4
RAS - Einwahl - Authentifizierungsprotokolle
EAP - Frage
Guten Abend zusammen,
ich habe eine Frage zu dem Thema EAP / EAP - TLS.
Wir schreiben eine Klausur morgen und dort wird auch nach den RAS - Einwahl - Authentifizierungsprotokollen gefragt, welche Verschlüsselung bietet und welche nicht.
Ich weiß das zur Verschlüsselung CHAP, MS - CHAP v1 / v2 und SPAP gehört.
So nun zu meiner Frage:
Verschlüsselt das EAP - Protokoll auch selber die Passwörter ?
Laut meinen Mitschriften und einigen gelesenen Erklärungen zu EAP / EAP - TLS unterstützt EAP nur die Verschlüsselungsprotokolle MD5 - CHAP und ggf. Drittanbieter.
Noch ein Zitat aus dem Windows 2000 Buch:
- Das Extensible Authentification Protocol stellt eine API für andere Authentifikationsprotokolle zur Verfügung -
Bin dankbar für jede schnelle Antwort.
Gruß
VironW2K
ich habe eine Frage zu dem Thema EAP / EAP - TLS.
Wir schreiben eine Klausur morgen und dort wird auch nach den RAS - Einwahl - Authentifizierungsprotokollen gefragt, welche Verschlüsselung bietet und welche nicht.
Ich weiß das zur Verschlüsselung CHAP, MS - CHAP v1 / v2 und SPAP gehört.
So nun zu meiner Frage:
Verschlüsselt das EAP - Protokoll auch selber die Passwörter ?
Laut meinen Mitschriften und einigen gelesenen Erklärungen zu EAP / EAP - TLS unterstützt EAP nur die Verschlüsselungsprotokolle MD5 - CHAP und ggf. Drittanbieter.
Noch ein Zitat aus dem Windows 2000 Buch:
- Das Extensible Authentification Protocol stellt eine API für andere Authentifikationsprotokolle zur Verfügung -
Bin dankbar für jede schnelle Antwort.
Gruß
VironW2K
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 80199
Url: https://administrator.de/contentid/80199
Printed on: April 25, 2024 at 15:04 o'clock
4 Comments
Latest comment
EAP-TLS basiert - wie der Name schon sagt - auf dem Prinzip der Zertifikatsauthentisierung.
Per TLS werden die Daten im EAP Päckchen verschlüsselt.
Beispiel:
client---------wlan-access-pont----------Radiusserver
Der client will ins wlan per 802.1X Authentisierung.
Der Client hat ein Zertifikt, und der Radius-Server haben ein Zertifikat.
Dieses dient zum einen zur gegenseitigen Authentisierung, und zum zweiten enthält das Serverzertifikat den öffentlichen Schlüssel des Radiusservers. Damit werden die Daten dann verschlüsselt. So gesehen werden die Daten innerhalb des EAP Pächckens per TLS gesichert bzw.verschlüsselt.
Dem WLAN AP ist es völlig wurst welche EAP Variante eingesetzt wird - wenn er ein EAP Päckchen entdeckt, sendet er es an im Radius-Protoll an den Radius-Server. Dieser kommuniziert dann per Radius-Protokoll, in das wiederum das EAP verpackt wird, mit dem WLAN-AP und gibt ihm ein "ok" oder "no". Also Zugriff erlauben oder verbieten. Der WLAN AP wiederum beginnt dann per WPA oder WPE eine verschlüsselte Funkverbindung mit dem Client PC.
Das EAP ist nichts weiter als eine Art "Container" der mit "Add-ons" erweiterbar ist, z. B. mit Authentisierungs- und Verschlüsselungsmethoden wie TLS oder auch PEAP.
Was in den "Container" gepackt wird ist auswechselbar, daher gibt es für verschiedene Einsatzzwecke verschiedene EAP Typen (z. B. EAP-PEAP-MSchapv2 bei dem sich der Server beim Client per Zertifikat authentisiert, und der client beim Server per Username/Passwort. Die User-Credentials werden mit dem Zertifikat verschlüsselt. EAP-TLS: hier müssen Server als auch Client ein Zertifikat haben. EAP-LEAP: Cisco EAP Variante die noch WEP Session Keys verwendete.)
MD5 ist keine Verschlüsselungsart sondern ein Hashalgorithmus.
Authentisierungsmethoden sind pap, chap, mschap, mschapv2.
Während pap username u. pw in klartext, also unverschlüsselt sendet, verwenden chap ein schwächeres und mschapv2 ein besseres Absicherungsverfahren.
Ich denke das müsste so halbwegs stimmen.
Per TLS werden die Daten im EAP Päckchen verschlüsselt.
Beispiel:
client---------wlan-access-pont----------Radiusserver
Der client will ins wlan per 802.1X Authentisierung.
Der Client hat ein Zertifikt, und der Radius-Server haben ein Zertifikat.
Dieses dient zum einen zur gegenseitigen Authentisierung, und zum zweiten enthält das Serverzertifikat den öffentlichen Schlüssel des Radiusservers. Damit werden die Daten dann verschlüsselt. So gesehen werden die Daten innerhalb des EAP Pächckens per TLS gesichert bzw.verschlüsselt.
Dem WLAN AP ist es völlig wurst welche EAP Variante eingesetzt wird - wenn er ein EAP Päckchen entdeckt, sendet er es an im Radius-Protoll an den Radius-Server. Dieser kommuniziert dann per Radius-Protokoll, in das wiederum das EAP verpackt wird, mit dem WLAN-AP und gibt ihm ein "ok" oder "no". Also Zugriff erlauben oder verbieten. Der WLAN AP wiederum beginnt dann per WPA oder WPE eine verschlüsselte Funkverbindung mit dem Client PC.
Das EAP ist nichts weiter als eine Art "Container" der mit "Add-ons" erweiterbar ist, z. B. mit Authentisierungs- und Verschlüsselungsmethoden wie TLS oder auch PEAP.
Was in den "Container" gepackt wird ist auswechselbar, daher gibt es für verschiedene Einsatzzwecke verschiedene EAP Typen (z. B. EAP-PEAP-MSchapv2 bei dem sich der Server beim Client per Zertifikat authentisiert, und der client beim Server per Username/Passwort. Die User-Credentials werden mit dem Zertifikat verschlüsselt. EAP-TLS: hier müssen Server als auch Client ein Zertifikat haben. EAP-LEAP: Cisco EAP Variante die noch WEP Session Keys verwendete.)
MD5 ist keine Verschlüsselungsart sondern ein Hashalgorithmus.
Authentisierungsmethoden sind pap, chap, mschap, mschapv2.
Während pap username u. pw in klartext, also unverschlüsselt sendet, verwenden chap ein schwächeres und mschapv2 ein besseres Absicherungsverfahren.
Ich denke das müsste so halbwegs stimmen.
Danke für die rechte schnelle Antwort.
Das hilft mir dann schon mal sehr weiter.
Stimmt, MD5 ist der Hashalgorithmus, hatte mich da ein wenig vertan.
Das PAP nur Klartext überträgt weiß ich soweit, dafür gibt es ja dann Shiva - PAP.
Vielen Dank nochmal für die Antwort.
Gruß VironW2K
Das hilft mir dann schon mal sehr weiter.
Stimmt, MD5 ist der Hashalgorithmus, hatte mich da ein wenig vertan.
Das PAP nur Klartext überträgt weiß ich soweit, dafür gibt es ja dann Shiva - PAP.
Vielen Dank nochmal für die Antwort.
Gruß VironW2K
Um Deine Frage zu beantworten - EAP verschlüsselt die Daten nicht, darum arbeitet es in Verbindung mit anderen Protokollen die die eigentliche Absicherung gewährleisten und die in EAP enthaltenen Daten verschlüsseln und somit eine sichere Authentisierung ermöglichen.
Danke. Damit hat sich meine Frage komplett beantwortet.
Schönes Wochenende
Gruß
Viron
Schönes Wochenende
Gruß
Viron
