Jump to content

ISA: RADIUS mit IPSEC verschlüsseln


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Ich verstehe immer mehr Bahnhof. PAP-Authentifizierung macht der Client zum ISA hin, und das sollte er besser nicht tun. Außer MS-CAHP V2 oder EAP TLS (OTPs natürlich auch, wenn die Kohle passt) kommt da doch hoffentlich nichts in die Tüte. Zumindest bei mir nicht.

Und PAP vom Client zum ISA, da brauchst du dir um die Verbindung ISA-RADIUS keine Sorgen mehr zu machen :D

 

grizzly999

Link zu diesem Kommentar
Wegen der Verbindung mache ich mir keine Sorgen.

Wieso nicht? PAP übers Internet ist nicht funny :rolleyes:

 

Es geht mir nur um eine sichere Benutzerauthentifizierung, da RADIUS über ISA nur PAP unterstützt.

Jetzt erzählst du uns hier aber ganz neue Sachen, und zwar welche, die zeimlich dramatisch wären, wenn sie stimmten. Sorry für Umganssprache jetzt, aber keine Sau würde jemals dann RADIUS einsetzen.

 

Ich bin mir sicher, da hast du was durcheinandergewürfelt, was weiß ich nicht, aber du solltest dich nochmals über IAS bei Microsoft schlau machen. Vielleicht hilft dir das für die wichtigsten Fragen, wie z.B. die, welceh Authentifizierungsmethoden der IAS unterstützt: Internet Authentication Service: Frequently Asked Questions

 

 

grizzly999

Link zu diesem Kommentar

Ich glaube, er meint die Kumminikation zwischen RADIUS CLient und RADIUS Server, in diesem Falle wohl ISA (RADIUS Client) und Domänen Controller/IAS (RADIUS Server). Diese beiden machen in der tat blos PAP, weiss nicht ob es mit MS only und MS-CHAP ginge - nun ja, ist der RADIUS Client eine 3rd Party Software so ist das Auslesen zwischen den beiden Seiten nicht gerade schwer, wenn ihr wisst was ich meine.

 

Voraussetzung dafür ist aber dennoch, man sitzt im interen LAN.:wink2:

Link zu diesem Kommentar

So denke ich mir das irgendwie auch, was er meinen könnte, mit RADIUS-Client und Server Kommunikation, aber da ist überhaupt nichts mit PAP oder CHAP oder ....

 

PAP/CHAP/EAP/usw. ist ein Authentifizierungsverfahren für Remote Access. UNd RADIUS-Kommunikation ist RADIUS-Kommunikation, die hat mit dem nichts zu tun, außer dass der RADIUS-Client die Authentifizierung von extern entgegen nimmt, und dann diese überprüft. Aber nicht mit PAP oder irgendetwas in dieser Richtung.

 

grizzly999

Link zu diesem Kommentar

Hab's jetzt gerade nicht vor mir, aber ich glaube mich zu erinnern, dass in den Properties einer Verbindung im Internet Authentication Service von Windows auch die Optionen PAP/MS-CHAP/EAP usw. angegeben sind. Natürlich sind diese nicht mit denen der Remote Access Verbindung zu verwechseln und werden getrennt abgehandelt...

 

Nun, wie auch immer, RADIUS Client & Server brauchen ja beide ein Passwort und wie stark das Verschlüsselt wird bei der Initial-Übertragung, na ja, das ist die Frage.

 

Die andere Frage aber ist, wie gefährlich RADIUS Verkehr ist, vor allem wenn man bedenkt, dass die Gefahr bei vernünftiger Perimeter Konfiguration von innen kommen muss, und sonst braucht man gar nicht gross über Security nachdenken:wink2: .

Link zu diesem Kommentar
Ich glaube, er meint die Kumminikation zwischen RADIUS CLient und RADIUS Server, in diesem Falle wohl ISA (RADIUS Client) und Domänen Controller/IAS (RADIUS Server). Diese beiden machen in der tat blos PAP, weiss nicht ob es mit MS only und MS-CHAP ginge - nun ja, ist der RADIUS Client eine 3rd Party Software so ist das Auslesen zwischen den beiden Seiten nicht gerade schwer, wenn ihr wisst was ich meine.

 

Voraussetzung dafür ist aber dennoch, man sitzt im interen LAN.:wink2:

 

Das meine ich doch, ich denke das war doch nicht schwer zu verstehen. Die RADIUS Kommunikation findet nur intern statt, nicht EXTERN. Ich hab nun gelesen, dass man beim Aktivieren des "Message Authenticator" die Password Übertragung mit dem vordefinierten RADIUS-Schlüssel verschlüsseln kann. Das werde ich jetzt ausprobieren. Übrigens Microsoft schreibt, dass man den RADIUS Verkehr mit IPSEC verschlüsseln kann, nur halt nicht wie.

Link zu diesem Kommentar
Das meine ich doch, ich denke das war doch nicht schwer zu verstehen.

 

He, schön den Ball flach halten - wie erwänt, ein top Sicherheitsrisiko scheint es IMHO nicht zu sein, da schon einige Umstände gegeben sein müssen damit man was damit anstellen kann. Deshalb scheint nicht Jederman darauf 'fixiert' zu sein.:wink2:

 

Zum Thema IPSec: Schon mal die Quelle gefragt?:suspect: :confused: :wink2: Search Results

Link zu diesem Kommentar
He, schön den Ball flach halten - wie erwänt, ein top Sicherheitsrisiko scheint es IMHO nicht zu sein, da schon einige Umstände gegeben sein müssen damit man was damit anstellen kann. Deshalb scheint nicht Jederman darauf 'fixiert' zu sein.:wink2:

 

Zum Thema IPSec: Schon mal die Quelle gefragt?:suspect: :confused: :wink2: Search Results

 

Danke für den Link, der hilft mir jetzt weiter. Ansonszen danke für den Support

Link zu diesem Kommentar
Hab's jetzt gerade nicht vor mir, aber ich glaube mich zu erinnern, dass in den Properties einer Verbindung im Internet Authentication Service von Windows auch die Optionen PAP/MS-CHAP/EAP usw. angegeben sind. Natürlich sind diese nicht mit denen der Remote Access Verbindung zu verwechseln und werden getrennt abgehandelt...

QUOTE]

Das ist richtig, und zwar bei den RAS-Richtlinien im IAS, die nämlich dann der IAS verwaltet, wenn am Microsoft RAS-Server eingestellt wird, dass die Authentifizierung nicht die "Windows Authentifizierung" sein soll, sondern die "RADIUS-Authentifizierung". Dann hat nämlich der RAS-Server selber keine RAS-Richtlinien mehr aktiv, die RAS-Richtlinien für die Client-Einwahl (und nichts anderes) gibt der IAS dem RAS-Server (=RADIUS-Client) vor. Aber die PAP/CHAP/irgendwas-Authnetifizeriung betrifft dann immer noch die RAS-Client <-> RAS-Server Authnetifizierung und NICHT den RAS-Server <-> RADIUS-Server Verkehr.

 

Um es auf den Punkt zu bringen: Der RAS-Server authentifiziert sich beim RADIUS-Server nicht per PAP oder CHAP oder EAP oder .... Diese Authentifizierungsmethoden sind nur für eine RAS-/VPN-Einwahl eines Clients.

 

grizzly999

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...