FreeRadius - Generelle Fragen

saveLAN

Member
Hallo,

zur dynamischen Netzwerksegmentierung gibt es das Tool Freeradius. Es ist auch in der OPNsense Installation bereits enthalten.
Mein Ziel ist es meine Geräte automatisch in die vordefinierten VLANs einzureihen egal an welcher Netzwerkdose sie angeschlossen werden und eine Authentifizierung der Außenkameras mittels 802.1X zu realisieren.
Dazu hätte dazu ein paar grundlegende Fragen.
  1. Ist es besser eine Authentifizierung über einen Benutzer oder die Gerätekennung (z.B.. MAC) durchzuführen?
  2. Würdet ihr beim WLAN für die entsprechenden VLANs separate SSIDs erstellen oder besser es mit einer SSID und per Radius lösen?
  3. Wie löst man die Authentifizierung am besten bei den Außenkameras? WICHTIGSTER Punkt
  4. Und würdet ihr das Freeradius Plugin in der OPNsense nutzen oder besser Freeradius auf einer separaten VM aufsetzten?
 
Auf der einen Seite kann man eine MAC spoofen, auf der anderen Seite kann ein Benutzerkonto komprimittiert werden. Bei der MAC kommt es aber auch darauf an, ob der Port bei der falschen MAC instant dicht gemacht wird (was zu bevorzugen wäre).

Ich habe hier pro SSID ein eigenes WLAN laufen, da die unterschiedlichen SSIDs unterschiedliche Zwecke haben und über verschiedene Netze lässt sich das (meiner Meinung nach) einfacher managen.

Was die Cams angeht, so kommt es wohl darauf an, was die Cams unterstützen.

Ich würde die Authentifizierung im besten Fall auf einer extra VM aufsetzen (dann ist man auch nicht so abhängig von der OPNsense). Fällt dann die Firewall mal aus (aus was für Gründen auch immer) funktioniert zumindestens noch das WLAN und man kann ggf. auf das heimische NAS o.ä. zugreifen, um in die IT-Doku zu schauen (dieser Umstand wird auch gern mal vergessen) ☺️
 
Auf der einen Seite kann man eine MAC spoofen, auf der anderen Seite kann ein Benutzerkonto komprimittiert werden. Bei der MAC kommt es aber auch darauf an, ob der Port bei der falschen MAC instant dicht gemacht wird (was zu bevorzugen wäre).
OK, danke, dann weiß ich hier schon mal Bescheid und werde darübe rnachdenken.

Ich habe hier pro SSID ein eigenes WLAN laufen, da die unterschiedlichen SSIDs unterschiedliche Zwecke haben und über verschiedene Netze lässt sich das (meiner Meinung nach) einfacher managen.
OK, dann mache ich das auch so! :) Macht die Sache bestimmt übersichtlicher wie du schon sagst!

Was die Cams angeht, so kommt es wohl darauf an, was die Cams unterstützen.
Im Datenblatt steht: Netzwerk-Zugriffskontrolle nach IEEE 802.1x (EAP-TLS)
Müsste dann mit Radius als Client funktionieren oder?
 

Letzte Anleitungen

Statistik des Forums

Themen
4.383
Beiträge
45.263
Mitglieder
3.984
Neuestes Mitglied
Blitzkriegbob90
Zurück
Oben