Categories:

Mehrere PSKs für ein einziges Gäste-WLAN: MPSK mit Aruba Instant

Veröffentlicht von empy
Lesezeit: 5 Minuten

Moderne Smartphones machen es einfach, WLAN-Informationen per QR-Code zu teilen. Das ist praktisch, aber leider oft auch ein Sicherheitsrisiko. Verwendet man ein WLAN mit PSK (Pre-Shared Key), kommt jeder in das WLAN, der das WLAN-Passwort kennt. Gerade im Gäste-WLAN kann das ein Problem sein, denn ein Gast kann das WLAN-Passwort jederzeit an andere weitergeben. So verliert ihr still und heimlich die Kontrolle über das heimische WLAN. Der Faktor Mensch bleibt das Hauptproblem bei WPA2 mit Pre-Shared Key. Denn ist der WLAN-Schlüssel erstmal verbrannt, muss ein Neuer her – und der muss dann an allen Endgeräten mühsam ausgetauscht werden.

Abhilfe schafft hier ein Mechanismus, der unter WPA2 mehrere PSKs für die gleiche WLAN-SSID ermöglicht. Bei Aruba und Cisco heißt das MPSK (multiple PSK), Mikrotik nennt es PPSK (private PSK). Schaut einfach nach, ob euer Access Point ein passendes Feature hat, je professioneller das Equipment, desto höher die Chancen. Ansonsten bleibt lediglich der Umweg über einen Radius-Server, sofern die Endgeräte damit klarkommen. Für IoT-Geräte, Spielekonsolen, Streaming-Lautsprecher oder TV-Sticks fällt auch diese Option meist weg. Wenn ihr dann mehr als nur einen unsicheren MAC-Filter verwenden wollt, ist MPSK das Licht am Ende des Tunnels.

Um das Gäste-WLAN sicher zu gestalten, empfehle ich zwei Lösungen: Verschlüsseltes WLAN mit mehreren Pre-Shared Keys innerhalb einer WLAN-SSID (MPSK) oder alternativ verschlüsseltes WLAN mit nur einem Pre-Shared Key unter Verwendung eines Captive Portals. Vom offenen Gäste-WLAN rate ich ab, denn hier lässt sich der Datenverkehr ohne Probleme mitschneiden.

Konfiguration von MPSK mit Aruba Instant

Mit Aruba Instant Version 8.7 hat Aruba die Möglichkeit geschaffen, lokales MPSK zu konfigurieren. Dies ermöglicht die Verwendung von MPSK ohne zusätzliche Lösungen und Kosten direkt auf dem Instant Cluster. Einzige Einschränkung: Nur 24 Passwörter sind pro SSID möglich. Und das Ganze geht nur mit WPA2, welches mit anständig langem Passwort aber immer noch sehr hohe WLAN-Sicherheit bietet.

Am einfachsten gelingt die MPSK-Konfiguration unter Aruba Instant, wenn ihr bereits eine SSID mit WPA2 angelegt habt. Dies lässt sich bequem in der Weboberfläche erledigen. Dann könnt ihr die vorhandene SSID kinderleicht über die Kommandozeile für MPSK konfigurieren. Leider lässt sich dies noch nicht über die Weboberfläche erledigen.

Schritt 1: Login auf dem Aruba Instant Cluster mit Putty

Zunächst loggt ihr euch auf den Aruba Instant Cluster mit Putty ein. Dazu benötigt ihr die IP-Adresse des Clusters bzw. eines Access Points im Cluster. Dann mit Putty per SSH verbinden und mit den gleichen Zugangsdaten anmelden, die auch in der Weboberfläche funktionieren.

Login bei Aruba Instant per CLI.

Schritt 2: Lokales MPSK-Profil erstellen und mehrere PSKs anlegen

Nun kann die Konfiguration erfolgen. Zuerst müsst ihr dazu in den sogenannten Konfigurationsmodus wechseln. Dies geschieht mit dem Befehl „configure“. 

IAP# configure

Mit den folgenden Konfigurationszeilen wird dann zunächst das lokale MPSK-Profil erstellt. Es wird später dann einer WLAN-SSID zugewiesen und beinhaltet die verschiedenen Pre-Shared Keys, welche an der zugewiesenen SSID erlaubt sein werden. 

IAP (config) # wlan mpsk-local "Name des lokalen MPSK-Profils"
IAP (MPSK-local "Name des lokalen MPSK-Profils") # mpsk-local-passphrase "Benutzer1" "wlanpasswort1"
IAP (MPSK-local "Name des lokalen MPSK-Profils") # mpsk-local-passphrase "Benutzer2" "wlanpasswort2"
IAP (MPSK-local "Name des lokalen MPSK-Profils") # mpsk-local-passphrase "Benutzer3" "wlanpasswort3"
IAP (MPSK-local "Name des lokalen MPSK-Profils") # exit

Der Befehl „wlan mpsk-local nameerstellt das MPSK-Profil lokal und legt dessen Namen fest. Sollte der Name Leerzeichen oder spezielle Sonderzeichen beinhalten, muss der Name in Anführungszeichen gekapselt werden. Nach Eingabe des Befehls wechselt Aruba Instant direkt in das eben erstellte Profil.

Mit „mpsk-local-passphrase bezeichnung passwort“ können dann bis zu 24 Pre-Shared Keys im Profil hinterlegt werden. Wiederholt den Befehl einfach entsprechend oft, natürlich mit jeweils anderer Bezeichnung und Passwort. Auch hier gilt: Bezeichnung und PSK sicherheitshalber mit Anführungszeichen kapseln. Denkt daran ausreichend komplexe Pre-Shared Keys festzulegen.

Nachdem die verschiedenen Passworte definiert wurden, könnt ihr mit dem Befehl „exit“ das lokale MPSK-Profil schließen und mit dem nächsten Schritt fortfahren.

MPSL-Profil wird lokal angelegt. Dann werden die einzelnen Pre-Shared Keys definiert.

Schritt 3: MPSK-Profil einer vorhandenen SSID zuweisen

Nachdem das lokale MPSK-Profil definiert wurde, muss es nun einer WLAN-SSID zugewiesen werden. Sobald dies geschieht, ersetzt das MPSK-Profil den normalen WPA2-PSK, welcher aber trotzdem an der SSID gespeichert bleibt. So könnt ihr jederzeit auf die alte Konfiguration zurückwechseln. Sobald ihr das MPSK-Profil aber einem WLAN zuweist, werden nur die in diesem Profil definierten PSKs funktionieren. 

IAP (config) # wlan ssid-profile "WLAN-Name"
IAP (SSID Profile "WLAN-Name") # opmode mpsk-local
IAP (SSID Profile "WLAN-Name") # mpsk-local "Name des lokalen MPSK-Profils"
IAP (SSID Profile "WLAN-Name") # exit
IAP (config) # exit

Mit „wlan ssid-profile bezeichnung“ öffnet ihr eine bestehende SSID, welche ihr mit MPSK ausstatten wollt. Sollte die SSID noch nicht existieren, wird diese zunächst angelegt und ihr könnt sie sowohl per CLI als auch per GUI vollständig konfigurieren. In meinem Beispiel habe ich die SSID bereits über die GUI angelegt.

Nachdem die SSID zur Konfiguration geöffnet wurde, legt ihr mit „opmode mpsk-local“ den Betriebsmodus auf lokales MPSK fest. Im Anschluss wird der SSID dann das in Schritt 2 erstellte MPSK-Profil zugewiesen, und zwar mit dem Befehl „mpsk-local bezeichnung„.

Lokales MPSK-Profil an WLAN-SSID zuweisen.

Schritt 4: Konfiguration speichern und überprüfen

Nun ist die Konfiguration von MPSK auch schon beendet. Damit die Konfiguration angewendet wird, müssen die Änderungen noch bestätigt werden. Erst dann ist die WLAN-SSID auch wirklich auf MPSK umgestellt. Nutzt dazu den folgenden Befehl:

IAP# commit apply

Wer möchte, kann sich im Anschluss durch einen Blick auf die laufende Konfiguration versichern, dass alles funktioniert hat. Nutzt dazu den Befehl „show network bezeichnung„. Nutzt die gleiche Bezeichnung wie in Schritt 3 beim Öffnen des WLAN-Profils. Oder ihr probiert einfach einen der definierten MPSKs direkt an einem Endgerät aus.

Konfiguration des WLANs mit MPSK: Achtet auf die Werte bei „Mode“, „MPSK local profile“ und „MPSK-local“.

Alte Konfiguration wiederherstellen

Auch die Rolle rückwärts ist kinderleicht: Wenn ihr zurück auf die „klassische“ PSK-Konfiguration wollt, dan könnt ihr das mit folgenden Kommandos auf der CLI erledigen.

IAP# configure
IAP (config) # wlan ssid-profile "WLAN-Name"
IAP (SSID Profile "WLAN-Name") # opmode wpa2-psk-aes
IAP (SSID Profile "WLAN-Name") # no mpsk-local "Name des lokalen MPSK-Profils"
IAP (SSID Profile "WLAN-Name") # exit
IAP (config) # no wlan mpsk-local "Name des lokalen MPSK-Profils"
IAP (config) # exit
IAP# commit apply

Im Konfigurationsmodus: Zuerst müsst ihr wieder die SSID zur Konfiguration öffnen („wlan ssid-profile bezeichnung„). Stellt dann den Betriebsmodus des WLANs zurück auf WPA2-PSK, und zwar mit dem Befehl „opmode wpa2-psk-aes“. Mit „no mpsk-local bezeichnungentfernt ihr das lokale MPSK-Profil von der WLAN-SSID. Verlasst die Konfiguration der SSID mit „exit“. Dann könnt ihr mit „no wlan mpsk-local bezeichnungdas angelegte MPSK-Profil mitsamt aller zugeordneten MPSKs vom Cluster löschen. Verlasst abschließend den Konfigurationsmodus und speichert die neue alte Konfiguration mit „commit apply“. Rolle rückwärts geglückt!

Tags: