Seite 1 von 1
[gelöst] freeradius PEAP MSCHAPv2 (Server TLS) + MAC Authentication
Verfasst: 27.12.2020 11:55:33
von joe2017
Schönen guten Morgen,
hat jemand von euch eine gute Anleitung für eine freeradius Installation (PEAP MSCHAPv2 + MAC Authentication)?
Mein Client muss also die richtige MAC Adresse + Benutzer + Passwort besitzen. Das ganze wird über eine Serverzertifikat (TLS) verschlüsselt.
Ich denke mit dem PEAP MSCHAPv2 (Server TLS) Teil komme ich klar.
Jedoch würde ich gerne zusätzlich die MAC Authentication als require einbauen.
Re: freeradius PEAP MSCHAPv2 (Server TLS) + MAC Authentication
Verfasst: 27.12.2020 12:15:25
von MSfree
joe2017 hat geschrieben: 
27.12.2020 11:55:33
Jedoch würde ich gerne zusätzlich die MAC Authentication als require einbauen.
Das ist eine blöde Idee. Die MAC von WLAN-Karten wird von einigen Betriebssystemen zur Wahrung der Anonymität verändert. Umgekeht braucht ein Angreifer nur der (verschlüsselten) WLAN-Kommunikation zu lauschen, ohne angemeldet zu sein, um die zugelassenen MACs auszuspähen. Mit der ausgespähten MAC kann er seine WLAN-Karte konfigurieren und kann dann den eigentlichen Angriff starten.
Aus dem gleichen Grunde ist auch der MAC-Filter, den die ganzen Plastikrouter in ihrem Setup haben, Unsinn. Eine MAC-Adresse ist weder ein Identifikationsmerkmal noch ist ein Filter eine wirkungsvolle Methode, um Angreifer draußen zu halten.
Re: freeradius PEAP MSCHAPv2 (Server TLS) + MAC Authentication
Verfasst: 27.12.2020 12:52:13
von joe2017
Da hast du schon recht. Ich dachte mir nur das ich das als zusätzliche Stufe einbaue. Aber wenn der Aufwand größer als der Nutzen ist, kann ich mir das auch schenken.
Re: freeradius PEAP MSCHAPv2 (Server TLS) + MAC Authentication
Verfasst: 27.12.2020 13:04:48
von MSfree
joe2017 hat geschrieben: 27.12.2020 12:52:13
Ich dachte mir nur das ich das als zusätzliche Stufe einbaue. Aber wenn der Aufwand größer als der Nutzen ist, kann ich mir das auch schenken.
Mit iptables/nftables könntest du auf MACs filtern, das macht die Fritzbox letztlich auch so. Du könntest die Liste der erlaubten MACs in ein Script speichern und die iptables/nftwables-Aufrufe abarbeiten lassen. Jede Änderung bedeutet aber eine Änderung des Skripts und das Ausführen sollte man dann auch nicht vergessen. Der Nutzen ist aber praktisch Null. Und wenn man mal vergißt, daß man einen MAC-Filter am Laufen hat, hat man mit jeden neuen Gerät, das man mit dem WLAN verbinden will, zusätzlichen Fehlersuchaufwand.
Re: freeradius PEAP MSCHAPv2 (Server TLS) + MAC Authentication
Verfasst: 27.12.2020 13:25:05
von joe2017
Du meins das ich die nftable regeln im radius Server anlege.
Ja das wäre auch eine Idee. Ich werde mir das noch mal durchdenken. Danke für deine Antwort.
Re: freeradius PEAP MSCHAPv2 (Server TLS) + MAC Authentication
Verfasst: 27.12.2020 13:45:09
von MSfree
joe2017 hat geschrieben: 27.12.2020 13:25:05
Du meins das ich die nftable regeln im radius Server anlege.
Jein. Die Regeln müssen auf dem WLAN-Accesspoint laufen. Wenn Radius-Server und AP das selbe Gerät sind, fällt das natürlich zusammen.
Re: freeradius PEAP MSCHAPv2 (Server TLS) + MAC Authentication
Verfasst: 28.12.2020 09:51:16
von joe2017
Danke für die Info.