[Gelöst] Sicherheitsniveau beim CaptivePortal mit https

[markusd]

Hallo zusammen,
bei der Einrichtung /Bearbeitung einer Zone des "Captive Portales" ist zum SSL-Zertifikat zu lesen:

"Wenn vorhanden, wird der gesamte Traffic über eine HTTPS-verbindung übertragen um vor Abhören zu schützen"

Meine evtl. naive Frage dazu:
Betrifft das nur den reinen Https-Verkehr,  z.B. bei der Eingabe des Passwortes, oder gilt dass für den gesamten Netzwerkverkehr auf dieser Schnittstelle, also auch z.B. für smb / rdp /ftp, usw...

Ich frage, weil ich aus Bequemlichkeit gerne Zugänge für WLAN über CaptivePortale bereitstellen möchte, statt z.B. Radius für alle devices einzurichten.
Aber Sicherheit geht natürlich vor

Danke schon mal für Eure Antworten!

Gruß

Markus

[mimugmail]

Das gilt nur für die Anmeldung am CP

[markusd]

Ok, danke.!
Bedeutet: für ernsthafte "Übertragungssicherheit"  bei zentraler Authentifizierung ist Radius inklusive Zertifikatsübertragung zum Client ein muss..
Fällt Dir auf Anhieb eine Alternative ein?

Danke
Gruß

Markus

[mimugmail]

Ich check gerade nicht wie du auf Radius kommst. Was genau hast du denn vor?

[markusd]

Guten morgen.
Ok, habs nicht genau genug erklärt.
Es handelt sich um ein Firmennetzwerk.
Dort möchte ich an mehreren Standorten bzw. in verschiedenen Abteilungen / Räumlichkeiten:

a:
Mitarbeitern u. Kunden Zugang zum Internet über W-Lan zur Verfügung stellen.
Mittels CaptivePortal, https-Verschlüsselung, Authentifizierung über Voucher oder aus dem AD /Ldap - Backend kein Problem und wohl sicher genug

b:
Einigen Mitarbeitern Zugang über W-Lan auf interne Ressourcen, z.B. smb, rdp, ...gewähren.
Ich dachte, CP wäre hier ebenfalls eine gute Idee, aber wenn dort keine Abhörsicherheit gegeben ist, dann lieber gleich das W-Lan direkt verschlüsseln.
PresharedKey finde ich ungünstig zu pflegen , also WPA-Enterprise mit Radius-Authentifizierung, backend dann wieder AD/LDAP
Ich habe mich damit noch nicht intensiv genug beschäftigt aber es scheint ja, dass man einen Weg benötigt, die Zertifikate auf unterschiedliche Clients zu bekommen und da befürchte ich etwas Aufwand.
Je nach Sicherheitsbedürfnis reicht es ja vielleicht auch aus,  hier auf letsencrypt-Zertifikate zurückzugreifen.
Mache ich da einen Denkfehler?

Gruß
Markus

[mimugmail]

- 2 getrennte WLANs, CP für Gäste, WPA2 Enterprise für Mitarbeiter
- Anbindung an Radius (NPS) mit selbstsignierten Zertifikat und EAP-PEAP
- Keine LE Zertifikate

[markusd]

- 2 getrennte WLANs, CP für Gäste, WPA2 Enterprise für Mitarbeiter
OK!

- Anbindung an Radius (NPS) mit selbstsignierten Zertifikat und EAP-PEAP
Kein WindowsServer da, freeradius von der sense müsste auch gehen, ja?

- Keine LE Zertifikate
OK!

Danke!
Markus

[mimugmail]

Wenn du FR von OPN nimmst, dann geht nur lokal am Radius gepflegte User. Wenn das für dich OK ist, super einfache Lösung

[markusd]

Nee, ich wollte eigentlich aufs LDAP zugreifen....

[mimugmail]

Radius auf Windows LDAP geht mit EAP nicht. Der LDAP Connector  Radius geht nur für OpenVPN o.ä.

[markusd]

Ok,
Ich habe nun zwischenzeitlich den schon vorhandenen Radius-Server auf meinem samba-ad-dc wieder aktiviert.
Damit funktionierte dann auch das mschap gegen das ad.
Dazu ist es aber nötig, mschapv2/also auch teilweise ntlmv1 zu aktivieren, das ist zwar gängig, behagt mir aber auch nicht so richtig.
 
Letztendlich habe ich reines eap-tls getestet und stelle gerade fest, dass das ja auch mit OPNsense geht!
War mir erst nicht so ersichtlich.
Prima!
Muss ich mal überlegen, wie ich am geschicktesten die Zertifikate verteile, aber so viele Clients werden es nicht werden.


Danke noch mal für die Info & den Support!

Gruß
Markus