V.4.1. Vorteile von Radius-Server gegenüber Hot-Spot

Der Radius-Server, so wie er in logoDIDACT Linux integriert ist, bietet im Vergleich zum HotSpot einige Vorteile.

V.4.1.1. Authentifizierung VOR dem Zugang zum Netz

Um zu verstehen, was damit gemeint ist, sei hier vielleicht kurz erklärt, wie der Kommunikationsaufbau beim Hotspot funktioniert. Dort erhält der Client, also z.B. ein privates Lehrer-Notebook, über den AccessPoint eine IP-Adresse vom DHCP-Server und landet danach auf einem Anmeldeportal, wenn man den Browser öffnet. Das bedeutet also, dass man dort schon mal nicht verhindern kann, dass ein fremder Rechner eine IP bekommt.

Bei der Verwendung von Radius (WPA2-Enterprise) sieht das genau umgekehrt aus. Der erste Kontakt vom Notebook zum AccessPoint besteht darin, dass der AccessPoint sofort eine Benutzeranmeldung (Authentifizierung) von Ihnen verlangt, die er anschliessend verschlüsselt in Radius-Paketen zum Radius-Server sendet. Der Radius-Server ist an die Benutzerdatenbank des logoDIDACT® Servers angekoppelt und sofern die Benutzeranmeldung stimmt, gewährt der AccessPoint den Zugang. Erst JETZT wird eine Kommunikation zwischen Server und Arbeitsstation aufgebaut und der Client erhält eine IP-Adresse.

Als Angreifer ist es also schon einmal grundlegend nicht ganz einfach, ins Netz zu gelangen.

V.4.1.2. Dynamische Schlüssel

Bei einer klassischen Einrichtung, d.h. ohne Hotspot oder Radius-Server verwendet man eine möglichst gute Verschlüsselung und auch einen vernünftigen, d.h. hinreichend komplexen Schlüssel. Sollen aber private Lehrer-Notebooks Zugang zum WLAN Netz bekommen, muss man den Schlüssel natürlich denjenigen Benutzern bekannt machen. In der Praxis führt das relativ schnell dazu, dass der Schlüssel vielen Personen bekannt ist, was sich kaum vermeiden und schon gar nicht kontrollieren lässt. Ein ähnliches Problem hat man auch beim logoDIDACT® Hot-Spot, wenn man diesen im internen Netzwerk betreibt (also nicht über eine separate Netzwerkkarte im Server und einen separaten Netzwerkstrang für die AccessPoints). Dort sollte man den Hot-Spot-Zugang auch dringend durch einen WLAN-Schlüssel schützen und nicht komplett offen betreiben.

Bei Verwendung von Radius ist auch das Thema WLAN-Schlüssel grundlegend anders und jeder Client bekommt einen eigenen individuellen Sitzungs-Schlüssel. Damit ist das Ab- oder Mithören des Datenverkehrs von WLAN-Verbindungen quasi ausgeschlossen.

V.4.1.3. Verwendung von Zertifikaten und Client Isolation für höchste Sicherheit

Bei der Verwendung über einen Radius-Server besteht noch eine mögliche Lücke für einen Angriff, wobei dieser schon tiefgehendes Know-How voraussetzt. Ähnlich wie beim so genannten Phishing im Internet, bei dem der ahnungslose Benutzer nur denkt, dass er z.B. im Online-Banking Portal seiner Bank wäre und in Wirklichkeit aber getäuscht wird (der Angreifer hängt sich zwischen Endkunde und Bank und greift oder "fischt" dabei die Benutzerdaten ab), ist dieses Szenario ("Man-in-the-middle") auch bei WLAN denkbar.

Wenn man auch diese Lücke noch schliessen möchte, kann man dies tun, indem man mit einem Zertifikat arbeitet. Der logoDIDACT® Server beinhaltet bereits ein Zertifikate-Server und per Standard gibt es auch ein Zertifikat für den Server, das man verwenden kann.

Durch Verwendung dieses Zertifikates auf einem privaten Notebook, kann man sich dann zu 100% sicher sein, dass man tatsächlich mit "seinem" Server arbeitet.

Die letzte Lücke kann man nur schließen, wenn der WLAN-AccessPoint die entsprechende Option AP Isolationanbietet. Sofern man dann ein Zertifikat hat und auch einen Benutzerzugang, kommt man zwar bis zum AccessPoint aber trotzdem nicht auf andere Geräte, die den gleichen Weg gehen.


Version 15.2.19.648 PDF-Version