Security-Pakete für Synology DSM RADIUS-Server im Synology NAS

Autor / Redakteur: Moritz Jäger / Peter Schmitz

Ein RADIUS-Server im LAN bietet auch kleinen Unternehmen eine ausgefeilte Nutzerkontrolle beim Zugriff auf das eigene WLAN. Ein Synology-NAS bietet die richtige Grundlage um eine Authentifizierung mittels RADIUS ressourceneffizient im LAN zu betreiben.

Firma zum Thema

Mit dem auf FreeRADIUS basierenden RADIUS-Server für Synology DiskStation Manager können auch KMUs eine bessere und sicherere WLAN-Zugangsverwaltung realisieren.
Mit dem auf FreeRADIUS basierenden RADIUS-Server für Synology DiskStation Manager können auch KMUs eine bessere und sicherere WLAN-Zugangsverwaltung realisieren.
(Bild: VBM)

WLANs gehören in nahezu allen Unternehmen zur Grundausstattung. Die meisten Admins haben inzwischen glücklicherweise selbst für Gäste die unverschlüsselten WLANs abgestellt (die – hoffentlich regelmäßig geänderten – Kennwörter kann man bequem beim Empfang oder der Sekretärin hinterlegen).

Aber selbst verschlüsselte WLANs können teilweise ein Problem darstellen: Sichere WPA2-Schlüssel sind in der Regel lang und kryptisch und nicht unbedingt einfach einzugeben. Verlässt ein Mitarbeiter das Unternehmen, muss dann der Key für alle Nutzer und Geräte geändert werden. Das kostet Zeit und ist unpraktisch.

Kein lästiges Wechseln der WLAN-Schlüssel mehr

Die Lösung für dieses Problem nennt sich Remote Authentication Dial-In User oder kurz RADIUS. Das System übernimmt Authentifizierung, Autorisierung und Accounting von Nutzern, die sich von außen an Systemen anmelden – und von außen kann in diesem Fall auch ein WLAN sein.

Jeder Nutzer erhält einen Account, er muss zudem ein Zertifikat des Servers auf seinem Endgerät installieren. Meldet er sich jetzt am RADIUS-geschützen WiFi-Zugangspunkt an, prüft ein Server sowohl die Gültigkeit des Zertifikats wie auch der Zugangsdaten des Nutzers. Löscht der Admin einen Nutzer aus der RADIUS-Datenbank, kann sich dieser Nutzer auch nicht mehr anmelden.

RADIUS benötigt einen ständig laufenden Server im Hintergrund, gegen den der Access Point die Daten abgleichen kann. Kein Problem für Synology-Besitzer: Der NAS ist meist 24 Stunden aktiv und RADIUS lässt sich direkt aus der Paketzentrale nachinstallieren.

In der aktuellen Programmversion 2.25-0214 wurde ein Problem beseitigt, das bei der Nutzerauthentifizierung gegen ein LDAP-Verzeichnis auftrat. Wer hier also Probleme hat, sollte die aktuellste Version installieren. Alle vorgenommenen Einstellungen bleiben erhalten.

Wie man den RADIUS-Server für Synology DiskStation Manager installiert, konfiguriert und optimal nutzt, sehen Sie in der untenstehenden Bilderstrecke.

Bildergalerie
Bildergalerie mit 12 Bildern

Ein wichtiger Hinweis: Systeme mit Windows 10 konnten sich im Test aktuell nicht mit dem RADIUS-System verbinden. Das liegt vor allem an einem Update das im November 2015 ausgerollt wurde und das eine Unterstützung von TLS 1.2 nachlieferte. Synology hat hier noch kein Update integriert, weswegen die Verbindung mit Windows 10 fehlschlägt. Selbst mit den genannten Workarounds konnten wir keine Verbindung herstellen. Wir behalten das Thema im Auge, wenn sich eine Lösung abzeichnet, werden wir diesen Beitrag aktualisieren.

Sollten Sie ein ähnliches Problem feststellen oder eine Lösung finden, freuen wir uns über einen Kommentar.

Konfiguration des Servers

Anschließend geht es an die Konfiguration: Unter Einstellungen legt man den Port (normalerweise 1812) sowie das Nutzerverzeichnis fest. Wer seine NAS mit einer Domäne oder einem LDAP-Verzeichnis gekoppelt hat, kann die Nutzerdaten direkt dort abgreifen. Zusätzlich kann man hier das notwendige Zertifikat von Synology herunterladen (mit diesem werden die Verbindungen gesichert). Auf älteren Systemen muss man dieses Zertifikat von Hand einspielen, modernere Betriebssysteme, darunter auch Windows 8, Android oder iOS, können es vom Server laden. In jedem Fall sollten Sie dann aber den Fingerprint parat haben, nicht dass ein Angreifer ein gefälschtes Zertifikat einschmuggelt.

Das eigentliche Einrichten des Clients ist relativ simpel: Auf der Synology muss der Client mit Name, IP, Subnet und geheimen Schlüssel unter Radius-Server -> Clients eingetragen werden. Der Access Point wiederum sollte eine feste IP in LAN erhalten. Anschließend muss in der WLAN-Konfiguration als WLAN-Sicherheit WPA-Enterprise oder WPA2-Enterprise gewählt werden. Beide Systeme sollten die notwendigen Informationen zum Verknüpfen des RADIUS-Servers bereitstellen. Gebraucht werden: Die IP des Servers, der Port sowie das Shared Secret (Geheimer Schlüssel auf der Synology). Tragen Sie alle relevanten Daten ein, speichern Sie und aktualisieren Sie gegebenenfalls die Konfiguration.

Ab sofort sollten Sie das neue WLAN mit RADIUS-Schutz auf ihren Geräten auftauchen sehen. Auf Android wird es beispielsweise als „Gesichert mit 802.1x“ angezeigt. Alle Systeme sollten, nachdem Sie das WLAN ausgewählt haben, einen Anmeldedialog zeigen, der Nutzername und Passwort fordert. Wichtiger Hinweis: Der Synology-Admin-Nutzer ist für die Verwendung mit RADIUS tabu, Sie müssen also in jedem Fall neue Nutzer anlegen oder eben LDAP/AD nutzen.

Für den Test nutzen wir eine Ubiquiti-Umgebung, die Integration zwischen dem entsprechenden WLAN-Netzwerk und dem RADIUS-Server verlief ohne Probleme, die Konfiguration wurde automatisch an alle angeschlossenen Access Points ausgerollt. Da es sich bei dem System um einen allgemeinen Standard handelt, ist das verwendete Endgerät grundsätzlich egal. Da Unternehmen allerdings meist höhere Anforderungen an die Ausrüstung stellen (etwa bei der Verwaltung oder der Nutzeranzahl) raten wir für den Unternehmenseinsatz zu entsprechend zertifizierten Geräten.

Ein Hinweis aus dem Test: Die beliebte DD-WRT-Firmware weigerte sich in Version v24 PreSP2 mit dem RADIUS-Server auf der Synology zu kommunizieren, die Verbindungsversuche brachen ohne Fehlermeldung ab. Andere Nutzer melden allerdings, dass DD-WRT und Synology-RADIUS einwandfrei arbeiten – im Zweifel kommt es wahrscheinlich auf die Firmware des Gerätes an.

Bildergalerie
Bildergalerie mit 12 Bildern

Wie man den RADIUS-Server für Synology DiskStation Manager installiert, konfiguriert und optimal nutzt, sehen Sie in der obenstehenden Bilderstrecke.

(ID:42392162)

Über den Autor

 Moritz Jäger

Moritz Jäger

IT Journalist