WLAN védelme WPA és Radius használatával

Hálózatok egyéb

Sziasztok HUPtársak,

Egy kis eszmecserére invitállak most titeket:) Azon agyalok már egy ideje, hogy miként védhetnék le egy wifi hálót oly módon, hogy a kliensek saját felhasználónév-jelszó párosukkalal tudjanak csatlakozni.

Sok helyen foglalkoznak ezzel a témával, többek között a Linuxvilág (béke poraira) is kiadott egy 3 cikkes sorozatot a fórumtémával megegyező címmel. Viszont vannak olyan elvárások a rendszerrel kapcsolatban, hogy a kliensekhez a lehető legkisebb mértékben kelljen hozzányúlni. Ezért szeretném kihullatni az EAP-TLS-t és az olyan hitelesítési protokollokat melyek CA-t illetve kulcs-osztogatást, karbantartást igényelnek.

Másik korlátozó tényező a kliensek tábora, ami sajnos windóóózikszpét használ. Tehát egy olyan protokollt kéne találni amit különösebb berhelés nélkül tágomat a win.

A rendszer lelkét adó FreeRadius-os Debian már toporzékolva várja a nemes feladatot:) AccessPointnak pedig egy Cisco Aironet 1200-as van.

Ha nem értettem félre az egész mindenséget akkor valahogy úgy festene a dolog, hogy a kliensek és az AP-között egy TKIP-vel titkosított forgalom lenne -ugye a WPA miatt- és ebben az "alagútban" folyna a kezdeti hitelesítés ami viszont már nem annyira világos, hogy hogyan is zajlik. Mert ugye megadtam az AP-nak, hogy akkor te most hitelesítéssel kapcsolatban keressed meg a Radius szervert. Ekkor Radius "alagútban" megbeszéli az AP és a Rarius, hogy az adott felhasználónév jelszó páros mehet e vagy sem. No de az AP és a Radius szerver közötti Radius protokollos "alagútban" az adott hitelesítési protokoll szerint megy a trécselés tehát pl az EAP-TLS-es dumálás vagy ott már csak és kizárólag Radius-os kommunikáció zajlik?

S milyen hitelesítést javasoltok?

Várom felhomályosításotokat:) Üdv.: MrBee

ui.: ahogy nézem a PEAPv0/EAP-MSCHAPv2 lesz a megoldás...

  • 3576 megtekintés

( Steelman | 2007. 07. 31., k – 21:58 )

Hali!

Pont ugyanezen dolgozom én is. És jól gondoltad, valóban az MSCHAP lehet a megoldás. Nálam is kb ugyanaz a helyzet, AP-t leszámítva, ami egy 3Com OfficeConnect, és a Radius szerver egy Slackware.
Szerintem olvastad már ezt, de ha még nem, tedd meg, és másoknak is hasznos lehet. Nem mostani doksi, de jól összefoglalja a lényeget.
Nekem az a gondom, hogy nem pusztán csak a mi gépeinket kellene megvédeni, hanem ha valaki bejön laptoppal, és arról akar netezni, akkor is megfelelő védelmet kell számára biztosítani. És hogy illetéktelen ne tudjon bejutni a rendszerbe vagy visszaélni bármilyen formában vele. Itt nem lesz elég csak az MSCHAP, valami másféle megvalósítás is kell mellé, de tudom hogy máshol ezt már megcsinálták és működik. Valami ilyet szeretnék összehozni én is, de egyelőre freeradius se akarja azt csinálni amit én mondok neki. Bármiféle témával kapcsolatos észrevétel, tapasztalat, konkrét megvalósítási javaslat engem is érdekel.