WLAN Konfiguration - WPA2 Enterprise (AES PEAP MSCHAPV2)

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

WLAN Konfiguration - WPA2 Enterprise (AES PEAP MSCHAPV2)

Beitrag von joe2017 » 05.09.2018 11:03:21

Guten morgen zusammen,

ich dachte eigentlich, dass eine WLAN Verbindung einzurichten etwas einfacher wäre. :-)
Ich verwende die aktuelle Debian Version 9.5.0 ohne den NetworkManager.

Ich habe bereits eine einfache WPA2 Verbindung mit einer SSID und PSK eingerichtet. Das war relativ einfach
sudo nano /etc/network/interfaces

Code: Alles auswählen

auto wlp2s0
allow-hotplug wlp2s0
iface wlp2s0 inet static
       address 192.168.1.1/16
       gateway 192.168.1.250
       # dns-* options are implemented by the resolvconf package, if installed
       dns-nameservers 192.168.1.250
       wpa-ssid "SSID"
       wpa-psk "KEY"
sudo nano /etc/resolv.conf

Code: Alles auswählen

nameservers 192.168.1.250
Jedoch komm ich mit der WPA2 Enterprise (AES PEAP MSCHAPV2) nicht ganz klar. Die Verbindung wird ohne Zertifikat jedoch mit Benutzer und Password hergestellt. Ich habe jetzt folgendes angepasst.
sudo nano /etc/network/interfaces

Code: Alles auswählen

auto wlp2s0
allow-hotplug wlp2s0
iface wlp2s0 inet static
       address 192.168.1.1/16
       gateway 192.168.1.250
       # dns-* options are implemented by the resolvconf package, if installed
       dns-nameservers 192.168.1.250
       wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf
sudo nano /etc/wpa_supplicant/wpa_supplicant.conf (PS. Diese Datei war nicht vorhanden. Diese habe ich selbst in dem vorhandenen Verzeichnis angelegt.)

Code: Alles auswählen

network={
	ssid="SSID"
	key_mgmt=WPA-EAP
	proto=WPA2
	eap=PEAP
	identity="user"
	password="password"
	phase2=MSCHAPV2
}
wenn ich meinen Adapter neu starte erhalte ich direkt folgende Meldung.

Code: Alles auswählen

sudo ifdown wlp2s0 && sudo ifup wlp2s0
ifdown: interface wlp2s0 not configured
wpa_supplicant: /sbin/wpa_supplicant daemon failed to start
run-parts: /etc/network/if-pre-up.d/wpasupplicant exited with return code 1
ifup: failed to bring up wlp2s0


Mach ich hier etwas falsch oder hab ich etwas vergessen?
Zuletzt geändert von joe2017 am 05.09.2018 15:07:35, insgesamt 2-mal geändert.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: WLAN Konfiguration - WPA2 Enterprise (AES PEAP MSCHAPV2)

Beitrag von joe2017 » 05.09.2018 11:33:27

Ich habe den Fehler gefunden. Das Problem lag in der /etc/wpa_supplicant/wpa_supplicant.conf

So funktioniert es! :-)

Code: Alles auswählen

network={
        ssid="SSID"
        scan_ssid=1
        key_mgmt=WPA-EAP
        proto=RSN
        pairwise=CCMP
        group=CCMP
        eap=PEAP
        identity="USER"
        password="PASSWORD"
        phase2="auth=MSCHAPV2"
}

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: [gelöst] WLAN Konfiguration - WPA2 Enterprise (AES PEAP MSCHAPV2)

Beitrag von joe2017 » 05.09.2018 15:01:40

Ich habe auch gesehen, dass die Config direkt in der /etc/network/interfaces funktioniert.

Code: Alles auswählen

auto wlp2s0
allow-hotplug wlp2s0
iface wlp2s0 inet static
       address 192.168.1.1/16
       gateway 192.168.1.250
       # dns-* options are implemented by the resolvconf package, if installed
       dns-nameservers 192.168.1.250
 	wpa-ssid SSID
 	wpa-identity USER
 	wpa-password PASSWORD
 	wpa-proto RSN
 	wpa-key_mgmt WPA-EAP
 	wpa-group CCMP
 	wpa-pairwise CCMP
 	wpa-eap PEAP
 	wpa-phase2 "auth=MSCHAPV2"
Jedoch möchte ich in beiden Fällen nicht mein PASSWORD als Klartext in die Config schreiben. Jedoch habe ich bislang nur eine Lösung für MD4.

Code: Alles auswählen

echo -n password_here | iconv -t utf16le | openssl md4
Das ist natürlich keine Lösung. Ich bräuchte ein Crypt mit SHA256 oder SHA512.

Hat das schon jemand hinbekommen?

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: WLAN Konfiguration - WPA2 Enterprise (AES PEAP MSCHAPV2)

Beitrag von wanne » 09.09.2018 07:15:22

joe2017 hat geschrieben: ↑ zum Beitrag ↑
05.09.2018 11:03:21
Jedoch komm ich mit der WPA2 Enterprise (AES PEAP MSCHAPV2) nicht ganz klar. Die Verbindung wird ohne Zertifikat jedoch mit Benutzer und Password hergestellt.
Dir ist schon klar, dass du damit das Passwort für jeden zurückrechnen in die Umgebung Brüllst?
Darum, dass da jemand im File list würde ich mir jetzt wenig sorgen machen. Wer das Passwort haben will, schneidet es doch einfach im WLAN mit.
MSCHAPV2 ist gebrochen. Nicht ein bisschen sondern vollständig. Hier ein Dienst der solche Zugrückrechnungen für $20 anbietet: https://crack.sh/. Und das ist nicht für irgend welche schlechten Passwörter sondern für alle.

Da gibt es wie du das verschlüsselte (aber eben auch zurückrechenbare) Passwort in die config schreibst:
https://crack.sh/wpa-enterprise/

Das ist natürlich keine Lösung. Ich bräuchte ein Crypt mit SHA256 oder SHA512.
SHA256 oder SHA512 sind sicherer Hashes. Es ist unmöglich aus ihnen wieder das Passwort zu gewinnen. (Das du zum einloggen brauchst.) Ein solcher Eintrag wäre sinnlos.
rot: Moderator wanne spricht, default: User wanne spricht.

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: WLAN Konfiguration - WPA2 Enterprise (AES PEAP MSCHAPV2)

Beitrag von dufty2 » 09.09.2018 09:59:40

Mmmh, ich denke, das ist nicht ganz richtig, wanne.
"MSCHAPV2" für sich alleine ist "für die Tonne",
doch hier ist von AES PEAP MSCHAPV2 die Rede, und da,
- glaube ich - wird die Authentifizierung selbst auch verschlüsselt
und nicht nur der Datenstrom alleine.

Auf einer Cisco ISE z. B. kann man auch "nur MSCHAPV2" einschalten,
das sollte man aber tunlichst vermeiden (und ist auch per default aus - falls ich das noch recht
in Erinnerung habe).

Bin aber jetzt nicht der 802.1x-Experte und es gibt da auch so ewig viel Varianten und Kombinationen ...

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: WLAN Konfiguration - WPA2 Enterprise (AES PEAP MSCHAPV2)

Beitrag von wanne » 09.09.2018 14:17:09

Darum ging es:
Die Verbindung wird ohne Zertifikat jedoch mit Benutzer und Password hergestellt.
Die Verschlüsslung in PEAP ist auf jeden Fall mit Zertifikat. Ich nehme deswegen an, dass in der Konfiguration, halt jedes angenommen wird. Womit als reales Hindernis eben noch MSCHAPV2 bleibt.
Am Ende Hast du halt wie bei den meisten real existierenden 802.1x: Zwei mal verschlüsselt aber beides scheiße.
Varianten und Kombinationen
Wovon man IMHO von allem außer PWD die Finger lassen sollte. Alles andere ist grauenhaft kompliziert sicher zu konfigurieren weil von den 500 Kombinationen vielleicht 5 wirklich sicher sind.
Die andere Alternative ist vielleicht noch pures MD5. Da weiß man wenigstens was man hat. Da ist klar, dass nur das Passwort geschützt (und nicht etwa der nachfolgende Verkehr => TLS ist Pflicht.) wird und nur, wenn man ein extrem langes (>4 gleich verteilte Wörter) verwendet.
rot: Moderator wanne spricht, default: User wanne spricht.

Antworten