Nachdem der Unifi Controller und die Access-Points eine ganze Weile bestens am Start sind, wächst die Lust etwas an der Sicherheit weiter zu verbessern.
Hier bietet sich eine MAC-Authentifizierung an. Benötigt wird zunächst nichts weiter als ein vorhandener Unifi Access-Point.
Den Radius Server im Controller möchte ich nicht nutzen, da er mir etwas beschränkt vorkommt. Außerdem läuft der Controller ja in einem Docker Container auf der Synology NAS.
Also nutze ich den Radius Server aus den Synology Paket-Zentrum. Der ist fix installiert. Einfach nach RADIUS suchen und installieren.
Dann auf „Öffnen“ klicken und den Tab „Clients“ auswählen. Hier einen neuen Client hinzufügen. Dazu das ganze Subnetz oder besser den/die Access-Points hinzufügen und ein langes kryptisches „Geteiltes Geheimnis“ (shared secret) hinterlegen.
Jetzt geht es am Unifi Controller weiter. Hier erstellen wir ein passendes Profil unter dem Reiter Einstellungen:
Die IP-Adresse des Authentifizierungsservers ist die unserer Synology. Ebenso unter Port 1813 der Abrechnungsserver. Der geheime Schlüssel ist das eben vergebene „Geteiltes Geheimnis“.
Nun erstellen wir ein neues Drahtlos-Netzwerk:
Auf Grund der MAC-Authentifizierung könnten wir es durchaus als „Offen“ erstellen. [MAC Adresse erspähen und faken sind jedoch durchaus mit etwas krimineller Energie möglich…]Empfehlen würde ich daher weiterhin WPA Personal; oder besser WPA Enterprise zu verwenden.
Wird WPA Personal gewählt, ist zusätzlich der WPA Schlüssel erforderlich. Bei WPA Enterprise wird ein gültiger Synology-User samt Passwort abgefragt.
Dann die erweiterten Optionen wählen.
Nach persönlichem Geschmack kann auch der MAC-Filter mit z.B. Whitelist aktiviert werden. Das erhöht aber auch den administrativen Aufwand, da die MAC Adresse zusätzlich hier eingepflegt werden muss.
Hier finden wir auch die RADIUS MAC-Authentifizierung um die es uns ja eigentlich geht. Das erstellte Profil wählen und ebenso das Adressformat entsprechend wählen.
Nun gehen wir zur Benutzer-Verwaltung auf der Synology Systemsteuerung.
Hier entfernen wir den Haken bei „Namen und Beschreibung des Benutzers…“ falls gesetzt.
Anschließend werden alle MAC Adressen des Netzwerks als Benutzer hinzugefügt:
Benutzername ist die MAC Adresse im Format wie im Netzwerk des Controllers angegeben. Das Passwort entspricht dem Namen. Also Benutzer „081a96dc1c0f“ Passwort „081a96dc1c0f“. Dann immer auf weiter klicken und keine Berechtigungen, Kontingente etc. gewähren.
Das war schon alles.
Beim Klick auf verbinden mit dem Netzwerk wird eine UDP Verbindung über Port 1812 gemacht und der User/MAC abgefragt. Nur wenn es diesen wirklich gibt entsteht eine Verbindung und die IP Adresse wird zugewiesen.
Das Protokoll dieser Vorgänge kann man in der Synology anschauen:
Wie immer noch ein paar nützliche Links:
https://www.makes-it-work.de/optimierung-der-wlan-einstellungen-eines-unifi-aps/
https://help.ubnt.com/hc/en-us/articles/360015268353
https://help.ubnt.com/hc/en-us/articles/360015169854
https://help.ubnt.com/hc/en-us/articles/115004589707-UniFi-USW-Configuring-Access-Policies-802-1X-for-Wired-Clients
