age@ifak-system.com writes:
Hallo Liste,
ich suche eine praktikable Lösung für eine Absicherung eine W-LANs.
folgende Vorraussetzungen:
___________ _____________ ________________ |DSL-Router| -----------------> | Linux-Firewall | ---------------> | internes Netzwerk| ------------------- ------------------------ -----------------------------
den W-LAN-AP würde ich jetzt an eine 3. Netzwerkkarte in der linux-Firewall anschliessen. Soweit so gut. Ziel ist es das unauthorisiert User (War-Driver) gar nicht an der linux-Firewall vorbeikommen, Authorisiert User durch die Firewall ins Internet kommen und ganz spezielle User (mit eine praktikablen Lösung) in das interne Netzwerk (z.B. auf Samba-Shares).
Ein ssh-tunnel wäre zwar möglich, aber für Samba-Shares etwas umständlich zu bedienen und auch für Authorisiert user (Gäste), die ins Internet wollen, sicherlich nicht einfach zu bedienen/einzurichten.
Wie funktioniert eigentlich die Authorisation über Radius? Gibt es noch andere Möglichkeiten bzw. kennt jemand einen konkreten Lösungsansatz für das Problem "WLAN-Absicherung"?
Die Möglichkeiten sind abhängig von den Fähigkeiten deines WLAN-Routers, der Clients und der Anzahl der potenziellen User. Einige WLAN_Router können nur WPA-PSK, dies arbeitet nach dem Prinzip des 'shared secret', d.h. aus einem gemeinsamen Passwort wird ein 40 Bit RC4 ermittelt, dieser Wert dient einerseits der Autorisierung,(aber nicht der Authentifizierung) anderseits der Transportverschlüsselung. WPA-EAP wird m.W. nur von sehr wenigen Routern beherrscht, damit kannst du dann auch einen Radius-Server zur Authentifizierung einbinden. Radius ist ein Authentifizierungssystem, ursprünglich für die Modemeinwahl gedacht, aber auch für andere Zwecke einsetzbar. T-online z.B. setzt Radius ein. Weitere Möglichkeiten sind WPA-TLS, EAP-PEAP, EAP-TTLS, damit habe ich aber keine Erfahrungen. Grundlage aller dieser Methoden ist IEEE 802.11i http://www.ieee802.org/11/ http://www.xs4all.nl/~evbergen/openradius/ -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53