Captive Portal unterstützt keine EAP-TTLS Verschlüsselung
-
Wir haben ein CP eingerichtet und möchten nun über´s Internet einen externen Radiusserver als Userdatenbank benutzten. Zur Verschlüsselung gibt es aber keine Einstellungen unter Services>CaptivePortal zur Auswahl der Verschlüsselung. Was machen wir falsch? Gibt es eine Konfigurationsmöglichkeit auf Shellebene?
Danke für die Mühen! -
EAP-TLS selbst verschlüsselt keine Nutzdaten. Lediglich ein sichere Authentifizierung ist darüber möglich.
oder TTLS. Fast dasselbe, lediglich getunnelt & nur serverseitigen Zertifikaten.
-
für eap-ttls via (free)radius (via packages):
http://blog.vannuil.com/2008/10/wpa2-enterprise.html
-
Danke eazydor für die Antworten.
Vielleicht habe ich mich unklar ausgedrückt oder ich habe einfach überhaupt keine Ahnung.
Wir möchten nicht pfsense als Radius-Server benutzten, sondern es gibt bereits einen externen Radius-Server in unserer Firma, welchen wir benutzten müssen.
Die Eintragung mit den Standard Web-GUI Möglicheiten funktioniert, wenn wir die externe IP 76.x.x.x eintragen (dies ist ausserhalb unseres LANs). Doch wir sind der Meinung, dass die Client2Server Standard-Übertragung (sozusagen übers gesamte Internet) zu unsicher ist. (Unsere Benutzernamen ermöglichen Zugang zu sehr empfindlichen Kundendaten)
Wie können wir nun pfsense (als NAS - bzw. als Radius-Client) so konfigurieren, dass die Anmeldung am externen Radius-Server mittels EAP-TTLS also mit Tunnel funktioniert? Darüber finde ich nirgends etwas.
Danke für die Mühen
-
Hierbei kann ich leider nicht helfen, weil dafür sind Änderungen am bestehenden Radius-Server nötig. D.h. unter Captive Portal / Authentication den externen Radiusserver inkl. entsprechender Konfiguration angeben. Da ich aber nicht weiß welchen Radiusserver, z.b. FreeRADIUS, OpenRADUIS oder natives Gedöns a la MS IAS oder Cisco-Standards, du benutzt, geschweige denn deine Konfiguration kenne, muss ich hier leider passen. Vielleicht im Forum des Herstellers deiner Radius-Software nachschauen, wie du den bestehenden Server entsprechend konfigurieren kannst.
N.B: Denk' dran, EAP ist ein Authentifizierungsverfahren und sichert selbst keine Nutzdaten.
-
Hallo eazydor,
der externe adius ist schon fix und fertig konfiguriert. Aber wenn ich nun diesen im Web-gui der pfsense eintrage (IP, Port und Secret) dann sollte ich doch auch bei der pfsense ein entsprechendes Authentifizierungsverfahren angeben, richtig? Das ist das einzige was ich versuche einzustellen. Hast Du hierzu einen Tipp?"N.B: Denk' dran, EAP ist ein Authentifizierungsverfahren und sichert selbst keine Nutzdaten." Was genau möchtest Du damit mir sagen? Haben wir im Aufbau einen Denkfehler?
Liebe Grüsse
-
Spät ist besser als Gar nichts.
EAP ist lediglich ein Protokoll zur Authentifizierung. Es überträgt Nutzernamen und Passwörter im Klartext, deshalb kommt es in diversen Varianten zum Einsatz. Zum Beispiel mit TLS oder TTLS. Diese sorgen für die Verschlüsselung der übertragenden Daten.
Zwischen dem Radius-Server und dem Authenticator (pfSense) wird nur das EAP-Protokoll eingesetzt. In diesem sind dann TLS oder TTLS oder sonstige Formate gekapselt, die die Verschlüsselung implementieren. Daher benötigt pfSense bei der Authentifizierung mit einem Radius-Server nur die Angaben für EAP. Also IP, Port und Shared-Key um sich beim Radius-Server zu authentifizieren. Alles andere wie Zertifikate werden nur zwischen Client und Radius-Server ausgetauscht. pfSense dient da nur als Mittelsmann.
Um das Verfahren besser verstehen zu können folgende Seiten sehr hilfreich.
http://www.heise.de/netze/artikel/WLAN-und-LAN-sichern-mit-IEEE-802-1X-und-Radius-979513.html
http://www.heise.de/netze/artikel/WLAN-sichern-mit-Radius-1075339.html