Jump to content

Cisco VPN Client:Passwort "enc_UserPassword" speichern oder keine UserAuth


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo!

 

Im anderen Thread habe ich bereits geklärt, wie man den Cisco VPN Client soweit vorbereiten kann, das man nach der Installation automatisch ein Profil mitgeben kann. Nun möchte ich noch gerne, dass das UserPasswort enc_UserPassword in dem pcf automatisch gespeichert wird, damit es nicht jedes Mal manuell eingegeben werden muss.

 

Hintergrund: Mit diesem Passwort wird sich sonst nirgends in unserem Netzwerk eingeloggt. Wenn jemand also das herausbekommen sollte hat derjenige nichts gewonnen - eine gesonderte Authentifizierung finden am genutzten Server innerhalb des VPN statt, die jeder manuell eingeben muss.

 

Wenn ich's in dem pcf abspeichere, dann fragt er beim ersten Mal das Pass nicht ab. Beim zweiten Connect jedoch schon wieder. Die Variable "SaveUserPassword" wird wohl vom Cisco bei Verbindungsaufbau überschrieben.

 

Ich habe ds hier im Netz gefunden: LiessMich - jedoch hat mich das nicht wirklich schlauer gemacht *was* genau ich machen muss.

 

Ich habe 2 Möglichkeiten rausgelesen:

 

a) Eine Gruppe erstellen ohne UserAuth

b) Ein Zertifikat verwenden

 

Ich würde Lösung a bevorzugen, meine jetzige Gruppe so abändern das sie kein UserAuth braucht - oder halt das Passwort speichern lassen. Hat jemand von Euch das selbe Problem gehabt oder kann mir nähere Angaben machen, was ich wo in der cfg genau(er) abändern muss?! :confused:

Link zu diesem Kommentar

Hallo,

 

du bist aber sehr leichtsinnig - ob - er wird bei dem Zugriff auf einen Server nach einen PW gefragt - aber nur mal so - man kann wunderschön alle Art von Programme ins Netz jagen und auch wenn man pfiffig ist den Netzwerktraffik mitlesen - das hat einen Grund warum man das PW nicht speichern soll. Alles andere ist *blauäugig*. Wenn du es schon auf dem Client speichern willst - dann schalt es doch direkt auf der FW ab. Das kommt auf das selbe raus. Viel Spass wenn du nachher erklären musst und das Notebook gestohlen wurde - wie die Daten ins Netz gekommen sind.

 

Mfg

Link zu diesem Kommentar

Merci 4 Goodwill - aber das tut leider nur bedingt zur Sache bzw. wenn Du einen Tip hast, wie ich's direkt abschalten kann - wunderbar!

 

Der Nutzer muss sich direkt am (einzigen!) Server im VPN Netzwerk authentifizieren, dort Name & Passwörter eingeben. Ergo kann nicht mehr an Daten "verloren" gehen als jetzt schon bei einem worst case.

 

VPN dient hier nur zur Absicherung der Übertragung, nicht zur Authentifizierung etc..

Link zu diesem Kommentar

Danke! Das schaue ich mir nachher mal an! :)

 

Ich bin mir der Sicherheitsgedanken sehr wohl bewusst - aber die Lösung muss zur jeweiligen Situation passen. Die Sicherheit hier greift wo anders - doppelt muss es nicht. Komfort ist ist an dieser Stelle wichtiger...

Holla! :)

 

Feedback:

 

1) Ohne xauth klappts super mit den "normalen" PC & Mac VPN Clients. Also bzw. Mac, Win habe ich gerade noch nicht hochgefahren zum testen - sollte da aber auch gehen ;)

 

2) Klappt jedoch leider nicht mit iPhone IPSec Client. Dort *muss* ich zwingend einen User angeben beim Setup des Clients. Das Passwort dort *kann* ich angeben (dann speichert er es dort sogar!). Wenn ich die VPN Gruppe aber umstelle auf no auth - dann komme ich mit dem iPhone nicht mehr ins VPN: "Group = testvpn, IP = x.x.x.x, No valid authentication type found for the tunnel group". Der iPhone Client will also anscheinend den User irgendwie "durchdrücken".

 

Nun könnte ich natürlich 2 Gruppen anlegen: 1 * mit xauth für iPhones & 1 * ohne für die PC Clients....

 

Andere Ideen? :)

Und noch 'nen Nachtrag:

 

'nen Blindes Huhn trinkt ja manchmal auch'n Korn:

 

Hier kann man nachlesen, wie man es ermöglicht, das die Passwörter (verschlüsselt) lokal in den Client Settings pcf's gespeichert werden.

 

Auch dies ist aus Sicherheitsgründen eher bedenklich (selbst die Verschlüsselten Passwörter können einfach entschlüsselt werden) - da in meinem Szenario es sich aber um VPN-Only Passwörter handelt und man rein mit diesen nix machen kann (außer sich im VPN anmelden)... muss jeder Admin selbst wissen wie er mit den Infos umgeht.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...