Minti 10 Geschrieben 30. Januar 2007 Melden Geschrieben 30. Januar 2007 Hallo zusammen. Ich habe ein VPN aufgebaut und möchte nun gerne Zertifikate einer vertrauenswürdige CA verwenden. Allerdings kann ja dann jeder der ein Zertifikat dieser CA hat einen Tunnel aufbauen und versuchen sich am Radius Server zu authentifizieren. Stellt dies ein hohes Sicherheitsrisiko da? Da ich davon ausgehe wollte ich fragen ob es möglich ist nur bestimmte Zertifikate zuzulassen also von Usern denen ich Zugang gestatten möchte. Gibt es solch eine Möglichkeit?
grizzly999 11 Geschrieben 30. Januar 2007 Melden Geschrieben 30. Januar 2007 Nein, das geht nicht. Zertifikate, die von der selben (vertrauenswürdigen) CA stammen wie das des VPN Server, gültig sind, und den korrekten Zweck haben, werden angenommen. Willst du den Zugang weiter regeln, musst du das über RAS-Richtlinien machen. grizzly999
Minti 10 Geschrieben 30. Januar 2007 Autor Melden Geschrieben 30. Januar 2007 Aber angeben das ein bestimmter User nur mit seinem Zertifikat eine Verbindung aufbauen kann, kann ich auch in den RAS Richtlinien nicht oder?
grizzly999 11 Geschrieben 30. Januar 2007 Melden Geschrieben 30. Januar 2007 Ja, z.B. über die Bedingung "Windows Gruppen und Benutzer". grizzly999
Minti 10 Geschrieben 30. Januar 2007 Autor Melden Geschrieben 30. Januar 2007 über Windows Gruppen kann ich die zulässigen Gruppen einstellen die Zugriff bekommen. Aber da kann ich ja nicht einstellen das nur ein bestimmtes Zertifikat benutzt werden darf. Also das Hans Müller nur sein Zertifikat benutzen darf. Stellt es dein ein großes Sicherheitsrisiko da wenn jeder der ein Zertifikat hat sich mit dem Radius Server verbinden kann?
grizzly999 11 Geschrieben 30. Januar 2007 Melden Geschrieben 30. Januar 2007 Auch hier kann ich kein bestimmtes Benutzerzertifikat erlauben, das ist auch nicht im Sinne von PKI. Hier geht es um vertrauenswürdige Principals, und wenn ich eine CA als vertrauenswürdig definiere, dann sind alle ihre ausgestellten Zerts vertrauenswürdig. Man ja aber in den Ras-RL einstelluen, dass eine Zertifikatsauthentifizeirung (EAP-TLS) Bedingung ist, und dann sagen, dass nur Hänschen Müller (mit EAP-TLS) darf. Das ist ziemlich sicher. grizzly999
Minti 10 Geschrieben 30. Januar 2007 Autor Melden Geschrieben 30. Januar 2007 Aber ohne EAP-TLS wäre es zu unsicher oder?
grizzly999 11 Geschrieben 30. Januar 2007 Melden Geschrieben 30. Januar 2007 Die Frage ist so nicht beantwortbar. Da müsste man die komplette Umgebung, Einzelheiten usw. wissen. Allgemein gesagt, EAP-TLS ist prinzipiell mal eine ziemlich sichere Authentifizeriungsmethode, am sichersten mit Smartcard (Multi-Faktor-Authentifizierung). MSCHAP V2 ist auch sehr sicher, wenn das Kennwort hinreichend sicher ist. grizzly999
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden