#EAP-TTLS 802.1X mit #Unifi und #QNAP ist einfach

Menu:/#EAP-TTLS 802.1X mit #Unifi und #QNAP ist einfach

#EAP-TTLS 802.1X mit #Unifi und #QNAP ist einfach

Es geht auch zuhause. An diesem Beispiel möchte ich zeigen, dass es auch für Heimanwender möglich ist, tatsächlich mal eben ein Enterprise-WiFi aufzubauen. In meinem Fall nutze ich ein QNAP, das ist sicherlich auch übertragbar auf die andere Hälfte der NAS Nutzer, die Synology-Kunden. Es ist wirklich kinderleicht!

Anmerkung am Rande, bzw. um Bullshitbingo vorzubeugen: Das Niveau in diesem Beitrag bezieht sich auf Heimanwender. Ich bin mir dessen absolut bewusst, dass es genügend bessere Authentifizierungsserver gibt, dieser ist jedoch technisch einwandfrei, ebenso ist es für einen Heimanwender einfacher, ein QNAP zu konfigurieren, denn einen IAS.

Anmerkung 2: Richtig bemerkt. 802.1x schützt lediglich die Anmeldung, nicht jedoch den Verkehr.

 

Was wird benötigt?

  • QNAP NAS
  • Unifi Accesspoints
  • Unifi Controller 5.x+, ferner
    • Ein Zertifikat (z.B. von Letsencrypt)
    • Ein Radius Clientkennwort (zu erstellen)
    • Ein Radius-Benutzer und ein dazugehöriges Kennwort (zu erstellen)

Zertifikat

Beginnen wir mit unserer kleinen Demonstration. In meinem Fall wird für mein QNAP ein Zertifikat von Letsencrypt bezogen. Dazu benötige ich für den Schlüsselaustausch von Letsencrypt Portforwarding 80 auf die NAS-Büchse und einen öffentlichen DNS-Namen. Zu Aktivieren ist das ganze unter: //Controlpanel/System/Sicherheit/“Zertifikate und privater Schlüssel“

In diesem Fall (Letsencrypt) kommt es beim Wechsel des Zertifikats (bei Letsencrypt häufiger als üblich) zu einer Warnmeldung über ein neues Zertifikat beim Anwender. Es ist auch möglich, das integrierte QNAP-Zertifikat zu verwenden. Es ist ebenfalls möglich, ein Zertifikat auf das QNAP zu laden. Diese Variante ist m.E. die einfachste.

 

Radius aktivieren

Anschließend wechsle ich in den Radius Server und aktiviere ihn unter //Controlpanel/Anwendungen/Radius/Server-Einstellungen

Anschließend erstelle ich für meine Accesspoints den entsprechenden Zugang. Dazu erstelle ich einen Radius Clienten unter //Controlpanel/Anwendungen/Radius/Radius-Klienten


Hier erstelle ich eine Netzwerkdefinition in der Größe 24 für das Netzwerk 172.20.75.0, in jenem sich meine Accesspoints befinden.

Anschließend erstelle ich noch mindestens einen Benutzer und ein Kennwort für den Nutzer meines Netzes unter //Controlpanel/Anwendungen/Radius/Radius-Benutzer

Jeder Benutzer, der dieses Netzwerk benutzen soll, bekommt hier einen Nutzernamen und ein Kennwort.

 

Unifi Controller – Radius Profil erstellen

In Unifi Controller wechsle ich in //Einstellungen/Profile/Raidus-Profil/Ein neues Radius Profil erstellen

In der Eingabemaske wähle ich einen Namen und setze den Radius-Server auf das erreichbare QNAP, sowie den Schlüssel der Accesspoints ein, welche wir in „Radius-Klienten“ für das entsprechende Netz erstellt haben.

Anschließend setze ich nur noch im entsprechendem oder neu angelegten WiFi Netzwerk mit dem Namen „SSID-Name“ die Sicherheit auf WPA-Enterprise und das zuvor erstellte Radius Profil.

Zum Schluss verteile ich das WiFi-Provisioning auf alle Accesspoints.

 

In diesem Fall verwendet der Mac EAP-TTLS (ausreichend für den Heimgebrauch, kein Zertifikat am Client erforderlich)

Die Anmeldung hat geklappt und ich bin über EAP-TTLS authentifiziert.

Jetzt kann ich mich mit jedem Endgerät (IOS, Android, Linux, MacOS, Windows), welches EAP-TTLS unterstützt, am Accesspoint sicher anmelden. Da die Verschlüsselung in diesem Fall nicht mehr auf den WiFi Chip (Offloading) mit seinen selten aktualisierten Treibern verlegt wird, ist die KRACK-Entschlüsselung ebenfalls erschwert, da die Softwarebibliothek des Clients in der Regel aktuell ist.

By | 2017-10-18T21:17:02+00:00 18.10.2017|Sicherheit, Techbla|Kommentare deaktiviert für #EAP-TTLS 802.1X mit #Unifi und #QNAP ist einfach

About the Author:

John Lose

John Lose ist Informationstechnologe und Datenreisender. Manche mögen ihn als „Aluhut-Träger“ bezeichnen, denn er mag nur kleine Rechenzentren, die er selbst kennt. Public Clouds kommen für Ihn höchstens für Webseiten in Frage. John ist Katzenliebhaber, hat aber keine Katze, fährt gerne nach Südfrankreich und hört Tech-House. Mehr über John Lose erfährst Du in seiner Vita.  Wenn Dir dieser Beitrag gefallen hat, so kannst Du auch Danke sagen, wenn Du möchtest:  >> Dankeschön <<.