Minti 10 Geschrieben 30. Januar 2007 Melden Teilen Geschrieben 30. Januar 2007 Hallo zusammen. Ich habe ein VPN aufgebaut und möchte nun gerne Zertifikate einer vertrauenswürdige CA verwenden. Allerdings kann ja dann jeder der ein Zertifikat dieser CA hat einen Tunnel aufbauen und versuchen sich am Radius Server zu authentifizieren. Stellt dies ein hohes Sicherheitsrisiko da? Da ich davon ausgehe wollte ich fragen ob es möglich ist nur bestimmte Zertifikate zuzulassen also von Usern denen ich Zugang gestatten möchte. Gibt es solch eine Möglichkeit? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 30. Januar 2007 Melden Teilen Geschrieben 30. Januar 2007 Nein, das geht nicht. Zertifikate, die von der selben (vertrauenswürdigen) CA stammen wie das des VPN Server, gültig sind, und den korrekten Zweck haben, werden angenommen. Willst du den Zugang weiter regeln, musst du das über RAS-Richtlinien machen. grizzly999 Zitieren Link zu diesem Kommentar
Minti 10 Geschrieben 30. Januar 2007 Autor Melden Teilen Geschrieben 30. Januar 2007 Aber angeben das ein bestimmter User nur mit seinem Zertifikat eine Verbindung aufbauen kann, kann ich auch in den RAS Richtlinien nicht oder? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 30. Januar 2007 Melden Teilen Geschrieben 30. Januar 2007 Ja, z.B. über die Bedingung "Windows Gruppen und Benutzer". grizzly999 Zitieren Link zu diesem Kommentar
Minti 10 Geschrieben 30. Januar 2007 Autor Melden Teilen Geschrieben 30. Januar 2007 über Windows Gruppen kann ich die zulässigen Gruppen einstellen die Zugriff bekommen. Aber da kann ich ja nicht einstellen das nur ein bestimmtes Zertifikat benutzt werden darf. Also das Hans Müller nur sein Zertifikat benutzen darf. Stellt es dein ein großes Sicherheitsrisiko da wenn jeder der ein Zertifikat hat sich mit dem Radius Server verbinden kann? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 30. Januar 2007 Melden Teilen Geschrieben 30. Januar 2007 Auch hier kann ich kein bestimmtes Benutzerzertifikat erlauben, das ist auch nicht im Sinne von PKI. Hier geht es um vertrauenswürdige Principals, und wenn ich eine CA als vertrauenswürdig definiere, dann sind alle ihre ausgestellten Zerts vertrauenswürdig. Man ja aber in den Ras-RL einstelluen, dass eine Zertifikatsauthentifizeirung (EAP-TLS) Bedingung ist, und dann sagen, dass nur Hänschen Müller (mit EAP-TLS) darf. Das ist ziemlich sicher. grizzly999 Zitieren Link zu diesem Kommentar
Minti 10 Geschrieben 30. Januar 2007 Autor Melden Teilen Geschrieben 30. Januar 2007 Aber ohne EAP-TLS wäre es zu unsicher oder? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 30. Januar 2007 Melden Teilen Geschrieben 30. Januar 2007 Die Frage ist so nicht beantwortbar. Da müsste man die komplette Umgebung, Einzelheiten usw. wissen. Allgemein gesagt, EAP-TLS ist prinzipiell mal eine ziemlich sichere Authentifizeriungsmethode, am sichersten mit Smartcard (Multi-Faktor-Authentifizierung). MSCHAP V2 ist auch sehr sicher, wenn das Kennwort hinreichend sicher ist. grizzly999 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.