WPA2 Enterprise mit FreeRADIUS und DD-Wrt in 5 Minuten

freeradius
Wenn WPA2-PSK mit einem einzigen Kennwort nicht mehr für die WLAN-Sicherheit genügt, bietet sich der Einsatz von WPA2 Enterprise, also der Authentifikation mittels EAP und TLS an. Wie das auch im Heimnetzwerk mit einem DD-Wrt Router und einem RADIUS-Server geht, erklärt der folgende Artikel.

Installation

Zuerst wird FreeRADIUS-Server installiert. Dabei wird automatisch ein selbst-signiertes Zertifikat erzeugt, dass den Hostnamen des Servers enthält.

apt-get install freeradius 

Wird der RADIUS-Server auf der Firewall installiert, muss er an die interne Netzwerkschnittstelle gebunden werden. Aber auch wenn das nicht der Fall ist, lohnt sich diese Sicherungsmaßnahme. Dafür werden in der Datei /etc/freeradius/radiusd.conf die zwei mit listen { beginnenden Blöcke bearbeitet und die beiden folgenden Konfigurationsanweisungen einkommentiert und mit den entsprechenden Werten gefüllt.

ipaddr = IPv4Intern
interface = ethIntern

Die Angabe zur IP-Adresse befindet sich für den auth Block um Zeile 273, für den acct Block um Zeile 316. Die Angabe zur Netzwerkschnittstelle befindet sich um Zeile 293 und Zeile 320.

Benutzernamenfilter

Folgend wird in der Datei /etc/freeradius/sites-enabled/default ein Sicherheitsfilter für Benutzernamen aktiviert, der dazu führt, dass Benutzernamen die mit Leerzeichen beginnen oder nicht von FreeRADIUS unterstützte Zeichenketten enthalten, nicht an den Authentifikationsmechanismus weitergegeben werden.

Um Zeile 79 Policy-Statement filter_username einkommentieren.

Client einrichten

Im nächsten Schritt wird die Zugriffsberechtigung und Authentifikation für den DD-Wrt Router eingerichtet. Der DD-Wrt Router wird als Client eingerichtet. Ein Client besteht aus einer Quell-IP, einem Gerätetyp und einem gemeinsamen secret. Bevor dies geschieht, sollte in der Datei /etc/freeradius/clients.conf um Zeile 101 das Kennwort für den lokalen Testzugriff auf den RADIUS-Server von testing123 auf einen geheimen Wert abgeändert werden.

Ist dies geschehen, kann die Konfiguration für den DD-Wrt Router an das Ende der Datei angefügt werden. Die IP-Adresse des DD-Wrt Routers ist in der Weboberfläche im Menü Status - LAN ablesbar. Das Format lautet wie folgt:

client dd-wrt {
        ipaddr = 192.168.XXX.XXX
        netmask = 32
        secret = meinGeheimesKennwort
        require_message_authenticator = no
        nastype     = other
}

Benutzer hinzufügen

Jetzt können die Benutzer an das Ende der Datei /etc/freeradius/users hinzugefügt werden. Das Format lautet wie folgt.

# Lokale User
user1    Password = "meinGeheimesKennwort"

DD-Wrt konfigurieren

Nach Neustart des FreeRADIUS-Servers mit dem Befehl /etc/init.d/freeradius restart kann der DD-Wrt Router konfiguriert werden. Im Menü WLAN – WLAN-Sicherheit kann der Radius gemeinsam mit dem secret eingetragen werden.
Bildschirmfoto - 13.03.2014 - 17:06:04

Proxyserver über SSH-Tunnel mit MyEnTunnel verwenden

Wer Zugriff auf einen anonymisierenden Proxyserver (Elite-Proxy) hat, kann diesen mit einem SSH-Tunnel zum Ziel-Netzwerk sicherer benutzen, als durch direkte Verwendung des Proxys. Diese Zugangsart eignet sich zum Beispiel um auf die Proxyserver von Perfect-Privacy oder OVPN.to zuzugreifen. Aber auch an meiner Universität wird ein solcher Privatsphären Proxy betrieben. Um diesen sicher zu verwenden, bietet sich ein SSH-Tunnel an. Wie dieser unter Windows eingerichtet wird, erklärt der folgende Artikel.

Unter Windows eignet sich für die Herstellung des SSH-Tunnels besonders das Programm MyEnTunnel. MyEnTunnel ist eine einfache Systemtray-Anwendung, die mit Hilfe des mitgelieferten Programms PuTTY Link (plink.exe) einen SSH-Tunnel aufbaut und aufrecht erhält.

Bildschirmfoto - 08.03.2014 - 17:14:55
MyEnTunnel im Windows-Systemtray

Die Software kann über die Herstellerseite N2 (Download befindet sich auf der Mitte der Seite) bezogen werden. Es ist empfehlenswert, die Entwicklungsversion 3.6.1 herunterzuladen, da diese trotz dem Status sehr stabil läuft und bei komplexen Passwörtern keine Fehler hat.

Nach der Installation kann der Tunnel zum Fakultätsproxy eingerichtet werden. Der Tunnel wird in der aus ssh bekannten Notation (Lokaler-Port:Zielhostname/IP:Ziel-Port) eingegeben.

Bildschirmfoto - 08.03.2014 - 17:13:43
Eingabe der SSH-Tunnel Konfiguration

Im letzten Schritt, wird der Zielserver im Fakultätsnetzwerk eingegeben. Geeignet ist zwar jeder Server, der per SSH mit einem Fakultäts-Account erreichbar ist. Um den Maximaldurchsatz der eigenen Internetanbindung zu erreichen sollte aber einer der Compute-Server der IRB verwendet werden. Der Hostname ergibt sich, indem .cs.tu-dortmund.de an den Hostnamen angehängt wird.

Bildschirmfoto - 08.03.2014 - 17:12:43
Eingabe der SSH-Server Konfiguration

Die Konfiguration aus obiger Abbildung kann 1:1 übernommen werden. Sollen statt dem Surfen im Web regelmäßig große Daten übertragen werden, sollte die Kompression deaktiviert werden.