Pitt84

Hallo zusammen,

ich habe eine wahrscheinlich relativ einfaches Problem, habe aber aus zeitgründen nicht viel Zeit mich damit zu beschäftigen.

Ich hoffe, mir kann jemand schnell helfen. Ich habe einen IAS installiert und konfiguriert mit allem was dazu gehört. (AD-Anbindung etc.)

Jetzt sollen sich die Clients einmal über die Domäne anmelden um das Serverzertifikat zu erhalten. Das zertifikat habe ich mittels Zertifikatsdienst erstellt und dieses ist auch unter "Zertifikate" angegeben. Wie kann ich jetzt eine gruppenrichtlinie erstellen mit der ich dieses vernünftig ausrollen und verteilen kann?

Danke schonmal

Gruß, Pitt

So...den Thread kann man abschließen...wer Infos möchte, kann mich gerne zu dem Thema 802.1x und iAS anschreiben.

Grizzly: Ich danke Dir auch für Deine Antworten. Es war allerdings falsch, dass der Server kein Zertifikat braucht, er braucht eins allein für den TLS Tunnel. (SSL/TLS-Handshake aber ohne Client Zertifikat im Gegensatz zu EAP-TLS)

Wenn der Client das Zertifikat zusätzlich überprüfen soll, muss dieses Zertifikat des Servers natürlich vom Client noch angefordert werden über die mmc. Der Fehler bei mir letztendlich war der, dass das Zertifikat des Servers im eigenen Benutzerkonto nicht drin war. Nach einem Neustart und nem gpupdate /target:servername hat es dann funktioniert.

Achja natürlich alles über PEAP-EAP-MS-CHAPv2...

Gruß, Pitt

ok danke hat sich schon erledigt. :cool:

Hab den Fehler gefunden, ich hatte auf dem Switch aus Versehen gestern den Secret-Key gelöscht, der auf dem IAS konfiguriert war.

Jetzt läuft es endlich mit MS-CHAPv2.:D

Hallo zusammen,

ich versuche gerade PEAP-MS-CHAPv2 und 802.1x zu implementieren mittels IAS.

Ein Zertifikat habe ich ausstellen lassen für den IAS. Den CLient habe ich auch entsprechend konfiguriert. Im Eventlog steht nun immer:

Es wurde "Access-Request"-Meldung vom RADIUS-Client HP Procurve 5308xl mit einem ungültigen "Message Authenticator"-Attribut empfangen.

Hat jemand eine Lösung für dieses Problem? In den Einstellungen des RADIUS Clients habe ich "Anforderung muss das Attribut "Message Authenticator" enthalten angeklickt. DIe Fehlermeldung ist aber die selbe, wenn ich den Haken rausnehme.

Gruß

Kann mir denn jetzt keiner vernünftig helfen? Ich habe jetzt alle Authentifizierungsmethoden deaktiviert bis auf MSCHAPv2 (wenn ich alle bis auf md5 deaktiviere, funktioniert die MD5 Authentifizierung).

Es geht aber einfach nicht und ich bin jetzt echt ratlos.

grizzly: Das mit dem MSCHAPv2 stimmt, Client UND Server müssen beweisen, dass sie das Kennwort kennen. Sweit so gut...im Internet die Quellen sind so für den *****...da steht es nämlich so mit dem Serverzertifikat(was ja auch möglich ist oder).

Naja auch egal, wie muss ich denn weiter vorgehen. Auf dem XP Client habe ich MSCHAP konfiguriert und auf dem IAS auch in der RAS Richtlinie im IAS. Der IAS ist auch mit der AD verbunden und Mitglied derselbigen.

Gruß

Außerdem wollte ich ja nur wissen, warum man mit EAP-MD5 diese Einstellung nicht vornhemen kann in den Eigenschaften der Netzwerkverbindung so wie bei MSCHAPv2. MD5 läuft und das habe ich mittels Wireshark überprüft.

Und jetzt wollte ich eben einfach auf MSCHAPv2 wechseln, damit ich diese Option setzen kann. Allerdings funktioniert das nicht aus irgendwelchen Gründen.

Die MD5-Authentifizierung funktioniert sehr wohl. Das Häkchen für "Kennwörter mit umkehrbarer Verschlüsselung speichern", wenn Du das meinst, habe ich schon vor ein paar Tagen gesetzt, aber nicht am Konto, sondern als Kontorichtlinie für Domänen. Ohne diese Einstellung funktioniert es ja nicht!!!

Zertifikate sind nicht unbedingt nötig, das ist richtig, da man auch den haken wegnehmen kann bei "Serverzertifikat überprüfen".

Aber nochmal kurz vorweg, die MD5-Challenge Authentifizierung funktioniert!!!! Eben nur, wenn ich schon angemeldet bin, wenn ich den Rechner neustarte und mich dann an der Domäne anmelden will, ist diese NATÜRLICH nicht erreichbar, da ich mich ja noch nicht in dem Moment am Netzwerk angemeldet habe. Das soll er aber automatisch machen mit den Anmeldedaten der AD. Also erst Anmeldung am Netzwerk, dann DHCP und dann AD

MD5 ist beim Client eingestellt (Netzwerkverbindunge-->Eigenschaften-->Authentifizierung-->EAP-Typ:MD5Challenge)

Beim IAS habe ich alle Authentifizierungsmethode ausgewählt, es sind also erstmal alle erlaubt

Welches Häkchen am Konto meinst Du?

Warum Kennwort ändern?

MSCHAPv2 beinhaltet die einseitige Zertifikatsauthentifizierung, dass heißt, dass das Zertifikat des Servers als vertrauenswürdig bei den Clients installiert werden muss. Oder nicht????

Grundlagen bringe ich mir gerade selber bei bezüglich IAS usw. nd bin auch schon einen riesen Schritt weitergekommen, sonst würde die Authentifizierung über IAS per MD5-Challenge ja auch nicht funktionieren. Unter Windows "Netzwerkverbindung --> Eigenschaften" kann man nur bei MSCHAPv2 "Automatisch eigenen Windows-Anmeldenamen und Kennwort (und Domäne, falls vorhanden)" anklicken.

MSCHAPv2 beinhaltet die einseitige Zertifikatsauthentifizierung, dass heißt, dass das Zertifikat des Servers als vertrauenswürdig bei den Clients installiert werden muss. Oder nicht????

Grundlagen bringe ich mir gerade selber bei bezüglich IAS usw. nd bin auch schon einen riesen Schritt weitergekommen, sonst würde die Authentifizierung über IAS per MD5-Challenge ja auch nicht funktionieren. Unter Windows "Netzwerkverbindung --> Eigenschaften" kann man nur bei MSCHAPv2 "Automatisch eigenen Windows-Anmeldenamen und Kennwort (und Domäne, falls vorhanden)" anklicken.

Hallo zusammen,

ich weiß einfach nicht mehr weiter. Ich will 802.1x Authentifizierung machen an nem HP Procurve 5308xl Switch. Es funktioniert die lokale Authentifizierung direkt auf dem Switch, auch die Authentifizierung gegenüber dem RADIUS über EAP-MD5 geht. Jetzt sind die Clients aber in einer Domäne Mitglied und somit soll natürlich der Domänenname und das Passwort direkt dazu genutzt werden, um den Client erst am Netzwerk anzumelden und erst dann an der Domäne. Diese Option bietet aber nur EAP- MSCHAPv2 unter Windows XP. Ich weiß nicht, warum es mit MD5 nicht geht und bisher konnte mir auch niemand eine Antwort darauf geben, außer dass es eben nicht mit MD5 ginge. *lol*

Also habe ich auch den Zertifikatsdienst installiert, da MSCHAPv2 ja ein Serverzertifikat voraussetzt. Das Stammzertifikat habe ich dann exportiert und per Diskette auf den XP Client übertragen. Dann habe ich es in der MMC unter Zertifikate reinkopiert unter"vertrauenswürdige Zertifikate" und "eigene Zertifikate".

Es geht aber garnichts, die Aufforderung kommt zwar aber beim IAS kommt nur der RADIUS-Request an und der IAS schickt nichts. Im Eventlog steht, dass die Zugriffsanforderung für Benutzer x gelöscht wurde und dass es an derClientkonfiguration liegt. TOLL!!!!

Was muss ich machen??? Im HP Procurve habe ich EAP-RADIUS als Authentifizierung konfiguriert.

Ich hoffe, dass es einen auf der Welt gibt, der mir weiterhelfen kann.

Gruß

Geht nicht. Windows unterstützt kein EAP-MD5 als Authentifizierungsmethode über die Domänenanmeldung. Warum weiß ich nicht und anscheinend auch sonst niemand. Noch nicht mal im Internet findet man etwas dazu.:mad:

Achso...;) Ich dachte, das die Richtlinie nur besagt, dass zuerst auf das Netzwerk gewartet wird BEVOR die Anmeldung an der Domäne vollzogen wird, also ohne Benutzerauthentifizierung am RADIUS.

wo finde ich denn diese sicherheitsrichtlinie unter xp?

Ja aber er soll ja die Benutzerdaten der AD benutzen, um sich dann am RADIUS und dann and er Domäne anzumelden.

Genau, das reversible Abspeichern der Kennwörter auf dem Server ist ein Sicherheitsrisiko, aber es haben ja normalerweise auch nur autorisierte Personen Zugriff zum Rechenzentrum, wo sich der Server befindet, somit man der Sache schon wieder mehr vertrauen könnte, aber gut....

Kann es sein, dass das nicht geht mit der Domänenanmeldung bei MD5, weil dort keine Zertifikate übertragen werden und er MD5 nicht übertragen kann. Irgendwie so...???:suspect:

EAP-MD5 meine ich, die Benutzerauthentifizierung funktioniert ja mit EAP-MD5, aber eben nur, wenn ich mich schon lokal angemeldet habe. Er soll aber direkt die Domänenanmeldedaten für die Authentifizierung verwenden, damit sich der User nicht immer erst lokal anmelden muss, um Netzzugriff zu erhalten.

MD5 alleine ist natürlich nicht zu empfehlen, aber für eine interne Authentifizierung innerhalb eines Firmennetzwerkes reicht es laut Auftraggeber aus. Es ist ja nichts anderes als CHAP. SO hab ich es verstanden.

EAP-MD5 und CHAP scheinen laut Google das gleiche zu sein.

Hallo zusammen,

ich nutze 802.1x Authentifizierung an einenm Switch. Das läuft auch soweit über MD5, allerdings ist es nicht möglich, dass sich der Client bei der Domänenanmeldung direkt auch am Netzwerk anmeldet und somit ist auch die Domäne in dem Moment nicht verfügbar, da der Client ja noch nicht mit dem Netzwerk verbunden ist. Ich habe gesehen, dass es bei Windows XP unter den Authentifizierungseinstellungen auch die Möglichkeit gibt, "geschütztes EAP" zu wählen und dort in der Konfiguration kann man ihm dann sagen, dass er die Domänenanmeldedaten direkt zur Authentifizierung verwenden soll.

Warum geht das bei EAP-MD5 nicht????

Braucht man für MS-CHAPv2 auch ein Zertifikat oder Zertifikatsserver? Und wenn, kennt jemand ein gutes Howto, wie man es unter Windows für den IAS einrichten kann?

Vielen Dank schonmal

Gruß, Pittkill

Hallo zusammen,

ich hoffe, das mir hier jemand helfen kann.

Ich habe mich mal ein bisschen mit dem RADIUS Protokoll nun beschäftigt und mir ist aufgefallen, dass anscheinend nur die Strecke zwischen Client und Switch mit EAP PEAP etc. verschlüsselt wird. Die Verbindung zwischen Switch und IAS wird nur von dem Shared Secret Key des RADIUS Protkolls verschlüsselt bzw. nur das Passwort.

Stimmt das so???? Und wie funktioniert das überhaupt nach erfolgreicher Authentifizierung? Wird der Datenverkehr im Anschluss verschlüsselt?

2.Frage:

PEAP scheint wie nicht wie vorher angenommen auf Zertifikate zu basieren. Laut Internet werden keine Client-Zertifikate eingesetzt?!?!

Wird der eigentliche Datenverkehr nach erfolgreicher Authentifizierung am NAS bzw. Radius Server auch verschlüsselt bei EAP-TLS? Client und Server einigen sich ja auf ein Verschlüsselungsverfahren normalerweise beorheri der Hybrid Verschlüsselung!

Ich hoffe, ich stoße hier auf einen Security Spezi, der mir die Fragen erläutern kann.

Mein Projekt beschäftigt sich damit (802.1x Port based authentication).

Vielen Dank im Voraus

Kann mir jemand hier weiterhelfen in der Thematik? Oder soll ich die Frage in einer anderen Kategorie stellen?

Danke und Gruß

Pitt

Hallo nochmal,

ich habe mich mal ein bisschen mit dem RADIUS Protokoll nun beschäftigt und mir ist aufgefallen, dass anscheinend nur die Strecke zwischen Client und Switch mit EAP PEAP etc. verschlüsselt wird. Die Verbindung zwischen Switch und IAS wird nur von dem Shared Secret Key des RADIUS Protkolls verschlüsselt bzw. nur das Passwort.

Stimmt das so????

siehe hier:

http://www.controlware.de/cws/daten/PDFs/Controlware_Security_Newsletter_01_2005.pdfw

Seite 8

Außerdem scheint PEAP auch nicht auf Zertifikate zu basieren. Es werden ja keine Client-Zertifikate eingesetzt?!?! Wird der eigentliche Datenverkehr nach erfolgreicher Authentifizierung auch verschlüsselt bei EAP-TLS? Client und Server eini einigen sich ja auf ein Verschlüsselungsverfahren normalerweise bei der Hybrid Verschlüsselung!

Wenn ich nun auf EAP-TLS umstellen möchte, welche Einstellung muss ich denn an den XP CLients vornehmen? "Smartcard oder anderes Zertifikat" oder "geschütztes EAP (PEAP)"???

obwohl wenn die auf dem Server liegen und nicht hin und her übertragen werden, hat es ja schon ein gewisses Maß an Sicherheit gegenüber normalem PAP.

OK das heißt, dass es beim IAS ja der Fall ist, da dieser CHAP nur in Verbindung mit dieser reversibelen Abspeicherung der Kennwörter unterstützt.

Aber dann ist CHAP ja sozusagen auch nicht wirklich sicherere als PAP, da er ja sozusagen die Kennwörter anders ausgedrückt in Klartext abspeichert. (wenn sie sowieso rückrechenbar sind)

Gibt es eine Möglichkeit, CHAP zu nutzen ohne diese Richtlinie zu aktivieren?

Bei CHAP wird das Passwort aber doch nicht direkt übertragen oder? Es wird doch ein MD5 Hashwert ermittelt aus einer Zufallszahl und dem Passwort und nur dieser dann vom Server verglichen. Hashwerte lassen sich ja nicht zurückrechnen, somit es für jemanden, der den Verkehr mitschneiden würde, ehe unmöglich ist, auf das Passwort zu schließen.

Oder habe ich das jetzt falsch verstanden??

Wie funktioniert eigentlich TLS. Ich habe vieles im internet gelesen, bin aber irgendwie verwirrt.

Da steht, dass sich Client und Server auf eine Verschlüsselungsmethode einigen würden nachdem der Session Key ausgehandelt/ausgetauscht wurde. TLS verschlüsselt aber doch schon oder?

Mich würde auch mal interessieren, wieso eine PKI nötig ist bei TLS? Das Zertifikat selber besitzt der Client doch genauso wie der Server oder?