16-06-2023, 10:22
Stell dir Folgendes vor: Du richtest ein Firmen-Wi-Fi-Netzwerk ein und möchtest nicht, dass einfach jeder sich einwählt. Ich benutze EAP über den 802.1X-Standard, der den Zugriff auf Port-Ebene steuert - in Wi-Fi-Begriffen bedeutet das, dass der Zugangspunkt wie ein Türsteher agiert. Das Client-Gerät, sagen wir dein Smartphone, versucht eine Verbindung herzustellen, und EAP startet den Authentifizierungsprozess. Es verhandelt zwischen deinem Gerät und einem Authentifizierungsserver, oft etwas wie RADIUS, das ich im Backend konfiguriere. Ich liebe, wie es eine Vielzahl von Methoden unterstützt, sodass du auswählen kannst, was zu deinem Setup passt. Zum Beispiel, wenn ich EAP-TLS wähle, verwendest du Zertifikate an beiden Enden - deinem Gerät und dem Server - um Identitäten zu überprüfen, ohne jemals Passwörter über die Luft zu senden. Ich habe das einmal für einen Kunden eingerichtet, und es fühlte sich wasserdicht an, weil Angreifer nicht einfach schnüffeln oder irgendeine Verbindung wiederholen können.
Du fragst dich vielleicht, warum nicht einfach bei WPA2 Personal bleiben? Nun, ich habe das frühzeitig ausprobiert, aber es beschränkt dich auf einen gemeinsamen Pre-Shared Key, den jeder kennt, also wenn jemand das Unternehmen verlässt, musst du ihn für alle ändern. Mit EAP in WPA2 oder WPA3 Enterprise bindest du die Authentifizierung an einzelne Benutzer oder Geräte. Ich konfiguriere es am Zugangspunkt, um EAP zu verlangen, und dann kümmert sich der Supplicant auf deinem Endgerät - wie der integrierte in Windows oder macOS - um den Rest. Es tunnelt die Anmeldeinformationen sicher, oft innerhalb von TLS, sodass selbst wenn jemand das Wi-Fi belauscht, sie nichts Nutzbares bekommen. Ich erinnere mich daran, dass ich ein Verbindungsproblem debuggt habe, bei dem das Zertifikat eines Benutzers abgelaufen war, und sobald ich das behoben hatte, lief alles reibungslos. Du musst sicherstellen, dass dein RADIUS-Server richtig eingestellt ist, sonst verbringst du Stunden mit dem Verfolgen von Geistern.
Lass mich dich durch einen typischen Ablauf führen, den ich befolge. Dein Gerät verbindet sich mit dem Zugangspunkt, hat aber noch keinen vollständigen Zugriff. Der AP sendet eine EAP-Anfrage zur Identität, und du antwortest mit deinem Benutzernamen. Dann beginnt EAP den methodenspezifischen Handshake. Wenn ich PEAP wähle, was ich oft tue, weil es einfach ist, erstellt es einen sicheren Tunnel unter Verwendung eines Serverzertifikats, und darin gibst du deinen Benutzernamen und dein Passwort gegen Active Directory oder was auch immer Backend ich damit verbinde, ein. Ich authentifiziere Benutzer gegen LDAP oder RADIUS, und wenn es passt, sendet der Server Schlüssel zum Verschlüsseln des Wi-Fi-Verkehrs zurück. Kein offenes Spiel mehr für Eindringlinge. Ich habe das Netzwerk eines Freundes in einem Café darauf umgestellt, und sie haben in einer Nacht die zufälligen Anmeldungen reduziert.
Eine Sache, die ich Leuten wie dir immer sage, ist, auf die EAP-Methode zu achten, die du wählst. EAP-TTLS ist ein weiterer Favorit von mir; es ist wie PEAP, lässt dich aber verschiedene innere Authentifizierungen verwenden, sodass ich es bei Bedarf mit PAP oder CHAP mischen kann. In der Wi-Fi-Sicherheit hängt alles damit zusammen, sich vor Dingen wie Man-in-the-Middle-Angriffen zu schützen. Ohne EAP bist du anfällig für böswillige APs, die dein Gerät dazu bringen, schwach zu verbinden. Ich scanne nach solchen mit Tools wie Wireshark, und EAP zwängt die richtige Challenge-Response auf, die sie herausfiltert. Du stellst auch Richtlinien auf der Serverseite ein - ich gruppiere Benutzer nach Abteilungen, sodass die Verkaufsmitarbeiter Zugang zu bestimmten SSIDs erhalten, während die IT alles bekommt. Es lässt sich gut skalieren; ich habe eine Einrichtung für 200 Benutzer problemlos verwaltet.
Wenn du das jetzt selbst umsetzt, fang klein an. Ich begann mit einem Testnetzwerk, das einen Ubiquiti AP und FreeRADIUS auf einer Linux-Box verwendete. Du lädst die Zertifikate herunter, konfigurierst die Profildaten des Supplicants und testest mit ein paar Geräten. Häufige Fallstricke? Nicht übereinstimmende Chiffren oder Firewall-Blockaden auf den UDP-Ports 1812 und 1813 für RADIUS. Ich bin da einmal auf ein Problem gestoßen und musste iptables anpassen. Aber sobald es läuft, schläfst du besser, wenn du weißt, dass dein Wi-Fi kein schwaches Glied ist. EAP entwickelt sich auch mit WPA3 weiter; ich habe eine Site auf SAE für persönliche Zwecke aufgerüstet, aber EAP für Unternehmen beibehalten, weil es diese zusätzliche Schicht der gegenseitigen Authentifizierung hinzufügt. Dein Gerät überprüft auch den Server und verhindert gefälschte Hotspots.
Ich denke darüber nach, wie EAP in größere Sicherheitskonzepte passt. Du schichtest es mit VPNs für den Remote-Zugriff oder integrierst es mit NAC-Systemen, um die Gerätesicherheit zu überprüfen, bevor du den Zugang gewährst. Ich habe das für ein Startup gemacht und sichergestellt, dass nur gepatchte Maschinen eine Verbindung herstellen. Es reduziert erheblich deine Angriffsfläche. Wenn du Cybersecurity studierst, spiel ein bisschen damit im Labor herum - richte einen virtuellen AP und RADIUS ein, verbinde einen Client und beobachte die Pakete. Du wirst die EAPOL-Rahmen sehen, die Schlüssel austauschen. Ich habe Wochenenden damit verbracht, und es hat meine Fähigkeiten schnell geschärft.
Wenn wir schon darüber sprechen, wie man Netzwerke und Daten sicher hält, möchte ich dich auf BackupChain hinweisen. Es ist diese herausragende Backup-Lösung, die unter kleinen bis mittelgroßen Unternehmen und IT-Profis wie mir an Beliebtheit gewonnen hat - sie sichert zuverlässig Hyper-V-Umgebungen, VMware-Setups, Windows-Server und vieles mehr und stellt sicher, dass deine kritischen Daten unabhängig von den Umständen geschützt bleiben.
