WLAN sichern mit Radius

WPA-PSK genügt zwar, um den Datenverkehr in WLANs sicher zu verschlüsseln. Mit einem Passwort für alle taugt es für Heimnetze, aber kaum für Firmen mit Dutzenden oder Hunderten Nutzern. Die kann man mit wenig Mühe mit individuellen WLAN-Passworten ausstatten, wenn schon ein Linux-Server läuft.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 16 Min.
Inhaltsverzeichnis

Beim WLAN-Einsatz in Unternehmen reicht die simple Authentifizierung über ein gemeinsames Passwort (Shared Secret) mit WPA-PSK nicht: Das Geheimnis ist bei großer Verbreitung zu schnell keines mehr. Spätestens wenn ein Kunde vorübergehend einen Zugang bekommen hat, muss man es ändern. Mit serverseitig zugeteilten Passwörtern erspart sich der Administrator viel Arbeit und Nachfragen seiner Nutzer.

Für solche Einsatzfälle ist die Spielart WPA Enterprise gedacht, bei der die WLAN-Basisstation Verbindungsanfragen von ihren Clients über das Protokoll IEEE 802.1x mit einem nachgelagerten Radius-Server aushandelt. Auf Linux-Systemen ist dazu das Open-Source-Paket Freeradius gängig. Wir schildern im Folgenden, wie man es unter Opensuse 11.2 konfiguriert und Clients unter verschiedenen Betriebssystemen einrichtet.

Freeradius steckt schon in der Alternativ-Firmware für manche preisgünstige WLAN-Router.

Eine Alternative ist der Dienst Internet Authentication Service (IAS), den Windows-Server-Versionen ab 2003 an Bord haben, unter anderem auch der Windows Home Server. Soll der Radius-Dienst unter anderen Windows-Versionen laufen, kommen fast nur kommerzielle Produkte in Betracht: In der Liste finden Sie auch den Freeware-Server Tekradius, aber dieser setzt einen SQL-Server von Microsoft voraus und ist damit nicht wirklich kostenfrei.

So konnten wir neben der Windows-Umsetzung von Freeradius keinen kostenlos nutzbaren Radius-Server auftreiben. Leider ist der Freeradius-Port auf dem veralteten Stand 1.1.7 stehen geblieben, sodass wir ihn nicht weiter in Betracht ziehen. Falls Sie partout einen Radius-Server auf Windows XP oder Windows 7 betreiben wollen, dürfte der einfachste Weg derzeit sein, ein Linux in eine virtuelle Maschine zu stecken und dort Freeradius zu installieren.

Auch wenn gar kein Server im zu schützenden Netz läuft, können Sie Radius einsetzen: Manche WLAN-Router oder -Basisstationen (Access Points) enthalten selbst einen einfachen Radius-Server, beispielsweise Modelle von Lancom Systems. Selbst preisgünstige WLAN-Router, die mit einer Alternativ-Firmware wie DD-WRT bestückt werden, können als Radius-Server fungieren.