Schönen guten Morgen,
hat jemand von euch eine gute Anleitung für eine freeradius Installation (PEAP MSCHAPv2 + MAC Authentication)?
Mein Client muss also die richtige MAC Adresse + Benutzer + Passwort besitzen. Das ganze wird über eine Serverzertifikat (TLS) verschlüsselt.
Ich denke mit dem PEAP MSCHAPv2 (Server TLS) Teil komme ich klar.
Jedoch würde ich gerne zusätzlich die MAC Authentication als require einbauen.
[gelöst] freeradius PEAP MSCHAPv2 (Server TLS) + MAC Authentication
[gelöst] freeradius PEAP MSCHAPv2 (Server TLS) + MAC Authentication
Zuletzt geändert von joe2017 am 06.03.2021 05:57:00, insgesamt 1-mal geändert.
Re: freeradius PEAP MSCHAPv2 (Server TLS) + MAC Authentication
Das ist eine blöde Idee. Die MAC von WLAN-Karten wird von einigen Betriebssystemen zur Wahrung der Anonymität verändert. Umgekeht braucht ein Angreifer nur der (verschlüsselten) WLAN-Kommunikation zu lauschen, ohne angemeldet zu sein, um die zugelassenen MACs auszuspähen. Mit der ausgespähten MAC kann er seine WLAN-Karte konfigurieren und kann dann den eigentlichen Angriff starten.joe2017 hat geschrieben:27.12.2020 11:55:33Jedoch würde ich gerne zusätzlich die MAC Authentication als require einbauen.
Aus dem gleichen Grunde ist auch der MAC-Filter, den die ganzen Plastikrouter in ihrem Setup haben, Unsinn. Eine MAC-Adresse ist weder ein Identifikationsmerkmal noch ist ein Filter eine wirkungsvolle Methode, um Angreifer draußen zu halten.
Re: freeradius PEAP MSCHAPv2 (Server TLS) + MAC Authentication
Da hast du schon recht. Ich dachte mir nur das ich das als zusätzliche Stufe einbaue. Aber wenn der Aufwand größer als der Nutzen ist, kann ich mir das auch schenken.
Re: freeradius PEAP MSCHAPv2 (Server TLS) + MAC Authentication
Mit iptables/nftables könntest du auf MACs filtern, das macht die Fritzbox letztlich auch so. Du könntest die Liste der erlaubten MACs in ein Script speichern und die iptables/nftwables-Aufrufe abarbeiten lassen. Jede Änderung bedeutet aber eine Änderung des Skripts und das Ausführen sollte man dann auch nicht vergessen. Der Nutzen ist aber praktisch Null. Und wenn man mal vergißt, daß man einen MAC-Filter am Laufen hat, hat man mit jeden neuen Gerät, das man mit dem WLAN verbinden will, zusätzlichen Fehlersuchaufwand.joe2017 hat geschrieben:27.12.2020 12:52:13Ich dachte mir nur das ich das als zusätzliche Stufe einbaue. Aber wenn der Aufwand größer als der Nutzen ist, kann ich mir das auch schenken.
Re: freeradius PEAP MSCHAPv2 (Server TLS) + MAC Authentication
Du meins das ich die nftable regeln im radius Server anlege.
Ja das wäre auch eine Idee. Ich werde mir das noch mal durchdenken. Danke für deine Antwort.
Ja das wäre auch eine Idee. Ich werde mir das noch mal durchdenken. Danke für deine Antwort.
Re: freeradius PEAP MSCHAPv2 (Server TLS) + MAC Authentication
Jein. Die Regeln müssen auf dem WLAN-Accesspoint laufen. Wenn Radius-Server und AP das selbe Gerät sind, fällt das natürlich zusammen.joe2017 hat geschrieben:27.12.2020 13:25:05Du meins das ich die nftable regeln im radius Server anlege.
Re: freeradius PEAP MSCHAPv2 (Server TLS) + MAC Authentication
Danke für die Info.