Pitt84 10 Geschrieben 11. Dezember 2006 Autor Melden Teilen Geschrieben 11. Dezember 2006 Wie funktioniert eigentlich TLS. Ich habe vieles im internet gelesen, bin aber irgendwie verwirrt. Da steht, dass sich Client und Server auf eine Verschlüsselungsmethode einigen würden nachdem der Session Key ausgehandelt/ausgetauscht wurde. TLS verschlüsselt aber doch schon oder? Mich würde auch mal interessieren, wieso eine PKI nötig ist bei TLS? Das Zertifikat selber besitzt der Client doch genauso wie der Server oder? Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 11. Dezember 2006 Melden Teilen Geschrieben 11. Dezember 2006 Nein. Meist ist es so realisiert, dass der Cleint das öffentliche Zertifikast des Servers kennt und der darüber (also private und public Key Verfahren) der Session Key ausgehandelt wird. Es ist auch möglich, daß der Client seine Pakete mit dem eigenen private Key versieht. Zertifikate und deren Enrollment sowie Absicherung und Backup eines Zertifikatservers vor Allem in Windowsumgebungen sollte dich aber beschäftigen bevor du das installierst... Zitieren Link zu diesem Kommentar
Aktaion 10 Geschrieben 11. Dezember 2006 Melden Teilen Geschrieben 11. Dezember 2006 Ihr wisst, dass das abspeichern der Kennwörter in reversiebler Form ein Sicherheitsrisko ist oder? Also ich würde da lieber über eine andere Lösung gedanken machen... Clientzertifikate und EAP usw. Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 11. Dezember 2006 Melden Teilen Geschrieben 11. Dezember 2006 Ihr wisst, dass das abspeichern der Kennwörter in reversiebler Form ein Sicherheitsrisko ist oder? Also ich würde da lieber über eine andere Lösung gedanken machen... Clientzertifikate und EAP usw. Hast du den Thread durchgelesen? Da steht da z.B.: Achtung. Bei dir läuft das jetzt noch über CHAP (oder nicht ?). Enabling the Challenge Handshake Authentication Protocol (CHAP) Microsoft Corporation Zitieren Link zu diesem Kommentar
Pitt84 10 Geschrieben 11. Dezember 2006 Autor Melden Teilen Geschrieben 11. Dezember 2006 Bei CHAP wird das Passwort aber doch nicht direkt übertragen oder? Es wird doch ein MD5 Hashwert ermittelt aus einer Zufallszahl und dem Passwort und nur dieser dann vom Server verglichen. Hashwerte lassen sich ja nicht zurückrechnen, somit es für jemanden, der den Verkehr mitschneiden würde, ehe unmöglich ist, auf das Passwort zu schließen. Oder habe ich das jetzt falsch verstanden?? Zitieren Link zu diesem Kommentar
Aktaion 10 Geschrieben 11. Dezember 2006 Melden Teilen Geschrieben 11. Dezember 2006 Also das geht eher um die Speicherung der Kennwörter auf dem Server. Reversiebel meint, dass das Kennwort rückrechenbar abgespeichert wird. PS: @weg5st0 sry hab dein Zitattext nicht gelesen :/ Zitieren Link zu diesem Kommentar
Pitt84 10 Geschrieben 11. Dezember 2006 Autor Melden Teilen Geschrieben 11. Dezember 2006 OK das heißt, dass es beim IAS ja der Fall ist, da dieser CHAP nur in Verbindung mit dieser reversibelen Abspeicherung der Kennwörter unterstützt. Aber dann ist CHAP ja sozusagen auch nicht wirklich sicherere als PAP, da er ja sozusagen die Kennwörter anders ausgedrückt in Klartext abspeichert. (wenn sie sowieso rückrechenbar sind) Gibt es eine Möglichkeit, CHAP zu nutzen ohne diese Richtlinie zu aktivieren? Zitieren Link zu diesem Kommentar
Pitt84 10 Geschrieben 11. Dezember 2006 Autor Melden Teilen Geschrieben 11. Dezember 2006 obwohl wenn die auf dem Server liegen und nicht hin und her übertragen werden, hat es ja schon ein gewisses Maß an Sicherheit gegenüber normalem PAP. Zitieren Link zu diesem Kommentar
Aktaion 10 Geschrieben 11. Dezember 2006 Melden Teilen Geschrieben 11. Dezember 2006 Ich würde halt weder PAP noch CHAP in Betracht ziehen... Die Zukunft liegt in digitalen Zertifikaten und in Auth/Verschlüsselungsverfahren die auf darauf beruhen. Steck die Energie lieber im testen solcher Umgebungen, als dir Gedanken um die Absicherung einer Lösung via CHAP und/oder PAP zu machen. Zitieren Link zu diesem Kommentar
Pitt84 10 Geschrieben 11. Dezember 2006 Autor Melden Teilen Geschrieben 11. Dezember 2006 Wenn ich nun auf EAP-TLS umstellen möchte, welche Einstellung muss ich denn an den XP CLients vornehmen? "Smartcard oder anderes Zertifikat" oder "geschütztes EAP (PEAP)"??? Zitieren Link zu diesem Kommentar
Aktaion 10 Geschrieben 11. Dezember 2006 Melden Teilen Geschrieben 11. Dezember 2006 Grundsätzlich benötigst du eine Zertifikatsinfrastruktur - im einfachsten Fall eine Zertifizierungstelle für dein Projekt - die kannst du AD intergrieren oder auch alleinstehend installieren. Achtung sicher die regelmäßig mit! Danach benötigt dein Client ein Computerzertifikat entweder manuell oder automatisiert. Danach du müsstest die IAS Richtlinien entsprechend einrichten - danach die Einstellungen am Client vornehmen (geht bestimmt auch über ne GPO). Am sichersten ist PEAP, aber zum ganzen Thema Zertifizierungstelle gibts auch bei MS nette Whitepaper. Zitieren Link zu diesem Kommentar
Pitt84 10 Geschrieben 12. Dezember 2006 Autor Melden Teilen Geschrieben 12. Dezember 2006 Hallo nochmal, ich habe mich mal ein bisschen mit dem RADIUS Protokoll nun beschäftigt und mir ist aufgefallen, dass anscheinend nur die Strecke zwischen Client und Switch mit EAP PEAP etc. verschlüsselt wird. Die Verbindung zwischen Switch und IAS wird nur von dem Shared Secret Key des RADIUS Protkolls verschlüsselt bzw. nur das Passwort. Stimmt das so???? siehe hier: http://www.controlware.de/cws/daten/PDFs/Controlware_Security_Newsletter_01_2005.pdfw Seite 8 Außerdem scheint PEAP auch nicht auf Zertifikate zu basieren. Es werden ja keine Client-Zertifikate eingesetzt?!?! Wird der eigentliche Datenverkehr nach erfolgreicher Authentifizierung auch verschlüsselt bei EAP-TLS? Client und Server eini einigen sich ja auf ein Verschlüsselungsverfahren normalerweise bei der Hybrid Verschlüsselung! Zitieren Link zu diesem Kommentar
Pitt84 10 Geschrieben 13. Dezember 2006 Autor Melden Teilen Geschrieben 13. Dezember 2006 Kann mir jemand hier weiterhelfen in der Thematik? Oder soll ich die Frage in einer anderen Kategorie stellen? Danke und Gruß Pitt Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.