2 =7nDY -----END PGP SIGNATURE-----
_______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
