Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
[Gelöst] Sicherheitsniveau beim CaptivePortal mit https
« previous
next »
Print
Pages: [
1
]
Author
Topic: [Gelöst] Sicherheitsniveau beim CaptivePortal mit https (Read 3417 times)
markusd
Newbie
Posts: 27
Karma: 2
[Gelöst] Sicherheitsniveau beim CaptivePortal mit https
«
on:
October 17, 2019, 06:13:44 pm »
Hallo zusammen,
bei der Einrichtung /Bearbeitung einer Zone des "Captive Portales" ist zum SSL-Zertifikat zu lesen:
"Wenn vorhanden, wird der gesamte Traffic über eine HTTPS-verbindung übertragen um vor Abhören zu schützen"
Meine evtl. naive Frage dazu:
Betrifft das nur den reinen Https-Verkehr, z.B. bei der Eingabe des Passwortes, oder gilt dass für den gesamten Netzwerkverkehr auf dieser Schnittstelle, also auch z.B. für smb / rdp /ftp, usw...
Ich frage, weil ich aus Bequemlichkeit gerne Zugänge für WLAN über CaptivePortale bereitstellen möchte, statt z.B. Radius für alle devices einzurichten.
Aber Sicherheit geht natürlich vor
Danke schon mal für Eure Antworten!
Gruß
Markus
«
Last Edit: October 25, 2019, 10:58:07 am by markusd
»
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: Sicherheitsniveau beim CaptivePortal mit https
«
Reply #1 on:
October 17, 2019, 08:27:06 pm »
Das gilt nur für die Anmeldung am CP
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
markusd
Newbie
Posts: 27
Karma: 2
Re: Sicherheitsniveau beim CaptivePortal mit https
«
Reply #2 on:
October 17, 2019, 08:56:21 pm »
Ok, danke.!
Bedeutet: für ernsthafte "Übertragungssicherheit" bei zentraler Authentifizierung ist Radius inklusive Zertifikatsübertragung zum Client ein muss..
Fällt Dir auf Anhieb eine Alternative ein?
Danke
Gruß
Markus
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: Sicherheitsniveau beim CaptivePortal mit https
«
Reply #3 on:
October 18, 2019, 06:10:49 am »
Ich check gerade nicht wie du auf Radius kommst. Was genau hast du denn vor?
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
markusd
Newbie
Posts: 27
Karma: 2
Re: Sicherheitsniveau beim CaptivePortal mit https
«
Reply #4 on:
October 18, 2019, 08:55:54 am »
Guten morgen.
Ok, habs nicht genau genug erklärt.
Es handelt sich um ein Firmennetzwerk.
Dort möchte ich an mehreren Standorten bzw. in verschiedenen Abteilungen / Räumlichkeiten:
a:
Mitarbeitern u. Kunden Zugang zum Internet über W-Lan zur Verfügung stellen.
Mittels CaptivePortal, https-Verschlüsselung, Authentifizierung über Voucher oder aus dem AD /Ldap - Backend kein Problem und wohl sicher genug
b:
Einigen Mitarbeitern Zugang über W-Lan auf interne Ressourcen, z.B. smb, rdp, ...gewähren.
Ich dachte, CP wäre hier ebenfalls eine gute Idee, aber wenn dort keine Abhörsicherheit gegeben ist, dann lieber gleich das W-Lan direkt verschlüsseln.
PresharedKey finde ich ungünstig zu pflegen , also WPA-Enterprise mit Radius-Authentifizierung, backend dann wieder AD/LDAP
Ich habe mich damit noch nicht intensiv genug beschäftigt aber es scheint ja, dass man einen Weg benötigt, die Zertifikate auf unterschiedliche Clients zu bekommen und da befürchte ich etwas Aufwand.
Je nach Sicherheitsbedürfnis reicht es ja vielleicht auch aus, hier auf letsencrypt-Zertifikate zurückzugreifen.
Mache ich da einen Denkfehler?
Gruß
Markus
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: Sicherheitsniveau beim CaptivePortal mit https
«
Reply #5 on:
October 18, 2019, 04:19:12 pm »
- 2 getrennte WLANs, CP für Gäste, WPA2 Enterprise für Mitarbeiter
- Anbindung an Radius (NPS) mit selbstsignierten Zertifikat und EAP-PEAP
- Keine LE Zertifikate
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
markusd
Newbie
Posts: 27
Karma: 2
Re: Sicherheitsniveau beim CaptivePortal mit https
«
Reply #6 on:
October 18, 2019, 04:39:24 pm »
- 2 getrennte WLANs, CP für Gäste, WPA2 Enterprise für Mitarbeiter
OK!
- Anbindung an Radius (NPS) mit selbstsignierten Zertifikat und EAP-PEAP
Kein WindowsServer da, freeradius von der sense müsste auch gehen, ja?
- Keine LE Zertifikate
OK!
Danke!
Markus
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: Sicherheitsniveau beim CaptivePortal mit https
«
Reply #7 on:
October 18, 2019, 05:10:31 pm »
Wenn du FR von OPN nimmst, dann geht nur lokal am Radius gepflegte User. Wenn das für dich OK ist, super einfache Lösung
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
markusd
Newbie
Posts: 27
Karma: 2
Re: Sicherheitsniveau beim CaptivePortal mit https
«
Reply #8 on:
October 18, 2019, 05:16:23 pm »
Nee, ich wollte eigentlich aufs LDAP zugreifen....
Logged
mimugmail
Hero Member
Posts: 6766
Karma: 494
Re: Sicherheitsniveau beim CaptivePortal mit https
«
Reply #9 on:
October 18, 2019, 06:36:25 pm »
Radius auf Windows LDAP geht mit EAP nicht. Der LDAP Connector Radius geht nur für OpenVPN o.ä.
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
markusd
Newbie
Posts: 27
Karma: 2
Re: Sicherheitsniveau beim CaptivePortal mit https
«
Reply #10 on:
October 24, 2019, 04:17:46 pm »
Ok,
Ich habe nun zwischenzeitlich den schon vorhandenen Radius-Server auf meinem samba-ad-dc wieder aktiviert.
Damit funktionierte dann auch das mschap gegen das ad.
Dazu ist es aber nötig, mschapv2/also auch teilweise ntlmv1 zu aktivieren, das ist zwar gängig, behagt mir aber auch nicht so richtig.
Letztendlich habe ich reines eap-tls getestet und stelle gerade fest, dass das ja auch mit OPNsense geht!
War mir erst nicht so ersichtlich.
Prima!
Muss ich mal überlegen, wie ich am geschicktesten die Zertifikate verteile, aber so viele Clients werden es nicht werden.
Danke noch mal für die Info & den Support!
Gruß
Markus
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
[Gelöst] Sicherheitsniveau beim CaptivePortal mit https