Jump to content
xrated2

Sicherheit bei MS VPN über EAP

Recommended Posts

Hallo

ich mache mal der Übersichthalber einen neuen Thread auf.

 

Bei MS VPN hat man die Wahl für mehrere Methoden unter Sicherheit. Die normalen wie PAP, CHAP, MS-CHAP v2 (ohne EAP) lasse ich jetzt mal weg.

Laut NAP sind die alle weniger Sicher.

 

Bei EAP zwischen Geschütztes EAP (PEAP) und Gesichertes Kennwort (EAP-MSCHAP v2).

Sollte das erste nicht ohne Passwort und nur mit Zertifikat sein? Da kommt trotzdem eine Abfrage User/Pass, ist das so Beabsichtigt?

Was von beiden ist jetzt besser? Bei der Einrichtung der VPN Verbindung über add-vpnconnection und AuthenticationMethod EAP stellt der nämlich default EAP-MSCHAP v2 ein.

 

Bei EAP (PEAP) ist mir aufgefallen das an einem PC der nicht im AD gejoined ist die Meldung kommt das die Identität des Servers nicht überprüft werden kann (mit Fingerprint) obwohl ich das Zertifikat der CA und das Zertifikat der Domäne unter Vertrauenswürdige Stammzertifizierungsstellen bei den Computerzertifikaten abgespeichert habe. Wie das bei PCs im AD ist, bzw. ob da auch die Meldung kommt, habe ich noch nicht probiert.

 

Im NAP habe ich eingestellt bei :

Anforderungsrichtlinie

- Authentifizierungsmethode: EAP

- EAP-Methode: EAP-PEAP sowie EAP-MSCHAP v2

 

Netzwerkrichtlinie

- Authentifizierungstyp: EAP

- Zulässige EAP-Typen: 1. MS Geschütztes EAP (PEAP) mit Subkategorie Gesichertes Kennwort (EAP-MSCHAP v2) 2. Gesichertes Kennwort (EAP-MSCHAP v2)

 

 

Share this post


Link to post
Share on other sites

Wenn ich deine Meldung richtig interpretiere, dann verwendest du die Rolle „Routing & RAS“?

 

Falls ja, dann hast du selber schon festgestellt das die Protokolle etwas alt und schon unsicher sind. Das Produkt wird seit ca. 15 Jahren nicht mehr weiterentwickelt ;-) 

 

Meine klare Empfehlungen geht zu aktuellen Security-Appliances. Sophos bietet die „Sophos UTM“ auch für Home-Nutzer kostenlos und mit allen Features. 

Share this post


Link to post
Share on other sites

Mir ist eigentlich nur bekannt das man für VPN kein PPTP / MsChap (nthash) mehr verwenden sollte. SSTP soll ziemlich sicher sein und wird auch selten geblockt wie z.b. bei L2TP.

Bei WIFI soll auch PEAP/EAP mit MsCHAPv2 kritisch sein wenn man es abhören kann.

 

Vor allem würde mich auch interessieren, bei EAP/PEAP soll es nur auf das Serverzertifikat ankommen und der Client braucht kein eigenes. Heisst das jetzt das die Verbindung nur klappt wenn der Client das Serverzertifikat vor der Verbindung schon hat oder ist das nur wie beim aufrufen einer Webseite das der Client weiß das das Zertifikat gültig ist? 

Also beim MS VPN Client kann man zwar keine Verbindung aufbauen wenn der Client das Zertifikat nicht hat aber vielleicht gibt es auch andere VPN Clients mit SSTP z.b. Softether die die Verbindung ohne Zertifikat zulassen?

 

Momentan läuft OpenVPN, das hat in Sachen Usability auch einige Nachteile. Aber wäre das sicherer mit Userzertifikaten und Abfrage von User/Pass aus Linux passwd? Ich habe auch mal versucht OpenVPN mit LDAP zu AD verbinden aber hatte es nicht geschafft User aus mehreren OUs abzufragen, nur aus einer einzelnen.

Share this post


Link to post
Share on other sites
vor 41 Minuten schrieb xrated2:

Ich habe auch mal versucht OpenVPN mit LDAP zu AD verbinden aber hatte es nicht geschafft User aus mehreren OUs abzufragen, nur aus einer einzelnen.

Genau das mache ich z.B. bei uns. Das Tolle daran ist, das der User sich sein VPN-Paket von der Firewall per AD-Auth selber herunterladen kann. Der OVPN-Installer beinhaltet schon die persönliche Konfiguration des Users. Installation und geht. Das sind die einfachen Features, die einem das Leben leichter machen. Das Logging ist auch top.

Share this post


Link to post
Share on other sites

Die Community oder AS Variante von OpenVPN?

Ich hatte das auch schon mal hier geschrieben:

https://forums.openvpn.net/viewtopic.php?t=28293

Es funktionierten nicht nur verschiedene OU nicht sondern auch keine gesicherte LDAP Verbindung.

 

Wegen dem MS VPN und EAP-PEAP-MsChapV2 vs. EAP-MsChapV2 scheint ersteres sicherer zu sein.

Das ist bei MS so schlecht ersichtlich das ich vorher meinte das EAP-PEAP ohne MsChapV2 wäre.

Und mit "Smartcard oder anderes Zertifikat" ist EAP-TLS gemeint, dass läuft mit Clientzertifikat aber ohne User/Pass.

Wenn man als Client nur das Zertifikat hat, finde ich nicht grade sicher. Aber bei den anderen Typen mit User/Pass habe ich es nicht geschafft eine Verbindung herzustellen ohne das CA Zertifikat am Client zu haben.

 

Bei add-vpnconnection kann man noch eine xml config für PEAP mitgeben, siehe: https://pcloadletter.co.uk/2013/12/31/powershell-for-eap-peap-secured-vpn-on-windows-8-1/

Schade das man bei NAP relativ wenig abfragen kann bei der Netzwerkrichtlinie z.B. Hersteller vom VPN Client wäre schön. 

Edited by xrated2

Share this post


Link to post
Share on other sites

Wie schon geschrieben, dass ist in der Sophos Appliance integriert und einfach zu konfigurieren. Welche Variante von OVPN davon kann ich Dir nicht sagen. Vielleicht probierst du es ja einfach mal mit einer Appliance.

 

https://www.sophos.com/de-de/products/free-tools/sophos-utm-essential-firewall.aspx

Zitat

Welche Vorteile bietet die Essential Firewall Ihrem Unternehmen?
Die Essential Firewall schützt eine unbegrenzte Zahl von IP-Adressen und stellt folgende Funktionen ohne zeitliche Einschränkung zur Verfügung:

  • Networking: Internet Router, Bridging, DNS-Server & -Proxy, DynDNS, DHCP-Server & -Relay, NTP-Unterstützung, automatische QoS
  • Network Security: Stateful Packet Inspection Firewall & Network Address Translation (DNAT/SNAT/Masquerading)
  • Remote-Zugriff: PPTP und L2TP über IPSec-Unterstützung (einschl. iPhone-Unterstützung)
  • Protokolle/Reports: Vollständiges Logging auf lokaler Festplatte, Suche, Echtzeit-Reports für Hardware, Netzwerknutzung und -sicherheit, tägliche Executive-Reports
  • Management: Webbasierte GUI in Landessprache, Setup-Assistent, Konfigurationsbackup & Wiederherstellung, Administrator-Benachrichtigungen, SNMP-Unterstützung, zentrale Verwaltung über Sophos UTM Manager (ebenfalls kostenfrei)

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...