[gelöst] freeradius PEAP MSCHAPv2 (Server TLS) + MAC Authentication

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

[gelöst] freeradius PEAP MSCHAPv2 (Server TLS) + MAC Authentication

Beitrag von joe2017 » 27.12.2020 11:55:33

Schönen guten Morgen,

hat jemand von euch eine gute Anleitung für eine freeradius Installation (PEAP MSCHAPv2 + MAC Authentication)?
Mein Client muss also die richtige MAC Adresse + Benutzer + Passwort besitzen. Das ganze wird über eine Serverzertifikat (TLS) verschlüsselt.

Ich denke mit dem PEAP MSCHAPv2 (Server TLS) Teil komme ich klar.
Jedoch würde ich gerne zusätzlich die MAC Authentication als require einbauen.
Zuletzt geändert von joe2017 am 06.03.2021 05:57:00, insgesamt 1-mal geändert.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: freeradius PEAP MSCHAPv2 (Server TLS) + MAC Authentication

Beitrag von MSfree » 27.12.2020 12:15:25

joe2017 hat geschrieben: ↑ zum Beitrag ↑
27.12.2020 11:55:33
Jedoch würde ich gerne zusätzlich die MAC Authentication als require einbauen.
Das ist eine blöde Idee. Die MAC von WLAN-Karten wird von einigen Betriebssystemen zur Wahrung der Anonymität verändert. Umgekeht braucht ein Angreifer nur der (verschlüsselten) WLAN-Kommunikation zu lauschen, ohne angemeldet zu sein, um die zugelassenen MACs auszuspähen. Mit der ausgespähten MAC kann er seine WLAN-Karte konfigurieren und kann dann den eigentlichen Angriff starten.

Aus dem gleichen Grunde ist auch der MAC-Filter, den die ganzen Plastikrouter in ihrem Setup haben, Unsinn. Eine MAC-Adresse ist weder ein Identifikationsmerkmal noch ist ein Filter eine wirkungsvolle Methode, um Angreifer draußen zu halten.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: freeradius PEAP MSCHAPv2 (Server TLS) + MAC Authentication

Beitrag von joe2017 » 27.12.2020 12:52:13

Da hast du schon recht. Ich dachte mir nur das ich das als zusätzliche Stufe einbaue. Aber wenn der Aufwand größer als der Nutzen ist, kann ich mir das auch schenken.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: freeradius PEAP MSCHAPv2 (Server TLS) + MAC Authentication

Beitrag von MSfree » 27.12.2020 13:04:48

joe2017 hat geschrieben: ↑ zum Beitrag ↑
27.12.2020 12:52:13
Ich dachte mir nur das ich das als zusätzliche Stufe einbaue. Aber wenn der Aufwand größer als der Nutzen ist, kann ich mir das auch schenken.
Mit iptables/nftables könntest du auf MACs filtern, das macht die Fritzbox letztlich auch so. Du könntest die Liste der erlaubten MACs in ein Script speichern und die iptables/nftwables-Aufrufe abarbeiten lassen. Jede Änderung bedeutet aber eine Änderung des Skripts und das Ausführen sollte man dann auch nicht vergessen. Der Nutzen ist aber praktisch Null. Und wenn man mal vergißt, daß man einen MAC-Filter am Laufen hat, hat man mit jeden neuen Gerät, das man mit dem WLAN verbinden will, zusätzlichen Fehlersuchaufwand.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: freeradius PEAP MSCHAPv2 (Server TLS) + MAC Authentication

Beitrag von joe2017 » 27.12.2020 13:25:05

Du meins das ich die nftable regeln im radius Server anlege.
Ja das wäre auch eine Idee. Ich werde mir das noch mal durchdenken. Danke für deine Antwort.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: freeradius PEAP MSCHAPv2 (Server TLS) + MAC Authentication

Beitrag von MSfree » 27.12.2020 13:45:09

joe2017 hat geschrieben: ↑ zum Beitrag ↑
27.12.2020 13:25:05
Du meins das ich die nftable regeln im radius Server anlege.
Jein. Die Regeln müssen auf dem WLAN-Accesspoint laufen. Wenn Radius-Server und AP das selbe Gerät sind, fällt das natürlich zusammen.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: freeradius PEAP MSCHAPv2 (Server TLS) + MAC Authentication

Beitrag von joe2017 » 28.12.2020 09:51:16

Danke für die Info.

Antworten