Hallo Tobias, WPA2-Enterprise ist ist bei uns - allerdings ohne coovachilli - für Apple-Clients kein Problem. Die ziehen sich das bereitgestellte Zertifikat automatisch. Der Benutzer muss es nur akzeptieren, weil es unsigniert ist.
Das müsste man Windoofs und Linux doch auch beibringen können!? Gruß Jürgen Am 07.12.2016 um 21:23 schrieb T. Küchel: > Hallo Liste, > > Am 29.06.2016 um 11:06 schrieb Tobias Kuechel: >> wenn man sich per unverschlüsseltem Wifi beim Coova-Chilli anmeldet, >> dann braucht ein Angreifer nur den Aether mitschneiden und kann >> Benutzername und PAsswort auslesen, denn die Coova-Seite ist eine >> nicht-SSL Seite. >> Richtig? >> >> Wenn ich WPA im WLAN einschalte und das Passwort allen zugänglich mache, >> ist dann eine Entschlüsselung des mitgeschnittenen Wifi-Verkehrs >> möglich, oder geht das nicht (z.B. wg. Session-keys, etc)? >> >> Welche Lösung empfehlt ihr hier? > * https-login seite ist im Nutzen/Aufwand schlecht und bringt nicht > unbedingt mehr sicherheit, außerdem hat sich noch niemand gemeldet, der > das im Einsatz hätte. > > * WPA2-Verschlüsselung dagegen ist unbedingt geboten > > * WPA2 Enterprise wäre noch besser in Sachen Sicherheit > > * Mit Fake-APs könnten Schüler dennoch einiges an Daten abgreifen. > > Vielen Dank für (damals) die umfangreiche Diskussion. > > Tobias > > > Ich fasse mal zusammen, was ihr als Antworten schriebt: > * AP klartext -> CoovaChilli + http-login-seite -> besser nicht, weil > Passwort im Klartext über den Äther > * AP klartext -> CoovaChilli + https -> habe 1 GLK keine schnelle > Möglichkeit gefunden, weil die default seite von "chilli" und nicht von > Apache ausgeliefert wird, außerdem Zertifikatsfehlerproblem, für > letsencrypt müsste man dem coovachilli einen sinnvollen alias geben + > DNS pfriemeln > * AP WPA2 Personal + session key update > 0 -> CoovaChilli + http : > sicherheit ausreichend im Schulumfeld, eventuell verbindungsabbrüche bei > session key update, theoretische Fake-APs können > * AP WPA2 Enterprise + radiusserver : noch besser, aber nicht-DAU > freundlicher ZErtifikatsaustausch etc. > _______________________________________________ linuxmuster-user mailing list [email protected] https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
