Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellen
Es gibt 5 Antworten in diesem Thema, welches 2.466 mal aufgerufen wurde. Der letzte Beitrag () ist von amaskus.
Ich wollte diese Frage WPA2 oder WPA2-Enterprise in den Raum stellen, weil ich mir noch nicht ganz schlüssig bin, warum WPA2-Enterprise sich nicht durchsetzt, obwohl die Konfig bei Ubiquiti doch recht einfach ist und Enterprise sicherer zu sein scheint - oder täusch ich mich?
Dank Apple kann man ja das WPA2 Passwort recht einfach sharen und so wäre diese Frechheit aus der Welt.
Naja der Hauptunterschied ist ja
WPA2: Passwort
WPA2-Enterprise: Benutzername und eigenes Passwort
Wenn es um die Weitergabe geht ist es ja egal ob du nur das Passwort (sei es via Sharing oder händisch) oder deinen Benutzernamen und das PW weitergibst.
Wenn du die Weitergabe von Zugangsdaten unterbinden bzw unbrauchbar machen willst kannst du eigentlich effektiv nur mit MAC Filterung arbeiten (dann aber aufpassen das private MAC Adressen auf den Geräten ausgeschaltet ist)
WPA2-Enterprise ist ja eigentlich für Firmen gedacht um es an die bestehende Nutzerverwaltung, mittels RADIUS, anzubinden.
Das Problem was du beschreibst ist mMn aber unabhängig von der gewählten Wifi Verschlüsselung. Auch WPA3 Passwörter lassen sich weitergeben.
Bei mir war das Problem, dass jemand der nicht zur Familie, gehört einfach das unbeaufsichtigte Handy meiner Frau genommen und das Sharing heimlich veranlasst hat.
Mein WPA Passwort hat die maximal Länge, das will/kann man nicht so schnell abtippen 
Aber noch 2 andere Fragen.
1. Kann man einen User der zB 3x das falsche "Radius" PW angegeben hat blocken (zB auf die blocklist mit seiner MAC setzen)
2. bei Falscheingabe wird das geloggt und gemeldet?
Gerade dabei würde ich mit MAC Whitelisting arbeiten.
Nur die dort hinterlegten Geräte dürfen das Wifi nutzen - der Rest kann sich auch mit dem passenden Kennwort nicht verbinden.
Zu deinen Fragen:
1. eher ist es so, dass der Account gesperrt wird, ob das Unifi kann weiß ich nicht evtl muss du da einen eigenen RADIUS (zB aufm NAS) einrichten
2. bei UI sollte das evtl irgendwo im Wifi log stehen (evtl alte GUI) - bei den NAS kann das für den RADIUS auch abgelegt werden
Ob ich Radius nur deswegen Privat verwenden würde kann ich nicht sagen - Mein Vater filtert sein Wifi seit Jahren via MAC Adresse
Schneller geht definitiv die MAC Filterung als erst ein RADIUS usw aufzusetzen IMHO
Bei mir war das Problem, dass jemand der nicht zur Familie, gehört einfach das unbeaufsichtigte Handy meiner Frau genommen und das Sharing heimlich veranlasst hat.
Dann sollte deine Frau mal ihr Handy besser schützen 
- sorry den konnte ich mir nicht verkneifen.
Nun MAC Filtern halte ich für keine gute Idee.
1. Neuerdings kann man (zum Glück) die MAC beim ios verschleiern lassen, dh sie wird geändert und das "Original" wird verborgen. Das find ich gut, denn wenn ich im Supermarkt einkaufe, dann geht die das einen SchPEEEPdreck an, wann wie wohin und wie oft usw ich in deren Laden rumspaziere und wo ich mich aufhalte.
2. Wenn ich die "original" MAC beschaffe oder kenne etc. dann ist die Show auch wieder vorbei.
3. Bei - sage wir doch mal - bei WPA2 ist deshalb kacke, weil die Clients IMMER und ALLE mit dem selben PMK arbeiten und somit recht viel verschlüsselten traffic produzieren, was ein Angreifer "nett" findet.
Beim Enterprise ist nur ne Kleinigkeit anders, mit grosser Auswirkung. Der Client verbindet/verhandelt und authentifiziert mit dem AP der leitet das hardcore verschlüsselt an den RADIUS. Der RADIUS authet den Client und schenkt ihm - bei erfoglreicher Authentifizierung - einen ZUFALLS 256bit PMK um den traffic für nur diese einzelne session zu gewähren, dh der ändert sich dann bei jedem login.
Netter Nebeneffekt, man kann seine EX rauswerfen und man muss nicht den Aufwand betreiben, den WPA2 in jedem Gerät zu ändern. Man muss nur ihren RADIUS login austragen
1. Neuerdings kann man (zum Glück) die MAC beim ios verschleiern lassen, dh sie wird geändert und das "Original" wird verborgen. Das find ich gut, denn wenn ich im Supermarkt einkaufe, dann geht die das einen SchPEEEPdreck an, wann wie wohin und wie oft usw ich in deren Laden rumspaziere und wo ich mich aufhalte.
Das stellst du ja pro WLAN ein - mein Heimnetz habe ich davon ausgenommen, eben damit er sich nicht bei jedem mal mit ner neuen MAC anmeldet und mir die DHCP liste vollspamt.
2. Wenn ich die "original" MAC beschaffe oder kenne etc. dann ist die Show auch wieder vorbei.
Stimmt wohl, aber das ist mMn eine eher unrealistische Gefahr bei von Ich nutze eine bekannte iOS Funktion zum teilen von Wifi Passwörtern zu ich spoofe mir eine MAC Adresse.
Zu 3. klar Aufwand/nutzen - für ein Firmen netz ok aber Privat ist die allgemeine Bedrohungslage ne andere denke ich.
Ich für mich schließe auch nicht aus, dass ich evtl irgendwann ein WPAX-Enterprise Netz habe, aber eher aus Interesse zur Materie und weil ich mich auch mit AD und Co beschäftige.
Versteh mich nicht falsch, ich will dich keinesfalls davon abbringen. Eher andere die hier mitlesen und nicht so tief in der Materie stecken einen mMn einfacheren weg aufzeigen.
zur Zeit sind 99 Mitglieder (davon 3 unsichtbar) und 291 Gäste online - Rekord: 129 Benutzer ()
