IAS und 802.1x Port based Authentication mit HP

[Pitt84 10]

Wie funktioniert eigentlich TLS. Ich habe vieles im internet gelesen, bin aber irgendwie verwirrt.

 

Da steht, dass sich Client und Server auf eine Verschlüsselungsmethode einigen würden nachdem der Session Key ausgehandelt/ausgetauscht wurde. TLS verschlüsselt aber doch schon oder?

 

Mich würde auch mal interessieren, wieso eine PKI nötig ist bei TLS? Das Zertifikat selber besitzt der Client doch genauso wie der Server oder?

[weg5st0 10]

Nein.

 

Meist ist es so realisiert, dass der Cleint das öffentliche Zertifikast des Servers kennt und der darüber (also private und public Key Verfahren) der Session Key ausgehandelt wird.

 

Es ist auch möglich, daß der Client seine Pakete mit dem eigenen private Key versieht.

 

Zertifikate und deren Enrollment sowie Absicherung und Backup eines Zertifikatservers vor Allem in Windowsumgebungen sollte dich aber beschäftigen bevor du das installierst...

[Aktaion 10]

Ihr wisst, dass das abspeichern der Kennwörter in reversiebler Form ein Sicherheitsrisko ist oder? Also ich würde da lieber über eine andere Lösung gedanken machen... Clientzertifikate und EAP usw.

[weg5st0 10]

Ihr wisst, dass das abspeichern der Kennwörter in reversiebler Form ein Sicherheitsrisko ist oder? Also ich würde da lieber über eine andere Lösung gedanken machen... Clientzertifikate und EAP usw.

Hast du den Thread durchgelesen?

Da steht da z.B.:

Achtung. Bei dir läuft das jetzt noch über CHAP (oder nicht ?).

 

Enabling the Challenge Handshake Authentication Protocol (CHAP)

Microsoft Corporation

[Pitt84 10]

Bei CHAP wird das Passwort aber doch nicht direkt übertragen oder? Es wird doch ein MD5 Hashwert ermittelt aus einer Zufallszahl und dem Passwort und nur dieser dann vom Server verglichen. Hashwerte lassen sich ja nicht zurückrechnen, somit es für jemanden, der den Verkehr mitschneiden würde, ehe unmöglich ist, auf das Passwort zu schließen.

 

Oder habe ich das jetzt falsch verstanden??

[Aktaion 10]

Also das geht eher um die Speicherung der Kennwörter auf dem Server. Reversiebel meint, dass das Kennwort rückrechenbar abgespeichert wird.

 

PS:

@weg5st0 sry hab dein Zitattext nicht gelesen :/

[Pitt84 10]

OK das heißt, dass es beim IAS ja der Fall ist, da dieser CHAP nur in Verbindung mit dieser reversibelen Abspeicherung der Kennwörter unterstützt.

Aber dann ist CHAP ja sozusagen auch nicht wirklich sicherere als PAP, da er ja sozusagen die Kennwörter anders ausgedrückt in Klartext abspeichert. (wenn sie sowieso rückrechenbar sind)

Gibt es eine Möglichkeit, CHAP zu nutzen ohne diese Richtlinie zu aktivieren?

[Pitt84 10]

obwohl wenn die auf dem Server liegen und nicht hin und her übertragen werden, hat es ja schon ein gewisses Maß an Sicherheit gegenüber normalem PAP.

[Aktaion 10]

Ich würde halt weder PAP noch CHAP in Betracht ziehen... Die Zukunft liegt in digitalen Zertifikaten und in Auth/Verschlüsselungsverfahren die auf darauf beruhen. Steck die Energie lieber im testen solcher Umgebungen, als dir Gedanken um die Absicherung einer Lösung via CHAP und/oder PAP zu machen.

[Pitt84 10]

Wenn ich nun auf EAP-TLS umstellen möchte, welche Einstellung muss ich denn an den XP CLients vornehmen? "Smartcard oder anderes Zertifikat" oder "geschütztes EAP (PEAP)"???

[Aktaion 10]

Grundsätzlich benötigst du eine Zertifikatsinfrastruktur - im einfachsten Fall eine Zertifizierungstelle für dein Projekt - die kannst du AD intergrieren oder auch alleinstehend installieren. Achtung sicher die regelmäßig mit!

Danach benötigt dein Client ein Computerzertifikat entweder manuell oder automatisiert. Danach du müsstest die IAS Richtlinien entsprechend einrichten - danach die Einstellungen am Client vornehmen (geht bestimmt auch über ne GPO). Am sichersten ist PEAP, aber zum ganzen Thema Zertifizierungstelle gibts auch bei MS nette Whitepaper.

[Pitt84 10]

Hallo nochmal,

 

ich habe mich mal ein bisschen mit dem RADIUS Protokoll nun beschäftigt und mir ist aufgefallen, dass anscheinend nur die Strecke zwischen Client und Switch mit EAP PEAP etc. verschlüsselt wird. Die Verbindung zwischen Switch und IAS wird nur von dem Shared Secret Key des RADIUS Protkolls verschlüsselt bzw. nur das Passwort.

 

Stimmt das so????

siehe hier:

http://www.controlware.de/cws/daten/PDFs/Controlware_Security_Newsletter_01_2005.pdfw

 

Seite 8

 

Außerdem scheint PEAP auch nicht auf Zertifikate zu basieren. Es werden ja keine Client-Zertifikate eingesetzt?!?! Wird der eigentliche Datenverkehr nach erfolgreicher Authentifizierung auch verschlüsselt bei EAP-TLS? Client und Server eini einigen sich ja auf ein Verschlüsselungsverfahren normalerweise bei der Hybrid Verschlüsselung!

[Pitt84 10]

Kann mir jemand hier weiterhelfen in der Thematik? Oder soll ich die Frage in einer anderen Kategorie stellen?

 

Danke und Gruß

Pitt