Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WLAN Scanner - Wird PEAP wirklich verwendet?

Mitglied: Deepsys

Deepsys (Level 3) - Jetzt verbinden

02.11.2012 um 11:19 Uhr, 3762 Aufrufe, 3 Kommentare

Hallo zusammen,

ich habe das Problem das ich zu 100% weiß ob meine WLAN-Scanner PEAP oder doch ein anderes EAP benutzen.

Aufgeschreckt wurde ich durch den heise Artikel Todesstoß für PPTP (http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...), dort heißt es am Ende:
"Ähnliches gilt Übrigens für Firmen-WLANs mit WPA2 und EAP via MSCHAPv2, die sich analog knacken lassen. Die verschlüsselte Variante PEAP packt das ganze in einen SSL-Tunnel, dessen Sicherheit davon abhängt, dass die Anwender nie ein gefälschtes Zertifikat akzeptieren. "

So nun wollte ich mal überprüfen, ob die Scanner auch PEAP machen.

Aber der Reihe nach:
Wir haben im Lager WLAN-Scanner mit Windows CE und dieser soll sich per WPA2 AES (oder WPA2 Enterprise) am AD anmelden.
Der erforderlich Cicso Aironet Accesspoint ist im Netzwerkrichtlinienserver (Server 2008 R2) als RADIUS-Client eingetragen.
Am WLAN Scanner ist als EAP Type PEAP-MSCHAP eingetragen, der Scanner meldet auch "Status: MS-PEAP Authenticated".
Auf dem Netzwerkrichtlinienserver ist unter den Netzwerkrichtlinien als Authentifizierungsmethode nur "Microsoft: Geschütztes EAP(PEAP)" ausgewählt.

Mein Problem ist der Eintrag im Log des Netzwerkrichtlinienservers, dort steht immer noch
",Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)," drin.

Und das kann ich nicht mehr wirklich verstehen, oder versteht der Log hier etwas anderes?

Verwirrt wurde ich auch noch von einem Wikipedia Artikel (http://en.wikipedia.org/wiki/Protected_Extensible_Authentication_Protoc ...) in dem steht immer wieder PEAPv0/EAP-MSCHAPv2, ist also PEAP doch EAP-MSCHAPv2?
Dagegen spricht aber die andere EAP Authentifizierungsmethode die sich am Netzwerkrichtlinienserver einstellen lässt: Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2).

Ich hoffe ihr könnt mein Problem verstehen, es ist der Log der mich verwirrt.
Funktionieren tut die ganze Konstellation schon seit Jahren, das ist nicht das Problem.

Vielen Dank schon mal!

VG
Deepsys
Mitglied: tikayevent
02.11.2012 um 16:52 Uhr
PEAP ist ein Tunnel, der außenrum gebaut wird (dafür wird das Zertifikat für den IAS/NPS benötigt), dadrin wird einfach nur das EAP-MSCHAPv2 weitergeführt. Durch den Tunnel ist unmöglich, die für das Knacken des Schlüssels nötigen Daten abzufangen.

db773240713000c2ca95cdb492ec93ff - Klicke auf das Bild, um es zu vergrößern

Um ganz sicher zu gehen, musst du sicherstellen, dass du nur die rot markierten Sachen drin hast und die blauen in jedem Fall gelöscht bzw. abgehakt hast.
Ich hab die noch drin, weil ich momentan nicht die Zeit habe, um mich dadrum zu kümmern, ich fang die Sachen zum Glück aber nochmal an anderer Stelle ab, damit ein Einbruch unkritisch bleibt.
Bitte warten ..
Mitglied: Deepsys
05.11.2012, aktualisiert um 08:22 Uhr
Guten Morgen,

und vielen Dank.

Zitat von tikayevent:
Um ganz sicher zu gehen, musst du sicherstellen, dass du nur die rot markierten Sachen drin hast und die blauen in jedem Fall gelöscht bzw. abgehakt hast.

Bei mir sieht es fast so änhlich aus, nur bei den "Eigenschaften für geschütztes EAP bearbeiten" (also das Fenster ganz vorne) steht eben noch "Gesichertes Kennwort (EAP-MSCHAP v2)" drin.
Allerdings verstehe ich nicht ganz wie das Löschen kann, ne Smartcard kann mein Scanner nicht und mit "anderes Zertifikat" weiß ich im Moment nichts anzufangen, ist damit ein Client Zertifikat gemeint?

Oder ist hier mit "Gesichertes Kennwort (EAP-MSCHAP v2)" das Verfahren im Tunnel gemeint?

Irgendwie blickt ich immer noch nicht 100% durch

VG
Deepsys
Bitte warten ..
Mitglied: Deepsys
05.11.2012, aktualisiert um 08:22 Uhr
Ah, Moment ich glaube der Groschen ist gefallen

TechNet (http://technet.microsoft.com/de-de/library/cc754179.aspx):

"PEAP mit EAP-MS-CHAPv2 (PEAP-MS-CHAP v2) kann einfacher bereitgestellt werden als EAP-TLS, da die Benutzerauthentifizierung mithilfe von kennwortbasierten Anmeldeinformationen (Benutzername und Kennwort) anstelle von Zertifikaten oder Smartcards erfolgt. Nur für den Netzwerkrichtlinienserver oder einen anderen RADIUS-Server ist ein Zertifikat erforderlich. Mithilfe des Zertifikats weist der Netzwerkrichtlinienserver während des Authentifizierungsvorgangs seine Identität gegenüber PEAP-Clients nach."
=> OK, da wird dann eben Benutzer-/Kennwort verwendet, im Gegensatz zu:

"Wenn Sie eine Public Key-Infrastruktur (Public Key Infrastructure, PKI) mit Active Directory-Zertifikatsdiensten (Active Directory Certificate Services, AD CS) bereitstellen, können Sie PEAP mit EAP-TLS (PEAP-TLS) verwenden. Zertifikate bieten eine wesentlich stärkere Authentifizierungsmethode als die Methoden, die kennwortbasierte Anmeldeinformationen verwenden. PEAP-TLS verwendet Zertifikate für die Serverauthentifizierung und entweder Smartcards, die ein eingebettetes Zertifikat enthalten, oder für Clientcomputer registrierte Zertifikate, die auf dem lokalen Computer im Zertifikatspeicher gespeichert sind, für die Authentifizierung von Benutzern und Clientcomputern. Für die Verwendung von PEAP-TLS müssen Sie eine PKI bereitstellen."
=> Hier braucht der Client auch ein Zertifikat und kein Benutzer-/Kennwort.

Sehe ich das nun richtig?

Damit hätte ich ja auf dem Server PEAP mit EAP-MS-CHAPv2 eingerichtet

VG
Deepsys
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
WLAN Störquellen Scanner
gelöst Frage von WhoIamLAN, WAN, Wireless7 Kommentare

Hallo erst einmal Community, ich bin neu hier und weiß nicht ob es dafür schon Fragen gibt. Gibt es ...

LAN, WAN, Wireless

Fritz Mesh Wlan vergrößert wirklich die Reichweite oder nur ein Werbeslogan

gelöst Frage von garackLAN, WAN, Wireless5 Kommentare

Hallo, Unter AVM Mesh steht es direkt in der Überschrift. Das Mesh von AVM soll das WLAN vergössern steht ...

Exchange Server

Welche Zertifikate werden für den Exchange wirklich benötigt?

Frage von magicpeterExchange Server8 Kommentare

Moin, ich betreibe einen Exchange 2013 mit folgenden Zertifikaten und SplittDNS (remote.domain.com). Welches Zertifikate werden für den Exchange benötigt? ...

Windows Installation

Imagelösung - Welche verwendet Ihr?

Frage von KuemmelWindows Installation15 Kommentare

Moin Kollegen, es steht aktuell eine große Ausrollung von Windows 10 Systemen bei uns im Hause bevor. Nun suchen ...

Neue Wissensbeiträge
Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 11 StundenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 21 StundenSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 21 StundenMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 22 StundenHardware12 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux25 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL18 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...

Windows Server
Domänencontroller trennen
Frage von Akit57Windows Server14 Kommentare

Hallo, ich hoffe das mir hier jemand meine Frage trotz der spärlichen Informationen die ich geben kann beantworten kann: ...

Hardware
Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall
Information von kgbornHardware12 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...