tuxtom Geschrieben 10. Juni 2005 Geschrieben 10. Juni 2005 Moin Alle, ich untersuche gerade die Sicherheiten und Unsicherheiten des FreeRadius-Servers.Eine Frage stellt sich immer wieder. Gibt es die Möglichkeit das ein Angreifer sich als Radius-Server ausgeben kann, um so an Daten des Clients zu kommen ? Der Client meldet sich mit irgendeinem Authentifizierungsverfahren an. Kann der Radius-Server so eingestellt werden, das alle Anmeldungen der Clients ohne weiteres angenommen werden.Wenn nein, würde ich gerne erfahren, warum und wo dieses dokumentiert ist. Wenn ja, währe ja ein mega Sicherheitsrisiko vorhanden. Ich habe über dieses Problem nichts ist in den Docus gefunden. Vielleicht kann mir jemand ein bisschen auf die Sprünge helfen. Gruß, Tom. Zitieren
giftclown Geschrieben 11. Juni 2005 Geschrieben 11. Juni 2005 Hi tuxtom, meinst Du nicht, daß Du bevor Du Dich auf ein Produkt konzentriest (FreeRadius) erstmal auf das Protokoll, das dieses Produkt implementiert, konzentrieren solltest? Das RADIUS-Protokoll als solches ist erstmal nicht auf Sicherheit/Zuverlässigkeit ausgelegt (shared secret zwischen RADIUS-Server und RADIUS-Client, Verwendung von UDP). Zu der Problematik haben sich ein paar schlaue Köpfe natürlich schon Gedanken gemacht: "4. Security Considerations 4.1. Security Requirements RADIUS/EAP is used in order to provide authentication and authorization for network access. As a result, both the RADIUS and EAP portions of the conversation are potential targets of an attack. Threats are discussed in [RFC2607], [RFC2865], and [RFC3162]." aus RFC3579 -- vielleicht als Einstieg empfehlenswerte Lektüre Gruß giftclown Zitieren
cane Geschrieben 14. Juni 2005 Geschrieben 14. Juni 2005 Wie schon richtig bemerkt ist vor allem der verwendete Authentifizierungsmechanismus für die Sicherheit relevant. Da PAP und CHAP hier keine gute Wahl sind empfehle ich das oben genannte EAP zu verwenden... mfg cane Zitieren
tuxtom Geschrieben 27. Juni 2005 Autor Geschrieben 27. Juni 2005 Moin, wie die Protokolle im einzelnen funktionieren ist mir schon klar. Bei uns kommt EAP/TLS zum Einsatz. Ich habe auch versucht mal alle anderen Einstellungen auszuprobieren. Wichtig für mich ist, das der Client die Anmeldemethode vorgibt und der Radius-Server das macht was der Client will. Aber mal was anderes. Gibt es eigendlich die Möglichkeit EAP/TLS ohne WLan einzusetzen, nur übers Lan ? Ich stelle mir vor das ein Client keine WLan-Karte besitzt, dennoch gesichert sich anmelden muß. Das dies möglich sein muß ist mir schon klar, nur WIE ? Vielleicht jemand eine Idee ? Gruß, Tom. Zitieren
cane Geschrieben 27. Juni 2005 Geschrieben 27. Juni 2005 Dann muss halt die Netzwerkkarte und/oder der Switch 802.1x fähig sein. mfg cane Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.