Sichere Anmeldung

Individuelle Authentifizierung mit Freeradius unter Linux

Praxis & Tipps | Praxis

Seite 2: Sichere Anmeldung

Von simplen Authentifizierungsmethoden, bei denen Nutzername und Passwort im Klartext übertragen wurden, hat sich Freeradius schnell weiterentwickelt. Mit dem Extensible Authentication Protocol (EAP) unterstützt es verschiedene kryptografisch gesicherte Methoden (EAP-TLS/-TTLS, PEAP, LEAP), One-Time-Passworte und SIMs. Für die Authentifizierung sind Username/Passwort-Kombinationen oder Zertifikate gebräuchlich.

Die Anmeldedaten liegen auf dem Radius-Server in einer simplen Textdatei oder auf nachgeschalteten Datenbanken (LDAP, SQL). Für eher kleine WLANs mit einigen Dutzend Nutzern wie in unserem Beispiel begnügen wir uns mit Name/Passwort-Einträgen in der Textdatei.

Damit diese Daten nicht im Klartext durch die Luft beziehungsweise über die Leitung zwischen Basisstation und Radius-Server laufen, verschlüsselt Freeradius sie. Voraussetzung dafür ist, dass auf dem Client mindestens ein Stammzertifikat (Root CA Certificate) installiert ist, von dem das Zertifikat des Radius-Servers abgeleitet ist. Mit dem Stammzertifikat prüft der Client auch, dass er sich beim richtigen Radius-Server authentifiziert.

Bei Radius reicht der Authenticator – ein WLAN-Access-Point oder ein 802.1x-fähiger Switch – Anmeldeanfragen an den Authentication Server weiter. Der entscheidet, ob der Antragsteller (Supplicant) Zugang bekommt.

Als Unterhändler (Authenticator) zwischen dem Client (auch Supplicant genannt) und dem Radius-Server agieren ein oder mehrere WLAN-Basisstationen. Diese müssen die Authentifizierungsmethode WPA2 Enterprise, manchmal auch als WPA2-1x oder WPA2/802.1x bezeichnet, unterstützen. Hilfsweise tut es auch WPA. Wir nahmen zum Erproben unseres selbstaufgesetzten Radius-Servers einen Access Point L310agn von Lancom, doch auch viele andere APs und WLAN-Router unterstützen 802.1x.

In den Basisstationen müssen Sie das zu schützende Funknetz auf WPA2 Enterprise umstellen, dabei die IP-Adresse des Radius-Servers angeben und ein gemeinsames Passwort (Shared Secret) eintragen, mit dem der Server und der Access Point ihre Kommunikation sichern.

Anzeige
Anzeige