Chromebook und WLAN Enterprise

[DerComputerboss]

Guten Mittag und hallo liebes Forum

ich habe vor längerer Zeit WLAN WPA2 Enterprise mit RADIUS an meiner Dream Machine Pro eingerichtet. Bisher gab es nur Apple Geräte, welche unkompliziert mit RADIUS Benutzername und Passwort eine Verbindung herstellen konnten.
Heute sollte ein Chromebook hinzukommen.

Bei der Auswahl des WLANs musste ich eine EAP Methode auswählen, leider hatte mich Google und YouTube nicht wirklich weiter gebracht, so dass ich rumprobiert habe..... Zuerst hatte ich den Standardwert LEAP gelassen. Und dann Benutzername und Passwort eingegeben, das hatte leider keinen Erfolg.

Dann hatte ich auf PEAP gestellt und Authentifizierung auf automatisch und wieder Benutzername und Passwort eingegeben, dies hat leider auch nicht funktioniert.

Schlussendlich hatte ich dann PEAP und MSCHAPv2 ausgewählt sowie dass das Zertifkat nicht überprüft werden soll, das hat jetzt funkioniert.

Meine Fragen, durch vorheriges rumprobieren kann ja nichts Sicherheitsrelevantes passiert sein oder, wie Übertragung des Passworts unverschlüsselt etc? Wäre ja auch nur zum eigenen Router und unkritisch oder?
Ist die aktuelle Methode PEAP und MSCHAPv2 das beste und sicherste? Es gäbe auch noch EAP-TLS und EAP-TTLS zur Auswahl, wären diese Methoden sicherer?

Anbei nochmal zwei Screenshots. Die restlichen Felder wie Domain und subject Match habe ich leer gelassen.

Viele Grüße und einen schöneb Feiertag euch allen

 

[esb315]

Die EAP-Methode legst auf dem RADIUS fest, also der Dream machine. Dort findest du heraus was du auf dem Chromebook einstellen musst.

 

[norKoeri]

kann ja nichts Sicherheitsrelevantes passiert sein oder, wie Übertragung des Passworts unverschlüsselt etc? Wäre ja auch nur zum eigenen Router und unkritisch oder?

Beide Fragen sind wirklich eher etwas für Stack-Exchange. Und tatsächlich ist Deine zweite Frage dort bereits Thema …

Die andere Frage: Die Passwort-Aushandlung kann man mitschneiden und sich theoretisch speichern und Jahre lang versuchen oder irgendwann wenn gebrochen, dann brechen. Daher sind PFS-basierte Verfahren von Vorteil. Bei PEAP, TTLS und TLS kommen solche Verfahren zum Einsatz, wenn der RADIUS-Server PFS-basierte TLS-Cipher-Suites anbietet. Das war das Angriffsszenario „passiver Lauscher in der Nachbarschaft“.

das Zertifkat [soll] nicht überprüft werden

Du weißt dann nicht, ob Du wirklich mit Deinem WLAN-Access-Points sprichst. Das kann ein aktiver Angreifer ausnutzen, indem er einen WLAN-Access-Point aufbaut, der genauso eingestellt ist aber stärker strahlt, wie Deiner. Daher brauchst Du Dich um die anderen EAP-Verfahren keinen Kopf zu machen, solange Du das nicht änderst.

Leider bietet Google kein TOFU und bei noch neueren Chrome OS bzw. Android-Versionen muss man sogar den Hostname aus dem Zertifikat angeben. Die Usable-Security-Community schüttelt seit Jahren den Kopf darüber. Letzt hatte ich auch eine wissenschaftliche Veröffentlichung dazu in den Händen … Du merkst vielleicht, Dein Themengebiet hier ist gar nicht so einfach, wenn selbst Google damit überfordert ist … wenn Du willst, suche ich die Veröffentlichung nochmal raus.

 

[DerComputerboss]

Die EAP-Methode legst auf dem RADIUS fest, also der Dream machine. Dort findest du heraus was du auf dem Chromebook einstellen musst.

Muss ich direkt mal nachschauen, jetzt bin ich ja im gleichen WLAN der PC macht leider akuell Probleme, deshalb hatte ich da noch nicht nachgeschaut.

Die andere Frage: Die Passwort-Aushandlung kann man mitschneiden und sich theoretisch speichern und Jahre lang versuchen oder irgendwann wenn gebrochen, dann brechen. Daher sind PFS-basierte Verfahren von Vorteil. Bei PEAP, TTLS und TLS kommen solche Verfahren zum Einsatz, wenn der RADIUS-Server PFS-basierte TLS-Cipher-Suites anbietet. Das war das Angriffsszenario „passiver Lauscher in der Nachbarschaft“.

Hmm, da müsste es aber sozusagen einen AP in der Nachbarschaft geben, welcher den gleichen Namen hat oder wo mein Chromebook sich dann verbinden will.

Du weißt dann nicht, ob Du wirklich mit Deinem WLAN-Access-Points sprichst. Das kann ein aktiver Angreifer ausnutzen, indem er einen WLAN-Access-Point aufbaut, der genauso eingestellt ist aber stärker strahlt, wie Deiner. Daher brauchst Du Dich um die anderen EAP-Verfahren keinen Kopf zu machen, solange Du das nicht änderst.

Bei iOS Geräten kann ich mir bei Verbindungsaufbau das Zertifikat, welches von der Unifi Dream Machine Pro selbst erstellt wurde ansehen, bei meinem Chromebook hatte ich das nicht gefunden. Es müsste dann aber so sein, das ich garkein Internet hätte oder, weil wenn es in der Nachbarschaft einen AP gibt mit WLAN ENterprise und meiner SSID, dann hätte er ja nicht den gleichen Benutzernamen und Passwort oder? Oder könnte er sich als verschlüsselt Tarnen und eigentlich offen sein und Benutzername und Passwort mitsniffern?

Dadurch, dass man neben dem Passwort noch einen Benutzernamen benötigt, dachte ich wäre es sicherer WPA Enterprise zu verwenden.

Sehe auch, dass es mein Subnetz ist und mein Adguard etc. also bin ich ja 100% mit meinem Netzwerk verbunden würde ich sagen. Ging mir nur darum, ob ich Informationen unverschlüsselt übertragen habe, aber das wäre ja auch nur zu meinem Access point hmm. Ja wirklich alles nicht so leicht..

Vielen herzlichen Dank euch beiden schonmal für eure Antworten und einen schönen Abend

 

[norKoeri]

da müsste es aber sozusagen einen AP in der Nachbarschaft geben, welcher den gleichen Namen hat

Genau, ein Rogue-Access-Point. Wenn Du kein PMF aktiv hast, kann der Dich auch über Deauthentication auf seinen WLAN-Access-Point locken.

Muss ich direkt mal nachschauen

Jein. Der RADIUS-Server kann mehrere verschiedene Methoden anbieten. Der WLAN-Client pickt sich dann seine bevorzugte Methode heraus bzw. klappert alle ab, bis sie passen. So macht das Apple. Google hat hier ein Open-Source-Projekt übernommen und sich nicht weiter um die Software-Usability gekümmert.

Bei iOS Geräten kann ich mir bei Verbindungsaufbau das Zertifikat […]

Genau, das ist das erwähnte TOFU. Du kannst auch das Zertifikat von einer öffentlichen Stelle kaufen. Hast dann aber Problem, dass sich niemand überlegt hat, wie der Hostname validiert werden muss. Apple macht auch dann TOFU.

hätte er ja nicht den gleichen Benutzernamen und Passwort oder?

Du fragst in einem öffentlichen Web-Forum nach einem Gutachten zu IT-Security, jetzt schon der vierte Aspekt. Der Rogue-Access-Point kann einfach eine Wildcard nehmen und alle Benutzernamen und Passwörter erlauben. Fun-Fact: Das Passwort liegt dabei nicht im Klartext vor (seihe weiter unten).

Dadurch […] dachte ich wäre es sicherer WPA Enterprise zu verwenden.

WPA-Enterprise (über PEAP, TTLS oder TLS mit der entsprechenden TLS-Cipher-Suite) erlaubt schon seit Jahren PFS, also bevor WPA3-SAE aufkam. Das ist der Sicherheitsvorteil (gewesen). Ein weiterer Vorteil ist, dass Du leichter das Kennwort ändern kannst; Du musst nicht alle WLAN-Geräte gleichzeitig ändern, sondern nur jenen Benutzername, bei dem Du vermutest gehackt zu sein. Vorausgesetzt jeder WLAN-Client bekommt seinen eigenen Benutzernamen.

Sehe auch, dass es mein Subnetz ist und mein Adguard etc. also bin ich ja 100% mit meinem Netzwerk verbunden würde ich sagen.

Fünfter Aspekt. Theoretisch könnte der Rogue-Access-Point sich bei Deinem Access-Point einwählen und Dich so in Sicherheit wägen. Aber ich müsste jetzt nachschauen, ob das mit Google Chrome so einfach geht, also ob wirklich Dein Passwort geleakt sein könnte:

LEAP

… wie geschildert, wäre das eine Frage für Stack-Exchange. Die Wikipedia zu LEAP liest sich nicht schön … ganz am Ende ist dort ein fertiges Tool.

 

[DerComputerboss]

Vielen herzlichen Dank die für deine umfassende Antwort
Ich denke, dass soweit alles sicher ist. Habe mein Passwort nochmal geändert und Google zeigt ja schön jeden Login auf, welcher stattgefunden hat.

 

[norKoeri]

Jetzt bin ich aber neugierig: Google? Du meinst UniFi und dessen Controller-Oberfläche. Oder meinst Du die Quell-IP unter Recent security activity in Deinem Google-Konto?

 

[DerComputerboss]

Im Google Konto, kann man unter Sicherheit sehen, an welchem Gerät man sich anmeldet und ob das Passwort geändert wurde etc. das ist eine feine sache, zumindest angemeldet hat sich durch diese schöne Sicht, niemand