Implementierung von WPA2-Enterprise mittels NPS – ohne Active Directory Anbindung

Als Server dient ein Windows Server 2019 Standard als Evaluation Version. Die Beschreibung ist 1:1 auch mit Server 2016 umsetzbar.

Konzept:

• Installation: NPS-Rolle auf Windows-Server
• Installation: Zertifizierungsstelle auf Windows-Server
• Alternativ: Mikrotik CA nutzen

 

Installation NPS-Rolle

Benutzergruppe RADIUS-anlegen und lokalen Zugriff verweigern:

Es wird eine Benutzergruppe „RADIUS“ für die WLAN-User angelegt, danach wird ein User angelegt und dieser Benutzergruppe zugewiesen.
Die normale „Benutzer“-Gruppe wird diesem User entzogen und per GPO wird Mitgliedern der RADIUS-Gruppe die lokale Anmeldung am Server verboten.
Danach ein gpupdate /force damit die GPO-Anpassungen auch aktiv werden.

 

Installation NPS-Rolle:

 

Konfiguration NPS:

Exemplarisch werden hier WLAN-Access-Points aus dem Netz 10.88.40.0/24 als „RADIUS-Clients“ konfiguriert. Es ist auch möglich jeden Access-Point separat anzulegen, bei größeren Installationen ist die Angabe eines Netzes aber deutlich praktischer. PEAP kann zu diesem Zeitpunkt noch nicht abschließend konfiguriert werden, da die entsprechenden Zertifikate fehlen. Die Benutzergruppe „RADIUS“ wird hinzugefügt, damit sich User dieser Gruppe per WPA2-Entperprise anmelden können.

 

Zertifizierungsstelle installieren:

Es wird von der gerade erstellten CA ein Zertifikat unter „Vertrauenswürdige Stammzertifizierungsstelle“ installiert.
Ein entsprechendes Zertifikat mit privatem Schlüssel wird auch unter „Eigene Zertifikate“ installiert.

 

PEAP final konfigurieren:

Das Zertifikat des Servers (unter „Eigene Zertifikate“) wird hier eingetragen.
Die anderen „weniger sichereren“ Authentifizierungsmethoden können abgewählt werden.

 

Finale NPS-Einstellungen:

Logging konfigurieren und genutzte Ports verifizieren.

ACHTUNG: In der Windows-Firewall die entsprechenden Ports ebenfalls freigeben!

Damit ist die serverseitige Konfiguration abgeschlossen.

 

Access Points konfigurieren:

In den Access Points wird WPA2-Enterprise konfiguriert, beispielsweise:

Access-Point

 

Mikrotik: RADIUS und das „Security Profile“ müssen separat konfiguriert werden.

 

Endgerät konfigurieren

Beispiel: Android 10, iOS und Windows* funktionieren ähnlich:

TST.222 ist der Name des entsprechenden WLANs.
Das Zertifikat der CA kann hinterlegt werden, so kann potenziellen Man-in-the-Middle Angriffsvektoren zuvorgekommen werden.
Der Username und das Passwort stammen vom ersten Schritt, als dieser User der Benutzergruppe „RADIUS“ zugewiesen wurde.

Sollten hier Fehler auftreten, im NPS nochmals alles kontrollieren! Manchmal werden Einstellungen aus dem Assistenten nicht sauber übernommen.

 

CA-Zertifikat exportieren und auf Endgerät hinterlegen

Export vom NPS-Server:

Der öffentliche Schlüssel des CA-Zertifikats wird exportiert.

 

Einbindung des Zertifikats in Android.

 

Mikrotik-CA anstatt der Windows-CA nutzen

CA als PEM (.crt + .key) und PKCS12 (.p12) exportieren (die .key-Datei wird nicht benötigt).

 

Zertifikate in Windows-Server einbinden:

WICHTIG: Das (öffentliche) Zertifikat (.crt-Datei) der CA unter „Eigene Zertifikate“ und „Vertrauenswürdige Stammzertifizierungsstellen“ einbinden.
Die .p12-Datei (privater Schlüssel) nur unter „Eigene Zertifikate“ einbinden.

 

Im NPS unter „Netzwerkrichtlinien“ das PEAP auf die neue CA umschwenken (siehe Punkt „PEAP final konfigurieren“).

 

Endgerät mit neuem CA-Zertifikat ausstatten:

 

* Sonderfall Windows

Selbst wenn unter Windows (10) das Zertifikat der CA unter „Vertrauenswürdige Stammzertifizierungsstellen“ hinterlegt ist, kommt bei der Verbindung mit dem WLAN „Verbindung weiter herstellen?“ (siehe dritter Screenshot, unten). Dies liegt daran, dass im WLAN-Profil die genutzte CA explizit definiert werden muss! Diese Einstellung würde normalerweise per GPO gesetzt werden, ohne AD-Anbindung muss diese Einstellung aber manuell vorgenommen werden. Es muss einmal die Verbindung derart hergestellt werden (sonst wird kein WLAN-Profil erzeugt).

Nach definieren der CA (unter: Drahtloseigenschaften -> Sicherheit -> PEAP – Einstellungen) wird die WLAN-Verbindung getrennt. Wird nun erneut verbunden, muss noch einmal Benutzername/Passwort eingegeben werden, eine Bestätigung der CA wird aber nicht mehr angezeigt. Bei allen weiteren Verbindungen wird ohne Benutzername/Passwort und CA-Bestätigung verbunden.