lepfa 10 Geschrieben 29. August 2005 Melden Teilen Geschrieben 29. August 2005 Hallo.. Der VPN Server ist ein Win2k3 Server als DC. mit RRAS, DHCP, AD, DHCP und CA (Unternehmen). Wenn ich vom XP (SP2) Client eine geglückte :-) Verbindung via DynDNS aufbaue dann finde ich unter Details diese L2TP/IPSec Verbindung folgende Einträge zu denen ich ein paar Fragen habe: * Authentifizierung -> EAP* IPSec-Verschlüsselung -> IPSec, ESP 3DES Wie erfolgt nun die Authentifizierung? Nutzt EAP das Zertifikat zur Benutzerauthentifizierung und wenn ja wie sicher ist das? Und der Tunnel wird mit dem IPSec Vorinstallierten Schlüssel verschlüsselt oder ist es alles anders als ich es denke? Und wie ist es dann richtig? Gruß lepfa Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 29. August 2005 Melden Teilen Geschrieben 29. August 2005 Hi, hilft dir der Link? http://www.enterasys.com/de/products/whitepapers/eap_artikel_revised_de_rev2.pdf Zitieren Link zu diesem Kommentar
lepfa 10 Geschrieben 29. August 2005 Autor Melden Teilen Geschrieben 29. August 2005 danke Dir. Der Link hilft mehr und mehr zu verstehen. :-) Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 29. August 2005 Melden Teilen Geschrieben 29. August 2005 Ich hahe den Link jetzt nicht angeschaut, aber ich antworte einfach mal auf deine Fragen: Offenscihtlich hast du Benutzerzertifikate und am RAS-Server als Authentifizierungsmethode EAP eingestellt. Dann wird der Benutzer mit seinem Zertifikat authentifiziert, eigentlich fast die beste Methode :) (nur Smartcards und Tokens o.ä.) sind noch "sicherer" L2TP Verschlüsselung hast du auch, da du anscheinend vorinstallierte Schlüssel einigestellt hast, werden diese für IPSec für die gegenseitige Tunnelendpunktauthentifizierung genommen (Auth. der Computer), aber mit diesem Schlüssel wird nicht verschlüsselt, das wäre zu unsicher. DIESER Schlüssel dienst nur der Authentifizerung. Über Diffie-Hellmann wird dann der eigentliche Sitzungsschlüssel generiert, das ist in dem Fall eine 3DES-Verschlüsselung mit 168 Bit, auch sehr gut :) grizzly999 Zitieren Link zu diesem Kommentar
lepfa 10 Geschrieben 29. August 2005 Autor Melden Teilen Geschrieben 29. August 2005 @grizzly999 thx.. :) :) Ist Motivation zum weitermachen... Erfolgt erst die L2TP Tunnelendpunktauthentifizierung. dann wird der Sitzungsschlüssel generiert und dann erfolgt die Benutzerauth? Geht es auch anders als mit Diffie-Hellmann Verschlüsselung? @Edit: Die CA (gefunden zu dem Thema NAT-T IPSec) habe ich lt. Gruppenrichtlinien eingerichtet und da bin ich auf folgenden "Widerstand" gestossen :) - Steht es auf der Seite irgendwo, dass sich die Erklärung auf eine Enterpriseversion bezieht? Ich weiss nicht. Wollte nicht dort fragen. Und bei der Koniguration der RAS Richtlinien bin ich wahrscheinlich auch einem Irrtum meinerseits aufgesessen. Wenn ich dem VPNUser (AD Integriert) die Primärgruppenmitgliedschaft in diesem Fall Domänen-Benutzer entziehe und nur der Sicherheitsgruppe VPNUser (neu erstellt in der gleichen OE wie der VPNUser), dann erhalte ich bei der Angabe der URL für die Zertifizierungsstelle http://server/certsrv von einem Client aus (der nicht Mitglied der Domäne ist) , eine Fehlermeldung und ich sehe bei Zertifikatauswahl nicht das Benutzerzertifikat. Das erhalte ich nur , wenn ich den VPNUser temporär der Gruppe der Domänbenutzer hinzufüge. .. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 29. August 2005 Melden Teilen Geschrieben 29. August 2005 Erfolgt erst die L2TP Tunnelendpunktauthentifizierung. dann wird der Sitzungsschlüssel generiert und dann erfolgt die Benutzerauth? Korrekt ;) Geht es auch anders als mit Diffie-Hellmann Verschlüsselung? DH ist kein Verschlüsselungsverfahren, sondern ein Verfahren zum Schlüsselaustausch, nämlich zum Austauschen des eigentlichen SitzungsSchlüssels, der dann nachher verwendet wird. Vereinfacht gesagt könnte man sagen, dass jeder der zwei Rechner nach math. Verfahren jeweils einen Teil des Schlüssels generriert und dem anderen übermittlet, und dann beide Rechner den kompletten Schlüsel "zusammenbauen". Dazu dient das Diffie-Hellmann-Verfahren. Ein Dritter übrigens, der den Verkehr in beide Richtungen belauscht, könnte dennoch nicht den Schlüsel zusammenbauen, genial, oder. Eine kurze Erklärung z.B. hier: http://www.regenechsen.de/krypto/dh.php Die CA (gefunden zu dem Thema NAT-T IPSec) habe ich lt. Gruppenrichtlinien eingerichtet und da bin ich auf folgenden "Widerstand" gestossen :) - Steht es auf der Seite irgendwo, dass sich die Erklärung auf eine Enterpriseversion bezieht? Sorry, kann nicht nachvollziehen, um was es geht. Was soll auf welcher Seite von der EE stehen? Wenn ich dem VPNUser (AD Integriert) die Primärgruppenmitgliedschaft in diesem Fall Domänen-Benutzer entziehe und nur der Sicherheitsgruppe VPNUser (neu erstellt in der gleichen OE wie der VPNUser), dann erhalte ich bei der Angabe der URL für die Zertifizierungsstelle http://server/certsrv von einem Client aus (der nicht Mitglied der Domäne ist) , eine Fehlermeldung und ich sehe bei Zertifikatauswahl nicht das Benutzerzertifikat. Das erhalte ich nur , wenn ich den VPNUser temporär der Gruppe der Domänbenutzer hinzufüge Korrekt, denn an der Standard-Zeritifaktsvorlage "Benutzer" sind wie bei jeder anderen Zertifikatsvorlage berechtigungen eingerichtet. Die sind Standard: Authentifizierte Benutzer -> Lesen Domänenbenutzer -> Registrieren Um ein Zertifikat auf dieser Vorlage anfordern zu können braucht man die Berechtigung: Lesen + Registrieren man muss also auch in der Gruppe der Domänen-Benutzer sein. (Anm: Wo soll der Sinn darin liegen, die VPN-user aus der Gruppe der Dom-Benutzer zu entfernen?!) HTH grizzly999 Zitieren Link zu diesem Kommentar
lepfa 10 Geschrieben 30. August 2005 Autor Melden Teilen Geschrieben 30. August 2005 (Anm: Wo soll der Sinn darin liegen, die VPN-user aus der Gruppe der Dom-Benutzer zu entfernen?!) Ich beziehe mich noch einmal auf gruppenrichtlinien.de .. durch die Erstellung einer Sicherheitsgruppe im AD (speziell in der OE der VPNUser) dadurch entzieht man dem VPNUser das Recht, sich an der Domäne anzumelden. Oder so :-) Der VPNUser kann sich "nur" via RAS (in Übereinstimmung mit den RAS Richtlinien) einwählen. Das finde ich gut!!! Jetzt bin ich mir nur nicht ganz sicher, ob durch die Authentifizierung des VPNUser's durch EAP, ihm nicht doch mehr erlaubt wird als es von mir gewollt ist. Ich bin da nicht so fit was die Abhängigkeiten von Änderungen an Sicherheitsregeln betrifft. Um ein Zertifikat auf dieser Vorlage anfordern zu können braucht man die Berechtigung:Lesen + Registrieren ich werde es ausprobieren :) Zu dem erstellten Zertifikat würde ich ganz gern noch etwas wissen. Person01 ist zu hause und hat eine privaten PC (hoffentlich mit XP SP2) und ist nicht Domänmitglied (wie sollte Person01 das auch sein). Bekommt den dyndns Namen für die Einwahl ins Firmennetz. Als erstes ruft sie auf http://***dyndns.org/certsrv (benötige ich da einen MX-Record?) Dann wird sie augefordert Benutzernamen und Kennwort einzugeben -> das tut sie dann auch! fordert ein Zertifikat für den VPNUser an und installiert dieses Zertifikat mit dem aktuellen Anmeldenamen an ihrem lokalen Computer. Danach richtet Person01 sich selbständig eine DFÜ Verbindung für das VPN ein. OK. Kann ich nur mit der Einstellung Verbindung für alle Benutzer oder nur Person01 die VPNEinwahl schützen? Ist es nicht auch möglich den Anmeldenamen am lokalen PC irgendwie da mit einzubeziehen in die gesamte Sicherheitstermologie? Da mache ich mir Sorgen, dass dadurch die Einwahl vor ungewollten Missbrauch nicht richtig geschützt werden kann. Nach Deinen Erklärungen nach, finde ich den eigentlichen Tunnel ziemlich sicher. Auch den Aufbau der Verbindung. Aber ich kann das nicht prüfen :) ob es so ist wie die Theorie es probagiert .. aber ich werde mich darauf verlassen. Diffie-Hellmann-Verfahren wenn ich ganz ehrlich sein soll .. Deine Erklärung war verständlicher :D aber es ist wohl ziemlich safe ,, das möchte ich ja auch erreichen .. korrekt es kommt langsam Licht ins Dunkel ;) Da habe ich noch viel zu tun ... gut n8 lepfa Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 30. August 2005 Melden Teilen Geschrieben 30. August 2005 Bekommt den dyndns Namen für die Einwahl ins Firmennetz. Als erstes ruft sie auf http://***dyndns.org/certsrv (benötige ich da einen MX-Record? Nein, das ist ja kein Mailserver. Dann wird sie augefordert Benutzernamen und Kennwort einzugeben Nein, nur wenn ich für diese Site die Basisauthentifizierung einschalte und die anonyme Anmeldung wegnehme, wobei man das Ganze dann am besten das ganze über HTTPS schützt. Aber wieseo sollte der IIS mit der Webseite für die Zertifikatsregistrierung direkt aus dem Internet erreichbar sein? Da gibt es keinen Grund für mich. Und da fängt die Sicherheit schon mals an, von wo aus muss ich/jemand auf die Zertifikatspage kommen und wie. Und wenn er je auf diese Weise errreichbar sein müsste, dann wie gesagt über entsprechende Authentifizierung auf der Site und mit HTTPS geschützt. Da mache ich mir Sorgen, dass dadurch die Einwahl vor ungewollten Missbrauch nicht richtig geschützt werden kann Der Schutz fängt damit an, dass man eine geeignete Authentifizeirungsmethode auswählt, nur den Benutzern, die es nötig haben, die Einwahl gewährt geht bei sicheren Kennwörtern weiter, und hört bei .... noch nicht auf ;) grizzly999 Zitieren Link zu diesem Kommentar
lepfa 10 Geschrieben 30. August 2005 Autor Melden Teilen Geschrieben 30. August 2005 Nein, das ist ja kein Mailserver. ich dachte es gibt ein nslookup wie bei Mailservern.. wobei man das Ganze dann am besten das ganze über HTTPS schützt bin schon dabei zu bauen :) Aber wieseo sollte der IIS mit der Webseite für die Zertifikatsregistrierung direkt aus dem Internet erreichbar sein? hm. weil die Leutz dann immer eine Diskette mit rumschleppen müssen :) Der Schutz fängt damit an, dass man eine geeignete Authentifizeirungsmethode auswählt, nur den Benutzern, die es nötig haben, die Einwahl gewährt geht bei sicheren Kennwörtern weiter, und hört bei .... noch nicht auf ;) 100% gibt es nicht :D danke Dir lepfa Zitieren Link zu diesem Kommentar
dominik3000 10 Geschrieben 30. August 2005 Melden Teilen Geschrieben 30. August 2005 hallo zusammen hab mit grossem interesse diesen beitrag gelesen. das problem ist doch das der user mit dem zertifikat auch in der firmen domäne sein muss, und das ist ja der "home pc" von einem mitarbeiter nicht unbedingt. ich suche eine lösung die es ermöglicht auch nicht dömanen mitglieder mit einem eigenen zertifikat per vpn auf den server zuzugreifen. jemand eine idee? gruss dominik Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 30. August 2005 Melden Teilen Geschrieben 30. August 2005 Wer sagt, dass dieser User Domänenmitglied sein muss? Ich nehme ein Benutzerzertifkat nebst privatem Schlüssel ACHTUNG: von einem Domänenbenutzer und importiere das (plus Root Zertifikat) in das Profils eines Nicht-Domänen-Benutzers und wähle mich mit der EAP-Authentifizerung ein. Wenn ich mich recht entsinne, muss dort aber "Verbindung mit anderem Benutzernamen ermöglichen" (oder so?!) aktiviert sein. Fertig grizzly999 Zitieren Link zu diesem Kommentar
dominik3000 10 Geschrieben 30. August 2005 Melden Teilen Geschrieben 30. August 2005 simmt du hast recht, computerzertifikat kann man nicht exportieren mit benutzerzertifikat geht das... hab von lauter zertifikaten den überblick verloren ;-) gruss dominik Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 30. August 2005 Melden Teilen Geschrieben 30. August 2005 simmt du hast recht, computerzertifikat kann man nicht exportieren mit benutzerzertifikat geht das... Aber klar geht das, schon mehr als hundert mal praktiziert (keine rhetorische Redewendung ;) ) grizzly999 Zitieren Link zu diesem Kommentar
lepfa 10 Geschrieben 30. August 2005 Autor Melden Teilen Geschrieben 30. August 2005 @grizzly999 Ich nehme ein Benutzerzertifkat nebst privatem Schlüssel ACHTUNG: von einem Domänenbenutzer und importiere das (plus Root Zertifikat) in das Profils eines Nicht-Domänen-Benutzers ändern sich die Zertifikate nicht mehr??? egal welcher Benutzer immer das gleiche Zertifikat? Oder generiert der Importvorgang paasend zu dem Benutzer Benutzername und Passwort? Wie verhält sich das dann bei einem Passwortwechsel? :) gruß lepfa :wink2: Zitieren Link zu diesem Kommentar
dominik3000 10 Geschrieben 31. August 2005 Melden Teilen Geschrieben 31. August 2005 Aber klar geht das, schon mehr als hundert mal praktiziert (keine rhetorische Redewendung ;) ) grizzly999 ok, dann habe ich etwas falsch verstanden... ich bekomme immer folgende fehlermeldung wenn ich vom client aus mit einem installierten zertifikat verbinden möchte: Fehler 798: Es konnte kein Zertifikat gefunden werden, das mit dem Extesible Authentication-Protokoll verwendet werden kann. an was könnte das liegen? wie ich das zertifikat installiert habe sieht man auf dem screenshot. richtig so? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.