Jump to content
Sign in to follow this  
Spacey

Cisco VPN Client:Passwort "enc_UserPassword" speichern oder keine UserAuth

Recommended Posts

Hallo!

 

Im anderen Thread habe ich bereits geklärt, wie man den Cisco VPN Client soweit vorbereiten kann, das man nach der Installation automatisch ein Profil mitgeben kann. Nun möchte ich noch gerne, dass das UserPasswort enc_UserPassword in dem pcf automatisch gespeichert wird, damit es nicht jedes Mal manuell eingegeben werden muss.

 

Hintergrund: Mit diesem Passwort wird sich sonst nirgends in unserem Netzwerk eingeloggt. Wenn jemand also das herausbekommen sollte hat derjenige nichts gewonnen - eine gesonderte Authentifizierung finden am genutzten Server innerhalb des VPN statt, die jeder manuell eingeben muss.

 

Wenn ich's in dem pcf abspeichere, dann fragt er beim ersten Mal das Pass nicht ab. Beim zweiten Connect jedoch schon wieder. Die Variable "SaveUserPassword" wird wohl vom Cisco bei Verbindungsaufbau überschrieben.

 

Ich habe ds hier im Netz gefunden: LiessMich - jedoch hat mich das nicht wirklich schlauer gemacht *was* genau ich machen muss.

 

Ich habe 2 Möglichkeiten rausgelesen:

 

a) Eine Gruppe erstellen ohne UserAuth

b) Ein Zertifikat verwenden

 

Ich würde Lösung a bevorzugen, meine jetzige Gruppe so abändern das sie kein UserAuth braucht - oder halt das Passwort speichern lassen. Hat jemand von Euch das selbe Problem gehabt oder kann mir nähere Angaben machen, was ich wo in der cfg genau(er) abändern muss?! :confused:

Share this post


Link to post

Hallo,

 

du bist aber sehr leichtsinnig - ob - er wird bei dem Zugriff auf einen Server nach einen PW gefragt - aber nur mal so - man kann wunderschön alle Art von Programme ins Netz jagen und auch wenn man pfiffig ist den Netzwerktraffik mitlesen - das hat einen Grund warum man das PW nicht speichern soll. Alles andere ist *blauäugig*. Wenn du es schon auf dem Client speichern willst - dann schalt es doch direkt auf der FW ab. Das kommt auf das selbe raus. Viel Spass wenn du nachher erklären musst und das Notebook gestohlen wurde - wie die Daten ins Netz gekommen sind.

 

Mfg

Share this post


Link to post

Merci 4 Goodwill - aber das tut leider nur bedingt zur Sache bzw. wenn Du einen Tip hast, wie ich's direkt abschalten kann - wunderbar!

 

Der Nutzer muss sich direkt am (einzigen!) Server im VPN Netzwerk authentifizieren, dort Name & Passwörter eingeben. Ergo kann nicht mehr an Daten "verloren" gehen als jetzt schon bei einem worst case.

 

VPN dient hier nur zur Absicherung der Übertragung, nicht zur Authentifizierung etc..

Share this post


Link to post

OK - jeder so wie er es mag. Dann lass die anderen mitlesen...

 

tunnel-group GROUP-NAME ipsec-attributes

isakmp ikev1-user-authentication none

Share this post


Link to post

Danke! Das schaue ich mir nachher mal an! :)

 

Ich bin mir der Sicherheitsgedanken sehr wohl bewusst - aber die Lösung muss zur jeweiligen Situation passen. Die Sicherheit hier greift wo anders - doppelt muss es nicht. Komfort ist ist an dieser Stelle wichtiger...

Holla! :)

 

Feedback:

 

1) Ohne xauth klappts super mit den "normalen" PC & Mac VPN Clients. Also bzw. Mac, Win habe ich gerade noch nicht hochgefahren zum testen - sollte da aber auch gehen ;)

 

2) Klappt jedoch leider nicht mit iPhone IPSec Client. Dort *muss* ich zwingend einen User angeben beim Setup des Clients. Das Passwort dort *kann* ich angeben (dann speichert er es dort sogar!). Wenn ich die VPN Gruppe aber umstelle auf no auth - dann komme ich mit dem iPhone nicht mehr ins VPN: "Group = testvpn, IP = x.x.x.x, No valid authentication type found for the tunnel group". Der iPhone Client will also anscheinend den User irgendwie "durchdrücken".

 

Nun könnte ich natürlich 2 Gruppen anlegen: 1 * mit xauth für iPhones & 1 * ohne für die PC Clients....

 

Andere Ideen? :)

Und noch 'nen Nachtrag:

 

'nen Blindes Huhn trinkt ja manchmal auch'n Korn:

 

Hier kann man nachlesen, wie man es ermöglicht, das die Passwörter (verschlüsselt) lokal in den Client Settings pcf's gespeichert werden.

 

Auch dies ist aus Sicherheitsgründen eher bedenklich (selbst die Verschlüsselten Passwörter können einfach entschlüsselt werden) - da in meinem Szenario es sich aber um VPN-Only Passwörter handelt und man rein mit diesen nix machen kann (außer sich im VPN anmelden)... muss jeder Admin selbst wissen wie er mit den Infos umgeht.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...