Mein heutiger Blogbeitrag beschreibt die Einrichtung des Wifis über IEEE802.1x.

In Folge der Inbetriebnahme unserer Raspberries Pi3B+ kam es zu der Einrichtung per Wifi.

IEEE802.1x ist ein Authentifizierungsverfahren, welches die Zugangskontrollen in lokalen Netzwerken regelt. PEAP ist die Erweiterung des EAP Protokolls. Das PEAP Protokoll (Potected Extensible Authentication Protocol) ist Kern des IEEE802.1x. Dadurch kommt es auf der Schicht 2 des OSI-Schichtenmodells zum Austausch von Authentifizierungsnachrichten. PEAP wird als Frage-Antwort-Methode genutzt, die Authentifizierungsdaten zwischen User und Server austauscht.

Bevor wir mit PEAP-MSCHAP v2 beginnen erkläre ich kurz was denn PEAP ist.

PEAP (Protected Extensible Authentication Protocol)

PEAP nutzt andere Authentifizierungsprotokolle für Clients, ähnelt dabei jedoch EAP-TTLS. Beide führen anhand von Serverzertifikaten eine gegenseitige Authentifizierung durch, welche über einen verschlüsselten TLS-Tunnel läuft. Der Client, welcher PEAP nutzt kann seine Login-Daten weiterhin so benutzen, jedoch muss der Authentifizierungsserver sowohl EAP als auch ältere Authentifizierungsprotokolle auflösen können.

PEAP-MSCHAP v2 (PEAP-Microsoft Challenge Handshake Protocol)

Bei dieser Methode wird die Benutzeranmeldung unter Windows weitergeleitet und durch ein Verzeichnisdienst, welches bei uns das Active Directory ist, authentifiziert.

Im Vergleich zu dem üblichen EAP läuft PEAP bei der Übergabe der Authentifizierungsinformationen über einen verschlüsselten TLS-Tunnel (Transport Layer Security). Damit auch sicher gegangen werden kann, dass es die richtige Gegenstelle ist wird der Server mit einem digitalen Zertifikat versehen. Dadurch erhält, bezogen auf unser Beispiel, jeder AP einen eigenen Schlüssel.

Wird in Verbindung mit PEAP auch TKIP (Temporal Key Integrity Protocol) genutzt, dann ist der entsprechende Schlüssel nur für eine begrenzte Zeit gültig.

Anhand des Bildes wird der allgemeine Ablauf der Authentifizierung ersichtlicher. Der User möchte das WLAN nutzen. Daraufhin schickt der Client eine Anfrage an den Access Point. Dieser bittet im nächsten Schritt darum, dass er sich identifiziert. Die Identifikation geht daraufhin nochmal vom Client aus, welcher die Logindaten für das entsprechende Netzwerk eingibt. Diese Angaben werden daraufhin an den Server weitergeleitet, der die Daten überprüft. Bei falscher Angabe wird um die neue Eingabe der Logindaten gebeten. Sind sie korrekt so sendet der Server an den Access Point ein Master Secret. Dieser erhält nur der AP und gibt im Gegenzug einen Sitzungsschlüssel an den Client weiter. Ab diesem Zeitpunkt kommt es zum Datenverkehr, da der Client das WLAN nutzen kann.

Während der Nutzung des WLANs kommt es regelmäßig dazu, dass der Access Point einen neuen Sitzungsschlüssel an den Client weitergibt und unter diesem neuen Schlüssel dann der Datenverkehr weiterläuft. Der User selbst merkt von einem solchen Austausch des Sitzungsschlüssels nichts. 

Um den Zugriff nun auf Seiten des Raspberrys zu genehmigen  muss die Datei wpa_supplicant.conf geöffnet werden.

Dies lässt sich wieder über den Befehl vi ausführen:

Im Folgenden haben wir innerhalb dieser Datei diese Anpassungen vorgenommen:

Nach Verlassen der Datei unter der Eingabe von :wq werden die Änderungen übernommen. Dann ist die Verbindung mit dem AD und dadurch auch mit dem WLAN vorhanden.

Nachdem nun die WLAN-Verbindung funktioniert, findet ihr im kommenden Artikel alles Weitere zu der Einrichtung des Raspberry Pi 3B+ und der Implementierung von Monitoring Dashboards.

 

Jessica Müller

Jessica Müller

Auszubildende

Wer Jessica kennenlernt bekommt schnell den Eindruck, dass sie geboren wurde um Hindernisse zu überwinden. Egal ob beim Klettern, Tanzen, oder Motorradfahren. Wen wundert‘s, dass sie mit demselben Ehrgeiz auch die Ausbildung in einer klassischen Männerdomäne anpackt: Geht nicht, gibt’s nicht!

Gefällt dir der Artikel? Bitte teile ihn!
Share on Facebook
Facebook
0Share on LinkedIn
Linkedin
Email this to someone
email
Tweet about this on Twitter
Twitter