Beantwoord

Zonder MSCHAPV2 wel verbinding met Ziggo Wifi hotspot

  • 22 december 2020
  • 2 reacties
  • 97 keer bekeken

Ik kon al een tijdje buitenshuis geen verbinding maken via Ziggo Wifispots.

De verbinding bleef steeds hangen op ‘verbinding maken’.

Vandaag heb ik ontdekt dat als ik MSCHAPV2  uitzet, ik wel weer verbinding kan maken met een Ziggo Wifi hotspot (met het Ziggo certificaat ingesteld+PEAP en gebruikersnaam/wachtwoord).

Mijn telefoon is een Nokia 8 Sirocco met Android 10.

Ben ik nu de enige klant, waarbij het aanzetten van MSCHAPV2 voor problemen zorgt?

En wat is het nut van deze ‘Phase2-verificatie’?

icon

Best beantwoord door tobiastheebe 22 december 2020, 23:34

Ik heb zelf enige ervaring met het opzetten en beheren van een FreeRADIUS-omgeving (ook t.b.v. openbare WiFi) en zal proberen je vragen te beantwoorden.

In phase 1 wordt een beveiligde verbinding opgebouwd met de RADIUS-server en wordt de identiteit van de server gecontroleerd (in dit geval middels een door Ziggo verstrekt certificaat). Door dit certificaat als CA (Certificate Authority) toe te voegen aan het apparaat wordt dit voortaan vertrouwd, zo lang het certificaat geldig is. Ik verwacht dat EAP-TLS gebruikt wordt door Ziggo voor phase 1. Wij gebruikten op onze server een certificaat van Thawte (publieke CA) zodat de eindgebruikers niet handmatig het certificaat op hun apparaat hoefden te installeren, eenmalig accepteren was voldoende.

In phase 2 worden gebruikersnaam en wachtwoord gecontroleerd op de server. Dit vindt plaats middels een aantal ‘challenges’ en uiteindelijk een antwoord van de server: ‘accept’ of ‘reject’. Deze verzoeken en antwoord vinden plaats in een zogenaamde ‘tunnel’, in dit geval Protected EAP (ofwel PEAP), dit werkt met TLS. Binnen de tunnel wordt een authenticatiemethode gebruikt, in dit geval MS-CHAPv2. Afhankelijk van hoe de gebruikersnamen en wachtwoorden zijn opgeslagen en welk type database wordt gebruikt, kan deze authenticatiemethode verschillen. Omdat MS-CHAPv2 vrij oud en onveilig is, wordt het volgens mij tegenwoordig vrijwel uitsluitend i.c.m. PEAP gebruikt. De universele ondersteuning is daarentegen weer een flink voordeel.

Het kan soms nodig zijn om de authenticatiemethode niet expliciet te kiezen op het apparaat en de server de vrijheid te geven om deze zelf te selecteren. In dit geval lijkt dat voor jou de oplossing te zijn. Er staat me wel iets bij dat wij hier op een bepaald moment ook tegenaan liepen op onze server.

Wellicht kan iemand anders op het forum met meer RADIUS-ervaring hier nog e.e.a. aan toevoegen/verbeteren, maar in grote lijnen klopt het volgens mij wel. :)

Bekijk origineel

2 Reacties

Reputatie 6
Badge +7

Ik heb zelf enige ervaring met het opzetten en beheren van een FreeRADIUS-omgeving (ook t.b.v. openbare WiFi) en zal proberen je vragen te beantwoorden.

In phase 1 wordt een beveiligde verbinding opgebouwd met de RADIUS-server en wordt de identiteit van de server gecontroleerd (in dit geval middels een door Ziggo verstrekt certificaat). Door dit certificaat als CA (Certificate Authority) toe te voegen aan het apparaat wordt dit voortaan vertrouwd, zo lang het certificaat geldig is. Ik verwacht dat EAP-TLS gebruikt wordt door Ziggo voor phase 1. Wij gebruikten op onze server een certificaat van Thawte (publieke CA) zodat de eindgebruikers niet handmatig het certificaat op hun apparaat hoefden te installeren, eenmalig accepteren was voldoende.

In phase 2 worden gebruikersnaam en wachtwoord gecontroleerd op de server. Dit vindt plaats middels een aantal ‘challenges’ en uiteindelijk een antwoord van de server: ‘accept’ of ‘reject’. Deze verzoeken en antwoord vinden plaats in een zogenaamde ‘tunnel’, in dit geval Protected EAP (ofwel PEAP), dit werkt met TLS. Binnen de tunnel wordt een authenticatiemethode gebruikt, in dit geval MS-CHAPv2. Afhankelijk van hoe de gebruikersnamen en wachtwoorden zijn opgeslagen en welk type database wordt gebruikt, kan deze authenticatiemethode verschillen. Omdat MS-CHAPv2 vrij oud en onveilig is, wordt het volgens mij tegenwoordig vrijwel uitsluitend i.c.m. PEAP gebruikt. De universele ondersteuning is daarentegen weer een flink voordeel.

Het kan soms nodig zijn om de authenticatiemethode niet expliciet te kiezen op het apparaat en de server de vrijheid te geven om deze zelf te selecteren. In dit geval lijkt dat voor jou de oplossing te zijn. Er staat me wel iets bij dat wij hier op een bepaald moment ook tegenaan liepen op onze server.

Wellicht kan iemand anders op het forum met meer RADIUS-ervaring hier nog e.e.a. aan toevoegen/verbeteren, maar in grote lijnen klopt het volgens mij wel. :)

Bedankt voor je uitgebreide antwoord tobiastheebe.

Dit was echt een gat in mijn it kennis, die nu opgefrist is.

 

Hoop alleen op nog een reactie van iemand die tegen hetzelfde ‘probleem’ aanloopt, dat was eigenlijk mijn hoofd vraag.

Dacht ik zelf mocht kiezen wat de beste reactie is, die gegeven is. Gaat dit automatisch? 

Reageer