WLAN SIcherheitsimplementierung

Tech-Archive recommends: Fix windows errors by optimizing your registry

From: donut (anonymous_at_discussions.microsoft.com)
Date: 07/30/04 

Date: Fri, 30 Jul 2004 07:03:01 -0700

die einzige Antwort, die mir zu der Frage -warum eher eap
tls-einfällt ist, daß es zu eap tls einen RFC gibt, der
einen quasi Standard definiert und zu peap zumindestens
momentan nicht. Dies schreckt mich gewissermaßen ab, weil
ich zu wenige verläßliche Quellen darüber habe.
Ich meine gelesen zu haben, daß peap (zumindestens
manchmal) Serverseiteige Zertifikate benutzt, aber keine
Benutzerzertifikate. DAs würde heißen, daß du eine CA
(certificate authority brauchst, von welcher aus du ein
Zertifikat installieren kannst. Wie eine solche zu
installieren ist kannst du bei Microsoft finden (Suche
nach: certificate authority windows 2000 install). Mit dem
IAS Server kenne ich mich leider gar nicht aus.
Auf jeden Fall muß es glaube ich so sein, daß deine
Netzwerkgeräte den Pfad zum IAS Server kennen und auf
diesen verweisen.(Der Access-Point dient bei 802.1x dazu
Pakete weiterzuleiten. Eine aktive Rolle spielt er nur bei
der identifizierung des Clients.
Viel Erfolg beim finden besserer Antworten als meiner,
busche

>-----Originalnachricht-----
>hi,
>
>genauso habe ich das auch verstanden.
>aber mir stellt sich die frage letztenendes wo ich denn
>die zertifikate herbekomme. ich teste das ganze intern,
>also ohne internetzugang.
>ich habe win xp prof. mit dem release candidate 2
>installiert. damit habe ich wpa zur verfügung
>
>mit wpa-psk klappt alles einwandfrei.
>ich habe ias installiert und versuche nun wpa zu nutzen.
>aber leider klappt das nicht so wie ich das will.
>
>auf dem client habe ich folgendes eingestellt:
>wpa mit 802.1x und peap.
>
>auf dem ias weiß ich nicht so genau was ich da einstellen
>muss. muss ich eine ras-richtlinie festlegen damit ein
>zugriff vom client erfolgen kann? und wenn ja welche
>einträge müssen da drin stehen? und muss mann auf der
>eigenschaftsregisterkarte des benutzers im active
>directory explizit angeben unter Einwählen, dass der user
>ras machen darf??
>
>und die letzte frage wäre was ich bei den client
>richtlinien angeben muss! doch sicherlich die ip des
>clients...oder? also ich hab alles getestet und ein ping
>funktioniert überhaupt nicht.
>
>das problem besteht glaube ich darin, wenn ich die ras
>richtlinie festlege und peap auswähle und dann dort auf
>bearbeiten gehe, sagt der server mir das keine
>zertifikate gefunden werden können. wo bekomm ich die
>denn her?
>
>und wieso soll denn eher eap-tls genutzt werden?
>
>fragen über fragen, aber viell. habt ihr auf alles auch
>antworten.
>
>vielen dank!
>
>patrick
>
>
>>-----Originalnachricht-----
>>Also die Thematik erscheint mir auch immer recht komplex.
>>Soweit ich das ganze verstanden habe sieht das Scenario
>so
>>aus:
>>Wenn du PEAP verweden willst halte dich am besten direkt
>>an den Standard IEEE 802.1x. Für diesen gibt es
>>unterschiedliche Authentifizierungsmethoden, von denen
>>eine PEAP(protected EAP) ist. Bei 802.1x wird eine
>>Kommunikation nur über das Protokoll EAP bzw. EAPOL
>>zugelassen. Will sich nun ein Client bei einem Server
>>authentifizieren, so wird im ersten Schritt zwischen
>>Client und Radius Server ein Tunnel aufgebaut. In diesem
>>Tunnel authentifiziert sich dann der Client gegenüber
>dem
>>Server und es wird ein Session key ausgehandelt. Die
>>Sicherheit besteht also letztendlich darin, daß die
>>Zugangsverhandlungen in einem Tunnel vonstatten gehen.
>>Eine Alternative zu PEAP ist EAP-TLS. Hier werden
>>Zertifikate zur Authentifizierung und Verschlüsselung
>>verwendet. Zu EAP-TLS gibt es einen rfc(versuch zu
>>googlen).
>>Zu PEAP gibt es einen solchen nicht(ich habe jedenfalls
>>lange danach gesucht)Siehe thread weiter unten im Forum.
>>Ich habe jetzt vor kurzem gehört,daß die Tendenz dahin
>>geht eher EAP-TLS oder eine proprietäre Lösung
>>einzusetzen. Wenn du noch mehr Fragen hast poste einfach
>>nochmal. Falls ich Fehler gemacht habe, bin ich froh,
>wenn
>>mich jemand berichtigt.
>>>-----Originalnachricht-----
>>>hallo,
>>>vielen dank für die antwort.
>>>mmhh...so langsam fällt der groschen.hoffe ich.
>>>
>>>wenn ich jetzt die ms lösung mit PEAP nutze, habe ich
>das
>>>so verstanden, das PEAP passwortbasiert ist und ich
>keine
>>>zertifikate benötige. stimmt das?
>>>
>>>
>>>
>>>
>>>>-----Originalnachricht-----
>>>>hallo
>>>>also grundsätzlich hast du den richtigen ansatz.
>>>>die verschlüsselung bleibt auf der strecke.
>>>>wenn du aber eap verwendest, benötigst du
>>>>ein zertifikat oder am besten gleich eine
>>>>eigen ca. somit kannst du dann einfach eine
>>>>pki umgebung und somit auch daten verschlüsselung
>>>aufbauen.
>>>>
>>>>
>>>>cu edmund
>>>>
>>>>>-----Originalnachricht-----
>>>>>Hallo,
>>>>>
>>>>>Ich würde gern eine RADIUS Umgebung in Bezug auf WLAN
>>>>>einrichten, jedoch fehlt es mir da am
>Grundverständnis.
>>>>>
>>>>>Vielleicht könnt ihr mir ja weiterhelfen. Ich habe
>mir
>>>>>tonnenweise Anleitungen von MS durchgelesen, jedoch
>>>>>verstehe ich eines nicht. Was nützt mir denn RADIUS
>in
>>>>>Verbindung mit PEAP wenn meine Daten destotrotz mit
>WEP
>>>>>verschlüsselt werden?
>>>>>
>>>>>Nach meinem Verständis wird über die EAP Methoden nur
>>>die
>>>>>Authentifizirungsdaten der Nutzer übertragen.
>>>>>Also: "Hallo ich bin der Klaus! Darf
>>>>>ich auf den Server?" und die Daten die letztenendes
>>>>>Übertragen werden, werden mit WEP verschlüsselt (wenn
>>>ich
>>>>>ne Karte habe die nur WEP anbietet!!)
>>>>>
>>>>>Ist ja alles schön und gut das mit der RADIUS
>Umgebung
>>>>>aber die Verschlüsselung bleibt doch dabei auf der
>>>>>Strecke?!
>>>>>Oder werden auch Daten mit EAP verschlüsselt??
>>>>>
>>>>>Wäre nett wenn ihr mir da mal helfen könntet.
>>>>>
>>>>>vielen Dank
>>>>>
>>>>>Patrick
>>>>>
>>>>>.
>>>>>
>>>>.
>>>>
>>>.
>>>
>>.
>>
>.
>

Relevant Pages

  • WLAN SIcherheitsimplementierung
    ... auf dem client habe ich folgendes eingestellt: ... wpa mit 802.1x und peap. ... zertifikate gefunden werden können. ... >unterschiedliche Authentifizierungsmethoden, von denen ...
    (microsoft.public.de.security.netzwerk.sicherheit)
  • Re: 802.1x Authentication Question
    ... That means that the server will use PEAP for this policy. ... If the IAS isn´t a domain member you can set up all the user directly ... client certificates, but PEAP is a bit easier to set up. ...
    (microsoft.public.internet.radius)
  • Re: TLS: Leere certificate_authorities-Liste in certificate_request-Message
    ... was sich der Server ... CertificateRequest an den Client schicken würde mit einer leeren Liste ... Zertifikate akzeptiert, ist ebenfalls sinnfrei, da der Server nicht ...
    (de.comp.security.misc)
  • Re: LWP und wget Option
    ... Option gesetzt ist, kann ich eine URL, bei der ansonsten "401 Access Denied" ... Wenn der Client Zertifikate prüft und der Server ... Also kann der Server auch nicht antworten ...
    (de.comp.lang.perl.misc)
  • Zertifikate unter Server 2003, EAP-TLS
    ... Authentifizierungsverfahren möchte ich EAP-TLS verwenden. ... Authentifiziert sich der Server beim Client und der Client ... Clients Zertifikate ausgestellt ...
    (microsoft.public.de.german.windows.server.general)