WLAN sicher machen, RADIUS, WPA2 Enterprise, Synology, Ubiquiti, WPA3

[Don-DCH]

Guten Mittag allerseits,

aktuell haben wir WPA2 Personal im Einsatz, das sollte ja relativ sicher sein, nun habe ich gelesen, das es doch einige Möglichkeiten gibt, dass jemand an den Key kommen kann und sich ins WLAN einhacken kann.
Daher meine Überlegung auf WPA2 Enterprise umzustellen und später evtl. WPA3 je nach Verfügbarkeit.

Nun ist die Überlegung mit meinem Synology NAS einen RADIUS Server zur Authentifizierung bereitzustellen und WPA 2 Enterprise mit selbstausgestelltem Zertifikat zu verwenden.
Kann man sagen, dass dies im allgemeinen sicherer ist?
Kann man grobe konfigurationsfehler machen, was es m Endeffekt sogar unsicherer als WPA 2 Personal machen würde?

Konkret dachte ich daran entweder den Synology Mesh Router MR2200ac oder von Ubiquiti den UniFi NanoHD zu kaufen.
Beide Geräte sind relativ neu, hat jemand schon Erfahrugn damit?

Oder kann jemand was zu WPA Enterprise sagen?

Bin für jede Hilfe und jeden Tipp dankbar!

Wünsche euch allen einen schönen Tag!

 

[mtbriderlm]

Der NanoHD ist kein Router sondern nur ein WLAN AP.
WPA3 wird bei Unifi kommen.

 

[nitech]

Für zu Hause etwas overkill? Soweit ich die Berichte verstanden habe kommt man zwar etwas leicheter an den Hash deines WPA2 Keys, wenn im AP Romingfunktionen aktiv sind. Zudem hat man in diesem Moment erst den Hash, wenn du also nicht gerade 123456 oder Passwort als Passwort hast vergehen Jahre bis dein Passwort geknackt ist. Von daher: evt. einen etwas längeren Preshardkey einstellen (z.b. IchWäregerneImUrlaubSeit2016!) dann dürfte auch dein WPA2 WLan ziemlich sicher sein - bis sie eine neue Lücke finden.
mfg

 

[Don-DCH]

@mtbriderlm stimmt, das hatte ich vergessen zu erwähnen, es muss kein Router sein, wobei das natürlich ein Gerät sparen würde. Woher weißt du, dass WPA3 bei Unifi auch zur Verfügung stehen wird? Gibt es schon Informationen?

@nitech naja evtl. Overkill andererseits definitiv sehr Technik begeistert und wenn es definitiv sicherer ist, warum nicht?
Roadming habe ich nicht, da nur ein AP aktuell im einsatz ist, welcher mehr oder weniger alles gut abdeckt.
Passwort ist schon entsprechend lang und komplex. Wird halt nur nicht wirklich geändert...

 

[nitech]

Naja, ich sag mal so: bei entsprechen langem (wesentlich wichtiger als komplex) und komplexen Passwort wird sich keiner in dein Netzwerk übers Wlan hängen, da ist es denke ich einfacher in dein Haus einzubrechen und sich an deinen Switch zu hängen.... Aber wenn dus aus reinem Technikinteresse probieren willst, nur zu.

 

[eigs]

Wir verwenden in der Firma WLAN AP mit denen nur Verbindungen zum VPN Server möglich sind. Dazu verwenden eine VPN Software von Check Point mit IPsec und 2FA.

 

[parats]

Das schöne an diesen NAS' von Synology und co ist, dass diese tolle Zusatzdienste liefern. Aber gerade je nach Ausbaustufe der Hardware funktioniert dies eher mittelprächtig. Einfach weil das auch Ressourcen kostet und die Dimensionierung gerne mal nur für Kernaufgaben reicht Wenn du wirklich mal rumspielen willst und dich für die Technik interessierst - entweder einen rPI der neuen Generation, die gibt es für wenig Handgeld oder aber erstmal eine VM mit einem schlanken unix. Das NAS für solche Dienste zu nutzen kann als Backup mal ganz sinnvoll sein, aber primär Dienste neben SMB zu betreiben tötet gerne mal Performance..