Wir möchten gerne, dass sich unsere Nutzer mit ihren Zugangsdaten aus dem AD im WLAN anmelden können. Zwecks dessen habe ich einen RADIUS Server aufgesetzt und ihn per LDAP angebunden. Das hat so weit auch alles geklappt und die Anmeldung im WLAN klappt auch.
Nun ist es ja aber so, dass der Client eigentlich das Zertifikat des RADIUS Servers überprüfen sollte, um zu verhindern, dass ein Angreifer die Zugangsdaten unserer Nutzer klauen kann. Nach meinem Verständnis müsste ich dafür die Nutzer unsere CA auf ihren Geräten installieren lassen.
Das ist nun natürlich relativ umständlich. Es wäre aber machbar, zum Beispiel mittels unserer Landingpage.
Nun meine Frage: Wie macht ihr das?
Ich bin recht unerfahren auf dem Gebiet und über jeden Hinweis dankbar
ich verwende ein unsigniertes Zertifikat.
Damit nehme ich in Kauf, dass jemand einen rouge AccessPoint aufstellt,
sich als RADIUS ausgibt und Zugangsdaten abfischt … stimmt.
Das nehme ich bis jetzt in kauf.
Hmm… ok, das geht natürlich auch. Ich bin mir nur unsicher, ob wir das unseren Vereinsmitgliedern verklickern können (zumal da einige dabei sind, die auch Ahnung haben).
Immerhin haben wir sogar Leute, die wegen Datenschutz kein Slack benutzen wollen
das Problem ist hier nicht signiert oder selbstsigniert. Anders als bei HTTPS lässt sich das Zertifikat prinzipbedingt nur dann überprüfen, wenn es auf dem Client bekannt ist.
Wir nehmen einfach unser Let‘s-Encrypt-Zertifikat für die Homepage, dennoch muss jeder bei der ersten Anmeldung am WLAN das Zertifikat abnicken. Bei BYOD wäre mir alles andere viel zu umständlich.
Bei schuleigenen Geräten könnte die Entscheidung natürlich anders aussehen, aber da nehmen wir WPA2 mit PSK.
Ja, das ist mir bewusst, deshalb hab ich die Frage überhaupt erst gestellt.
Darüber hab ich auch schon nachgedacht. Aber nach meinem Verständnis bringt auch das keine wirkliche Sicherheit, oder? Auf welche Domain habt ihr das dann laufen? Und müssen die Clients das Zertifikat nach jeder Erneuerung nochmal bestätigen?
es ist genau wie Du sagst. Wie das mit dem „erneut bestätigen“ läuft hängt dabei sehr von den Clients ab. Ein lange gültiges selbstsigniertes Zertifikat hat da durchaus Vorteile.
In jedem Fall müssen die Leute bei BYOD aktiv werden: entweder dem Zertifikat vertrauen oder die CA importieren.
Eigentlich schade, denn man könnte ja durchaus vorsehen, das sich der Radius mit einem FQDN beim Client meldet, dann könnte man die Zertifikatsprüfung so regeln wie sonst auch. Das ist aber wohl leider nicht vorgesehen, zumindest habe ich dazu nichts gefunden.
Danke für die Infos.
Dann werde ich es so machen: Den Meisten ist es wahrscheinlich eh egal, die akzeptieren einfach das selbst signierte Zertifikat. Für die, denen es nicht egal ist, stelle ich unser CA zum Download auf der Landingpage zur Verfügung.
