Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Radius-Server

Gast tuxtom
Gast tuxtom
in Security

Empfohlene Antworten

Moin Alle,

ich untersuche gerade die Sicherheiten und Unsicherheiten des FreeRadius-Servers.Eine Frage stellt sich immer wieder.

Gibt es die Möglichkeit das ein Angreifer sich als Radius-Server ausgeben kann, um so an Daten des Clients zu kommen ?

Der Client meldet sich mit irgendeinem Authentifizierungsverfahren an. Kann der Radius-Server so eingestellt werden, das alle Anmeldungen der Clients ohne weiteres angenommen werden.Wenn nein, würde ich gerne erfahren, warum und wo dieses dokumentiert ist. Wenn ja, währe ja ein mega Sicherheitsrisiko vorhanden. Ich habe über dieses Problem nichts ist in den Docus gefunden.

Vielleicht kann mir jemand ein bisschen auf die Sprünge helfen.

Gruß, Tom.

Hi tuxtom,

meinst Du nicht, daß Du bevor Du Dich auf ein Produkt konzentriest (FreeRadius) erstmal auf das Protokoll, das dieses Produkt implementiert, konzentrieren solltest? Das RADIUS-Protokoll als solches ist erstmal nicht auf Sicherheit/Zuverlässigkeit ausgelegt (shared secret zwischen RADIUS-Server und RADIUS-Client, Verwendung von UDP). Zu der Problematik haben sich ein paar schlaue Köpfe natürlich schon Gedanken gemacht:

"4. Security Considerations

4.1. Security Requirements

RADIUS/EAP is used in order to provide authentication and

authorization for network access. As a result, both the RADIUS and

EAP portions of the conversation are potential targets of an attack.

Threats are discussed in [RFC2607], [RFC2865], and [RFC3162]."

aus RFC3579 -- vielleicht als Einstieg empfehlenswerte Lektüre

Gruß

giftclown

Wie schon richtig bemerkt ist vor allem der verwendete Authentifizierungsmechanismus für die Sicherheit relevant. Da PAP und CHAP hier keine gute Wahl sind empfehle ich das oben genannte EAP zu verwenden...

mfg

cane

  • 2 Wochen später...

Moin,

wie die Protokolle im einzelnen funktionieren ist mir schon klar. Bei uns kommt EAP/TLS zum Einsatz. Ich habe auch versucht mal alle anderen Einstellungen auszuprobieren. Wichtig für mich ist, das der Client die Anmeldemethode vorgibt und der Radius-Server das macht was der Client will.

Aber mal was anderes.

Gibt es eigendlich die Möglichkeit EAP/TLS ohne WLan einzusetzen, nur übers Lan ? Ich stelle mir vor das ein Client keine WLan-Karte besitzt, dennoch gesichert sich anmelden muß. Das dies möglich sein muß ist mir schon klar, nur WIE ?

Vielleicht jemand eine Idee ?

Gruß, Tom.

Dann muss halt die Netzwerkkarte und/oder der Switch 802.1x fähig sein.

mfg

cane

Archiv

Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.

Zur Themenliste gehen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.