Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Moin Alle,

ich untersuche gerade die Sicherheiten und Unsicherheiten des FreeRadius-Servers.Eine Frage stellt sich immer wieder.

Gibt es die Möglichkeit das ein Angreifer sich als Radius-Server ausgeben kann, um so an Daten des Clients zu kommen ?

Der Client meldet sich mit irgendeinem Authentifizierungsverfahren an. Kann der Radius-Server so eingestellt werden, das alle Anmeldungen der Clients ohne weiteres angenommen werden.Wenn nein, würde ich gerne erfahren, warum und wo dieses dokumentiert ist. Wenn ja, währe ja ein mega Sicherheitsrisiko vorhanden. Ich habe über dieses Problem nichts ist in den Docus gefunden.

Vielleicht kann mir jemand ein bisschen auf die Sprünge helfen.

Gruß, Tom.

Geschrieben

Hi tuxtom,

meinst Du nicht, daß Du bevor Du Dich auf ein Produkt konzentriest (FreeRadius) erstmal auf das Protokoll, das dieses Produkt implementiert, konzentrieren solltest? Das RADIUS-Protokoll als solches ist erstmal nicht auf Sicherheit/Zuverlässigkeit ausgelegt (shared secret zwischen RADIUS-Server und RADIUS-Client, Verwendung von UDP). Zu der Problematik haben sich ein paar schlaue Köpfe natürlich schon Gedanken gemacht:

"4. Security Considerations

4.1. Security Requirements

RADIUS/EAP is used in order to provide authentication and

authorization for network access. As a result, both the RADIUS and

EAP portions of the conversation are potential targets of an attack.

Threats are discussed in [RFC2607], [RFC2865], and [RFC3162]."

aus RFC3579 -- vielleicht als Einstieg empfehlenswerte Lektüre

Gruß

giftclown

Geschrieben

Wie schon richtig bemerkt ist vor allem der verwendete Authentifizierungsmechanismus für die Sicherheit relevant. Da PAP und CHAP hier keine gute Wahl sind empfehle ich das oben genannte EAP zu verwenden...

mfg

cane

  • 2 Wochen später...
Geschrieben

Moin,

wie die Protokolle im einzelnen funktionieren ist mir schon klar. Bei uns kommt EAP/TLS zum Einsatz. Ich habe auch versucht mal alle anderen Einstellungen auszuprobieren. Wichtig für mich ist, das der Client die Anmeldemethode vorgibt und der Radius-Server das macht was der Client will.

Aber mal was anderes.

Gibt es eigendlich die Möglichkeit EAP/TLS ohne WLan einzusetzen, nur übers Lan ? Ich stelle mir vor das ein Client keine WLan-Karte besitzt, dennoch gesichert sich anmelden muß. Das dies möglich sein muß ist mir schon klar, nur WIE ?

Vielleicht jemand eine Idee ?

Gruß, Tom.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...