Fragen zu WLAN mit IPSEC/L2TP + Zertifikaten

[Foster´s]

Hy Leute,
bin gerade dabei eíne Testumgebung für unsere zukünftige WLAN Anbindung zu erstellen.

Im Groben : Erweiterung des vorh. Netzwerkes mit ipsec gesichertem WLAN

Folgendes habe ich bereits durchgeführt :

1. Erweiterung des Windows 200 Servers (DV mit einer Netzwerkkarte
NIC1 - 192.168.50.1/24 ( vorhndes Netz Cleints)
NIC2 - 172.31.0.10/16 *** Neues Netz für WLAN ***

2. Switch + 2 x AccessPoint an die NIC2
- WEP Key an den AccessPoints hinterlegt / SSID BC deakt.

3. Installation des IIS anschl. Zertifikationsdienste
- Einrichtung einer Zertifikationsstelle

4. Einrichtung des RRAS als VPN Server
- RAS Richtline erstellt (nur Benutzergruppe "VPNUser" darf per "VPN" wenn "L2TP" verwendet wird)
- Als Authentifizierungsmethode/protokoll ist nur EAP erlaubt
- IP Adressen werden aus festem Pool zugeteilt
- IPFilter wurden "von Alleine" gesetzt
- Erlaubt nur l2tp + isakmp (udp 500; 1701)
- DHCP (udp 68 & 69) hinzugefügt

... im grossen und ganzen hab ich mich hierbei an die Anleitung auf gruppenrichtlinien.de geahlten

5. DHCP Bereich für das WLAN hinzugefügt.

6. Dementsprechend auch den Client konfiguriert

--------

.. Soweit funktioniert das auch ganz gut ...

1. Anmeldung / Einwahl funktionert (nur per l2tp/ipsec mit Zertifikaten, aber ich glaube der Weg ist noch etwas umständlich :
- melde mich per "normal LAN" als Admin an, hole mir dann per http:\\fqdnserver\certsrv Zertifikat "Administrator"
- diese exportiere ich dann über den Internet Explorer in eine Datei, importiere es wieder per mmc und verscheibe das Rootzertifikat von "Eigene Zertifikate " nach "Vertrauenswürde Zertifikate"
- als "Neuer User" muss ich mir dann allerdings einmalig nochmal ein Zertifikat holen (per http


-> Ist das alles so richtig ? geht das einfacher ? Wäre nett wenn mir das einer erklären könnte !

-> kann mir einer mal nen Satz zu dem "EAP" geben ? Sinnvoll ? Meinungen ?

2. Habe ausserdem das Problem, dass die Anmeldung an der Domäne jetzt halt nicht merh funktioniert. Da ja der VPN Tunnel noch nicht aufgebaut ist .... per DFÜ anmelden geht auch nicht. ( würde wohl nur mit Smartcard funktionieren!?)
-> gibt es hier eine Lösung ?

3. Wie sichere ich die WLAN Clients ab ? (WICHTIG!!)
- mal angenommen jemand hat den WEP Key "geschafft" und ist somit mit dem WLAN verbunden ? Auf den Server kann er nicht zugreifen, da nur IPSEC Einwahl stattfinden kann. Die Daten koennen nicht gesnifft werden, da der l2tp es tunnelt. aber da ich am client weiterhin das IP Protokoll aktiviert haben muss, gibt es doch da den Angiffspunkt !? Oder ?
-> Was macht man da ? (wenn möglich mit Boardmitteln)


4. Wie sieht es mit der Performance aus ? kann man das irgendwie berechnen ? habe hier nur 3 WLAN Clients z.zT (Sollen ca 20 werden) ... und merke, dass ein "Download" vom Server ca. 3x so lange dauert .... was erwartet mich da ?


5. Was sagt ihr im Allgmeinen ? Gibt es sachen die man besser machen kann / soll / MUSS ?


.... so, wer sich die mühe gemacht und alles gelesen hat, kánn auch gerne noch die eine oder andere Zeile antworten. Dann finden wir bestimmt eine Lösung auf meine Fragen

Haltet euch nicht zurück

Schönen Sonntag weiterhin !

[Foster´s]

will denn gar niemand seinen Senf dazu geben ? ... bin auf der Suche nach einer Möglichkeit die WLAN Notebooks abzusichern

Kann man die IP Filterung am Win2000/XP Client nur auf eine der Netzwerkverbindungen beschränken ? habe gelesen, dass das setzen der Filter sich auf alle Verbindungen auswirkt, ist das richtig ?

MFG
Foster´s

[heinzelrumpel]

Hallo,

du kannst die schnittstellen auch seperat konfigurieren.

so, wie du das scenario beschrieben hast, ist doch alles in ordnung. es funktioniert lt. deiner aussage alles. das einzige, was mir spontan einfällt ist, den server an der nic2 als sicherer server zu konfigurieren, d.h. ein ipsicherheitsregel zu erstellen, die nur ipsec datenverkehr durchlässt. damit ersparst du dir die vpn einwahl und das starten/konfigurieren des rras. zertifikate brauchst du aber weiterhin im speicher lokaler computer auf den clients. diese kann man aber bequem per diskette verteilen.

gruß

heinzelrumpel

[Foster´s]

Hallo heinzrumpel,
Danke für deinen Beitrag !

Zitat von heinzelrumpel d.h. ein ipsicherheitsregel zu erstellen, die nur ipsec datenverkehr durchlässt. damit ersparst du dir die vpn einwahl und das starten/konfigurieren des rras.

kannst du das genauer erläutern ? Dachte ich hätte nur Ipsec Verbindungen erlaubt, da ja nur UDP Port 1701 und 500 erlaubt sind !? Wie verbinde ich mich dann zum Server ? ...versteh das noch nicht ganz.

Wie beurteilst du die Sicherheit der Notebook Clients ? Ist das aktiviert IP Protokoll ein Sicherheitsrisiko ?

MFG

[heinzelrumpel]

Zitat von Foster´s kannst du das genauer erläutern ? Dachte ich hätte nur Ipsec Verbindungen erlaubt, da ja nur UDP Port 1701 und 500 erlaubt sind !? Wie verbinde ich mich dann zum Server ? MFG

so wie ich das verstehe, hast du den filter für die ports nur auf die rras-schnittstelle gelegt. da die nic2 am switch hängt kann nachwievor jeder sich dort einstöpseln und ungesicherten zugriff auf den server gelangen. da ja für vpn ebenfalls ein transportmedium existent sein modus ( über das dann vpn initiert wird ) ist der erste verbindungsaufbau zur nic2 standardmäßig auch unsicher, bzw. besteht für andere wlan-clients die möglichkeit den server physikalisch zu erreichen.

bei der anwendung einer ip-sicherheitsrichtlinie verweigert der server jegliche kommunikation von nicht ipsec-clients, was m.E. eine erhöte sicherheit darstellt.

erreichen kannst du dies, indem du das snap-in lokale sicherheitsrichtline öffnest und dort die richtlinie deinen bedürfnissen anpasst . an dieser stelle jetzt die genauen schritte zu erläutern, wäre ein wenig zu umfangreich. da du aber den transportmodus wählst, muss der server so konfiguriert werden, dass eingehende und ausgehende paktete verschlüsselt werden. dazu erstellt man die richtlinie und aktiviert dann die spiegelung. die zertifikate brauchst du weiterhin. root zertifikat in vertrauenswürdige stammzertifikate und benzuterzertifikat in eigene zertifikate. beides auf server und client.

habe es bei mir so eingerichtet, dass ich bei der stammzertifizierungsstelle ein
zertifikat angefordert habe und dieses dann im *.pfx format exportiert habe. danach jeweils auf server und client importiert.

gruß

heinzelrumpel

[heinzelrumpel]

hier mal ein link, der im groben das darstellt, was zu machen ist.

http://ipsec.gosecurity.ch/server/ipsec_sg001.asp

[Foster´s]

Zitat von heinzelrumpel hier mal ein link, der im groben das darstellt, was zu machen ist. http://ipsec.gosecurity.ch/server/ipsec_sg001.asp

danke für den link, den hätt´ ich eher finden sollen

muss mich jetzt aber noch mal in mein Testnetz klammern .... Es muss doch auch möglichkeit geben, dem Notebook zu sagen : "auf LAN darfst du alles, auf WLAN darfst du nur UDP 500 & 1701 raus" ?? Das geht ja auch mit der WinXP SP2 Firewall nicht richtig, oder ?

Danke für die Hilfe !