LANCOM1821: WLAN+WPA+RADIUS geht das?

Forum zu LANCOM AirLancer Wireless Karten

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
terror4tec
Beiträge: 64
Registriert: 13 Jun 2005, 09:30
Wohnort: Absurdistan

LANCOM1821: WLAN+WPA+RADIUS geht das?

Beitrag von terror4tec »

Liebe Gemeinde,
Hat hier schon einmal jemand ein WPA-WLAN mit RADIUS Accounting auf dem 1821 eingerichtet? Geht das überhaupt? Im Handbuchsteht das WPA einen RADIUS Server obsolet macht. Erreicht man dennoch ein kleines Plus an Sicherheit wenn man WPA UND RADIUS kombiniert?
Wer kann etwas Hirn vom Himmel werfen ?
Danke
...kann man Administratoren eigentlich einen "guten ab-end" wünschen? ...
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Beitrag von Jirka »

Hallo terror4tec,

RADIUS-Accounting und Authentifizierung über RADIUS unterscheiden sich etwas, Du scheinst das in einen Topf zu werfen ...

> Geht das überhaupt?

Natürlich geht das.

> Erreicht man dennoch ein kleines Plus an Sicherheit wenn man WPA UND RADIUS kombiniert?

Wenn Du bei WPA einen Key verwendest, der schön viele Zeichen hat (sagen wir mal mind. 15) und nicht einfach zu erraten ist, dann ist das ausreichend sicher.
Wenn Du mehrere Clients hast die nicht alle von Dir sind, könntest Du über LEPS nachdenken, um die Sicherheit zu erhöhen.
Sicherlich erreicht man aber dennoch ein kleines Plus an Sicherheit mit RADIUS oder MAC-Filter (ist ja sicherheitstechnisch das gleiche).

Viele Grüße,
Jirka
cava
Beiträge: 143
Registriert: 26 Nov 2006, 20:31

Beitrag von cava »

Radius und Mac-Filter ist überhaupt nicht das gleiche. Ein Radiusserver authentifiziert einen Client im Netz, am besten mit Zertifikaten. Erst wenn das erfolgreich abgeschlossen ist, bekommt der Client einen WEP- oder WPA-Key, je nachdem, was eingestellt ist. Das ist ein deutliches Plus an Sicherheit, wobei für den Heimgebrauch schon übertrieben. Dort reicht WPA/WPA2 und LEPS bietet auch noch ein kleines Plus an Sicherheit.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Beitrag von Jirka »

Hallo cava,

einverstanden. Aber von Zertifikaten hat er nix geschrieben und da habe ich eben die Annahme getroffen, dass er das RADIUS in den LANCOMs (mit WLAN) nutzen will.

Viele Grüße,
Jirka
cava
Beiträge: 143
Registriert: 26 Nov 2006, 20:31

Beitrag von cava »

Der Radius um Lancom bringt nur dann was, wenn ihn andere Lancom APs nutzen (LEPS). Ansonsten greift nur der MAC-Filter, optional mit einem eigenen Passwort pro Client.
Benutzeravatar
LoUiS
Site Admin
Site Admin
Beiträge: 5031
Registriert: 07 Nov 2004, 18:29
Wohnort: Aix la Chapelle

Beitrag von LoUiS »

Der Radius um Lancom bringt nur dann was, wenn ihn andere Lancom APs nutzen (LEPS). Ansonsten greift nur der MAC-Filter, optional mit einem eigenen Passwort pro Client.
Das stimmt nicht so ganz, der interne Radius Server hat erstmal so mt LEPS nichts zu tun. LEPS sorgt nur auf einem Accesspoint dafuer, das unterschiedlichen Usern unterschiedliche WPA Passphrases zugewiesen werden koennen, welche in der Stationstabelle gespeichert sind, oder halt ueber einen Radius-Server bezogen werden koennen.

In den LANCOM Accesspoints ist aber ein Radius-Server implementiert, ueber den sich WLAN User zentral authentifizieren koennen. Fuer diesen Radius-Server wird dann die Stationsliste als Quelle der erlaubten WLAN Clients benutzt. Andere entfernte APs koennen dann den Radius dieses zentralen AP mitbenutzen, indem man sie in die Radius-Clients Liste eintraegt. Dadurch muss man dann nur noch auf einem Accesspoint die Stationstabelle pflegen. Das ist aber im Refmaual 6.24 unter "16.10 RADIUS" Seite 628ff schoen erklaert.


Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Beitrag von Jirka »

Hallo cava,

man könnte verstehen, was Du meinst, aber mit
Der Radius im Lancom bringt nur dann was, wenn
hast Du Dich relativ schwammig ausgedrückt ... Mir bringt es schon was, wenn der RADIUS auch nur als MAC-Filter arbeitet. Alle WLAN-Clients können bei mir noch nicht WPA.
Na ja, hat ja LoUiS schon alles geschrieben ...

Viele Grüße,
Jirka
cava
Beiträge: 143
Registriert: 26 Nov 2006, 20:31

Beitrag von cava »

Hallo Jirka,

der Radius-Server ist kein MAC-Filter. Der Radius-Server greift nur auf die Liste im MAC-Filter zu um Anfragen von anderen Access Points zu beantworten. Wenn du den Radius deaktivierst, funktioniert der MAC-Filter genauso.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Beitrag von Jirka »

Hallo cava,

vielleicht hab ich mich jetzt auch blöd ausgedrückt ...
Mir ist das schon klar.

Was ich meinte: Wenn jetzt ein LANCOM-AP die Authentifizierung über RADIUS eingestellt hat und als RADIUS-Server die IP eines anderen LANCOM (mit WLAN) angegeben ist, dann funktioniert das ganze wie ein komfortabler MAC-Filter, wenn die WLAN-Clients noch kein WPA können. Und Du meintest ja, dass das nichts bringt, was ja der Aufhänger war. So und der Meinung bin ich nicht.

Viele Grüße,
Jirka
cava
Beiträge: 143
Registriert: 26 Nov 2006, 20:31

Beitrag von cava »

Ich habe geschrieben, dass der Radius nur etwas bringt, wenn ein anderer Lancom AP darauf zugreift. Das ist doch genau das gleiche, das du geschrieben hast. Wenn du nur ein einziges Gerät von Lancom hast, bringt der Radius nichts.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Beitrag von Jirka »

Ok, jetzt hat es Klick gemacht. Das "(LEPS)" von Dir da oben hat mich da völlig irritiert. Ich dachte dass das Deiner Ansicht nach nur was bringt, wenn ihn andere LANCOM APs mit LEPS nutzen und ansonsten (also ohne LEPS) das ganze nur als MAC-Filter fungiert, optional mit einem eigenen Passwort pro RADIUS-Client ... :)

Viele Grüße,
Jirka
cava
Beiträge: 143
Registriert: 26 Nov 2006, 20:31

Beitrag von cava »

Ok, alles klar. Mit LEPS in Klammern meinte ich, dass man das optional zusätzlich nutzen kann.
Antworten