WLAN SIcherheitsimplementierung
From: Patrick Fischer (anonymous_at_discussions.microsoft.com)
Date: 07/30/04
- Previous message: Evelyn Ruf \(MS\): "Microsoft Security Bulletin MS04-025"
- In reply to: donut: "WLAN SIcherheitsimplementierung"
- Messages sorted by: [ date ] [ thread ]
Date: Fri, 30 Jul 2004 11:19:36 -0700
also bei peap brauchst du serverseitige zertifikate. bei
eap-tls brauchst du eine pki struktur. habe ich zumindest
gelesen. ich hab auch nen dokument gefunden zur
einrichtung von zertifikaten auf einem ias. na mal sehen
ob das alles klappt.
wenn ich es gepackt habe schreib ich mal ne kurzanleitung.
mittlerweile sind es mehrere ordner an anleitungen.
gruß patrick
>-----Originalnachricht-----
>die einzige Antwort, die mir zu der Frage -warum eher
eap
>tls-einfällt ist, daß es zu eap tls einen RFC gibt, der
>einen quasi Standard definiert und zu peap zumindestens
>momentan nicht. Dies schreckt mich gewissermaßen ab,
weil
>ich zu wenige verläßliche Quellen darüber habe.
>Ich meine gelesen zu haben, daß peap (zumindestens
>manchmal) Serverseiteige Zertifikate benutzt, aber keine
>Benutzerzertifikate. DAs würde heißen, daß du eine CA
>(certificate authority brauchst, von welcher aus du ein
>Zertifikat installieren kannst. Wie eine solche zu
>installieren ist kannst du bei Microsoft finden (Suche
>nach: certificate authority windows 2000 install). Mit
dem
>IAS Server kenne ich mich leider gar nicht aus.
>Auf jeden Fall muß es glaube ich so sein, daß deine
>Netzwerkgeräte den Pfad zum IAS Server kennen und auf
>diesen verweisen.(Der Access-Point dient bei 802.1x dazu
>Pakete weiterzuleiten. Eine aktive Rolle spielt er nur
bei
>der identifizierung des Clients.
>Viel Erfolg beim finden besserer Antworten als meiner,
>busche
>
>>-----Originalnachricht-----
>>hi,
>>
>>genauso habe ich das auch verstanden.
>>aber mir stellt sich die frage letztenendes wo ich denn
>>die zertifikate herbekomme. ich teste das ganze intern,
>>also ohne internetzugang.
>>ich habe win xp prof. mit dem release candidate 2
>>installiert. damit habe ich wpa zur verfügung
>>
>>mit wpa-psk klappt alles einwandfrei.
>>ich habe ias installiert und versuche nun wpa zu nutzen.
>>aber leider klappt das nicht so wie ich das will.
>>
>>auf dem client habe ich folgendes eingestellt:
>>wpa mit 802.1x und peap.
>>
>>auf dem ias weiß ich nicht so genau was ich da
einstellen
>>muss. muss ich eine ras-richtlinie festlegen damit ein
>>zugriff vom client erfolgen kann? und wenn ja welche
>>einträge müssen da drin stehen? und muss mann auf der
>>eigenschaftsregisterkarte des benutzers im active
>>directory explizit angeben unter Einwählen, dass der
user
>>ras machen darf??
>>
>>und die letzte frage wäre was ich bei den client
>>richtlinien angeben muss! doch sicherlich die ip des
>>clients...oder? also ich hab alles getestet und ein
ping
>>funktioniert überhaupt nicht.
>>
>>das problem besteht glaube ich darin, wenn ich die ras
>>richtlinie festlege und peap auswähle und dann dort auf
>>bearbeiten gehe, sagt der server mir das keine
>>zertifikate gefunden werden können. wo bekomm ich die
>>denn her?
>>
>>und wieso soll denn eher eap-tls genutzt werden?
>>
>>fragen über fragen, aber viell. habt ihr auf alles auch
>>antworten.
>>
>>vielen dank!
>>
>>patrick
>>
>>
>>>-----Originalnachricht-----
>>>Also die Thematik erscheint mir auch immer recht
komplex.
>>>Soweit ich das ganze verstanden habe sieht das
Scenario
>>so
>>>aus:
>>>Wenn du PEAP verweden willst halte dich am besten
direkt
>>>an den Standard IEEE 802.1x. Für diesen gibt es
>>>unterschiedliche Authentifizierungsmethoden, von denen
>>>eine PEAP(protected EAP) ist. Bei 802.1x wird eine
>>>Kommunikation nur über das Protokoll EAP bzw. EAPOL
>>>zugelassen. Will sich nun ein Client bei einem Server
>>>authentifizieren, so wird im ersten Schritt zwischen
>>>Client und Radius Server ein Tunnel aufgebaut. In
diesem
>>>Tunnel authentifiziert sich dann der Client gegenüber
>>dem
>>>Server und es wird ein Session key ausgehandelt. Die
>>>Sicherheit besteht also letztendlich darin, daß die
>>>Zugangsverhandlungen in einem Tunnel vonstatten gehen.
>>>Eine Alternative zu PEAP ist EAP-TLS. Hier werden
>>>Zertifikate zur Authentifizierung und Verschlüsselung
>>>verwendet. Zu EAP-TLS gibt es einen rfc(versuch zu
>>>googlen).
>>>Zu PEAP gibt es einen solchen nicht(ich habe
jedenfalls
>>>lange danach gesucht)Siehe thread weiter unten im
Forum.
>>>Ich habe jetzt vor kurzem gehört,daß die Tendenz dahin
>>>geht eher EAP-TLS oder eine proprietäre Lösung
>>>einzusetzen. Wenn du noch mehr Fragen hast poste
einfach
>>>nochmal. Falls ich Fehler gemacht habe, bin ich froh,
>>wenn
>>>mich jemand berichtigt.
>>>>-----Originalnachricht-----
>>>>hallo,
>>>>vielen dank für die antwort.
>>>>mmhh...so langsam fällt der groschen.hoffe ich.
>>>>
>>>>wenn ich jetzt die ms lösung mit PEAP nutze, habe ich
>>das
>>>>so verstanden, das PEAP passwortbasiert ist und ich
>>keine
>>>>zertifikate benötige. stimmt das?
>>>>
>>>>
>>>>
>>>>
>>>>>-----Originalnachricht-----
>>>>>hallo
>>>>>also grundsätzlich hast du den richtigen ansatz.
>>>>>die verschlüsselung bleibt auf der strecke.
>>>>>wenn du aber eap verwendest, benötigst du
>>>>>ein zertifikat oder am besten gleich eine
>>>>>eigen ca. somit kannst du dann einfach eine
>>>>>pki umgebung und somit auch daten verschlüsselung
>>>>aufbauen.
>>>>>
>>>>>
>>>>>cu edmund
>>>>>
>>>>>>-----Originalnachricht-----
>>>>>>Hallo,
>>>>>>
>>>>>>Ich würde gern eine RADIUS Umgebung in Bezug auf
WLAN
>>>>>>einrichten, jedoch fehlt es mir da am
>>Grundverständnis.
>>>>>>
>>>>>>Vielleicht könnt ihr mir ja weiterhelfen. Ich habe
>>mir
>>>>>>tonnenweise Anleitungen von MS durchgelesen, jedoch
>>>>>>verstehe ich eines nicht. Was nützt mir denn RADIUS
>>in
>>>>>>Verbindung mit PEAP wenn meine Daten destotrotz mit
>>WEP
>>>>>>verschlüsselt werden?
>>>>>>
>>>>>>Nach meinem Verständis wird über die EAP Methoden
nur
>>>>die
>>>>>>Authentifizirungsdaten der Nutzer übertragen.
>>>>>>Also: "Hallo ich bin der Klaus! Darf
>>>>>>ich auf den Server?" und die Daten die letztenendes
>>>>>>Übertragen werden, werden mit WEP verschlüsselt
(wenn
>>>>ich
>>>>>>ne Karte habe die nur WEP anbietet!!)
>>>>>>
>>>>>>Ist ja alles schön und gut das mit der RADIUS
>>Umgebung
>>>>>>aber die Verschlüsselung bleibt doch dabei auf der
>>>>>>Strecke?!
>>>>>>Oder werden auch Daten mit EAP verschlüsselt??
>>>>>>
>>>>>>Wäre nett wenn ihr mir da mal helfen könntet.
>>>>>>
>>>>>>vielen Dank
>>>>>>
>>>>>>Patrick
>>>>>>
>>>>>>.
>>>>>>
>>>>>.
>>>>>
>>>>.
>>>>
>>>.
>>>
>>.
>>
>.
>
- Previous message: Evelyn Ruf \(MS\): "Microsoft Security Bulletin MS04-025"
- In reply to: donut: "WLAN SIcherheitsimplementierung"
- Messages sorted by: [ date ] [ thread ]
Relevant Pages
|
