Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

WLAN 802.1X PEAP EAP MSchapv2 IAS Radius Serverzertifikat CN muss mit DNS bzw Hostname des IAS übereinstimmen?

Frage Netzwerke

Mitglied: spacyfreak

spacyfreak (Level 2) - Jetzt verbinden

30.06.2012, aktualisiert 11:59 Uhr, 7680 Aufrufe, 9 Kommentare

Hallo,

wenn ich auf einem IAS Radius Server für WLAN Authentisierung via PEAP/EAP-MSchap-v2 ein Serverzertifikat verwende, MUSS das CN Attribut im Serverzertifikat mit dem tatsächlichen DNS/Hostnamen des IAS RAdiusservers übereinstimmen?

Wir verwenden hierfür Verisign WLAN Server Zertifikat da das Verisign Root CA Zertifikat bereits auf allen gängigen Clients installiert ist.
Nun will ich für einen Backup Radius nicht nochmal das Verisign Zertifikat kaufen müssen.
Irgendwie klappt es aber nicht, der einzige KOnfigurationsunterschied scheint zu sein dass der Backup-Radius Hostname nicht zum installierten Verisign Zertifikat CN (Common Name) zusammenpasst.

Ansonsten werf ich mal Wireshark an und schaue ob der Client überhaupt versucht den DNS Namen aufzulösen.
Kann er aber eigentlich garnicht, da der Client ja VOR ERFOLGREICHER Authentisierung garkeine IP-Adresse hat und somit auch garkeinen DNS Server abfragen kann.

Wenn ich auf dem Client Endgerät die Option "Serverzertifikat überprüfen" DEAKTIVERE in den WLAN Adapter Einstellungen, KLAPPT die Authentisierung, also scheint der Client dem Radius Serverzertifikat nicht zu trauen, obwohl der Client das Root Zertifikat von Verisign installiert hat und dem Serverzertifikat eigentlich vertrauen müsste.


Gruss, spacyfreak
Mitglied: Dani
30.06.2012 um 12:25 Uhr
Moin,
Soweit ich weiß, sucht der IAS im lokalen Zertifikatsspeicher nach einem Zertifikat, dass entweder dem Lokalen Hostname CN oder subjectaltname entspricht (Gross / Kleinschreibung beachten!). IAS Versucht leider nicht, ein anderes Zertifikat zu nutzen.


Gruesse
Bitte warten ..
Mitglied: spacyfreak
30.06.2012 um 12:41 Uhr
Auf dem IAS hab ich in den RAS Policies das installierte VErisign Certificate eingebundne (RAS Policy... Authentication.. EAP Methods..). Wenn das Cert nciht passen würde, könnte ich es hier erst garnicht auswählen..

Die Frage ist - WER prüft ob das CN des Serverzertifikates mit dem DNS/Hostname des Radiusservers übereinstimmt.
Der Radiusserver selbst - oder der WLAN Client?
Der WLAN Client kann es garnicht prüfen da er ja vor erfolgr. 802.1X Auth keine Netzwerkverbindung hat und damit auch keinen DNS Server erreichen kann.
Bitte warten ..
Mitglied: Dani
30.06.2012, aktualisiert um 13:03 Uhr
Reden wir von IAS im w2k3 oder vom NPS im w2k8?! Da besteht ein Unterschied.

Zitat aus Technet:
01.
Bei drahtlosen Clients kann PEAP-EAP-MS-CHAPv2 als Authentifizierungsmethode eingesetzt werden. PEAP-EAP-MS-CHAPv2 ist eine kennwortbasierte Methode zur Benutzerauthentifizierung, die TLS mit Serverzertifikaten einsetzt. Während der PEAP-EAP-MS-CHAPv2-Authentifizierung stellt der IAS- oder RADIUS-Server ein Zertifikat zur Überprüfung seiner Identität für den Client bereit (sofern die Option Serverzertifikat überprüfen auf dem Client unter Windows XP Professional konfiguriert wurde). Die Clientcomputer- und Benutzerauthentifizierung wird anhand von Kennwörtern ausgeführt, wodurch Schwierigkeiten bei der Bereitstellung von Zertifikaten für drahtlose Clientcomputer teilweise beseitigt werden.
http://technet.microsoft.com/de-de/library/cc759575(v=ws.10).aspx#cert_ ...


Gruesse
Bitte warten ..
Mitglied: spacyfreak
30.06.2012 um 13:11 Uhr
Yo lieber Dani das hab ich natürlich alles schon im Vorfeld gelesen.

Das Serverzertifikat ist schon wichtig, da ich grade beim WLAN sicherstellen MUSS dass die Clients nur an vertrauenswürdige Radius Server ihre Domaincredentials schicken.
Deaktiviere ich auf dem Client "Serverzert überprüfen" klappt die Authentisierung - doch das ist vom Sicherheitsaspekt nicht vertretbar meines Erachtens.

habe an anderer Stelle eine Info gefunden dass der CN im Serverzert mit dem DNS Namen übereinstimmen muss, ist aber auch nur ein Forenbeitrag, finde es schade dass ich weder bei Verisign noch bei Microsoft explizit die Aussage finde ob der CN im Zert tatsächlich mti dem DNS Namen des IAS Servers übereinstimmen MUSS.

NPS hab ich auch schon installiert, der suckt momentan noch was das logging angeht, da scheint ein bug zu bestehen, sodass er gelegentlich erfolglose oder erfolgreiche Anmeldungen nicht protokolliert, was das Troubleshooting erschwert.
Daher bleibe ich derzeit och bei Server2003 IAS, das läuft ganz ok.
Bitte warten ..
Mitglied: Dani
30.06.2012 um 19:08 Uhr
Moin,
denk ich mir... aber ich versteh das so, dass der Client das Zertifikat prüft:
01.
Während der PEAP-EAP-MS-CHAPv2-Authentifizierung stellt der IAS- oder RADIUS-Server ein Zertifikat zur Überprüfung seiner Identität für den Client bereit
Ist für mich eigentlich eindeutig, oder?!


Grüße,
Dani
Bitte warten ..
Mitglied: spacyfreak
30.06.2012, aktualisiert um 20:07 Uhr
Ja warum der RAdius bei Einsatz von PEAP EAP-MSchapv2 ein Serverzertifikat braucht ist mir schon klar - er authentisiert sich damit beim Client als vertrauenswürdiger Radiusserver.
Die Überprüfung ob dieses Zertifikat vertrauenswürdig ist macht der Client anhand des Verisign Root CA Zertifikates, das das Radius Server Zertifikat signiert hat - PKI halt. "Das Root CA Zertifikat, das DIESES Radius-Server Zertifikat SIGNIERT hat, ist in meinem Certstore Vertrauenswürdige Stammzertifizierungsstellen, also kann ich diesem Radius-Server Zertifikat vertrauen" - so funktioniert PKI.


Sonst (wenn der Client das Serverzertifikat des Radius NICHT prüfen würde) könnte der Client ja - ohne es zu merken - seine Credentials auch an einen "rouge" Radius senden, wenn ein findiger Hacker z. B. die selbe Firmen-SSID bereitstellt mit seinem eigenen Radius-Server.
Alle Clients die in Nähe des Hacker-Access-Points kämen würden automatisch ihre AD-Credentials bzw. die Hashes ihrer Passwörter zu dem Radius-Server des Angreifers schicken - ist nicht so der Hit in einer Konzern Netzwerkumgebung glaub ich..

Mir ist nur nicht klar ob Serverzertifikat CN Name mit dem DNS Namen des Radiusservers übereinstimmen MUSS.
Sieht jedoch ganz danach aus.
Doch WIE soll ein WLAN Client einen DNS Aufruf machen, wenn er noch garkeine Netzwerkverbindung hat? Die Netzwerkverbindung wird ja erst nach ERFOLGREICHER
Authentisierung freigeschaltet, also KANN der Client beim Authentisierungsvorgang den DNS Namen des RAdiusservers garnicht auflösen!
Bitte warten ..
Mitglied: dog
01.07.2012 um 02:56 Uhr
WLAN 802.1X PEAP EAP MSchapv2 IAS Radius Serverzertifikat CN muss mit DNS bzw Hostname des IAS übereinstimmen?

Nein, das ist Schnurz.
Diese Übereinstimmung ist bei Webseiten wichtig, weil so die Gültigkeit vom Zertifikat bestimmt wird.
Bei WLAN hätte man sowas höchstens über die SSID machen können, wird es aber nicht.
Da der Client also den Namen gegen nichts prüfen kann ist er auch egal.

Du kannst am Client lediglich vorgeben, dass er nur Zertifikate mit einem bestimmten Namen und CA für diese SSID akzeptieren soll.

obwohl der Client das Root Zertifikat von Verisign installiert hat und dem Serverzertifikat eigentlich vertrauen müsste.

Sowas passiert gerne mal wenn dir Zertifikate im Chain fehlen.
Das kannst du prüfen indem du auf dem Server mal den IIS installierst und über HTTPS von diesem Client aus ansprichst.

Hast du das Zertifikat auch im Computerspeicher (nicht Benutzerspeicher) importiert?
Bitte warten ..
Mitglied: spacyfreak
03.07.2012 um 08:10 Uhr
Sehe ich ebenso.

Ja mit der Trust Chain habe ich geprüft, die notwendigen Root- u. Intermediate Zertifikate sind überall drauf. Ich kann mir keinen Reim drauf machen.
Bitte warten ..
Mitglied: spacyfreak
05.07.2012 um 23:03 Uhr
Des Rätsels Lösung - das Intermediate Zertifikat von Verisign musste ich exportieren und wieder importieren, dann ging es, obwohl der DNS/Hostname des Radius-Servers nicht mit dem CN im Radius-Server Cert übereinstimmt.
Bitte warten ..
Ähnliche Inhalte
Sicherheitsgrundlagen
802.1X . NPS Server . PEAP mit MSCHAPv2 . Wo braucht man welche Zertifikate
gelöst Frage von Desby2Sicherheitsgrundlagen7 Kommentare

Hallo liebe Community, ich habe mal eine Frage allgemein zu 802.1X beim NPS Server. Folgendes ist meine Ausgangssituation: - ...

Sicherheits-Tools
Problem: 802.1X über Radius Server (WLAN)
gelöst Frage von Flais78Sicherheits-Tools7 Kommentare

Hallo liebe Community, ich bin neu in dem Forum, hoffe das der Thread im richten Teil des Forums ist ...

Windows Server
802.1x und NAP - Funktionsweise EAP-Quarantäneerzwingungsclient
gelöst Frage von cuilsterWindows Server4 Kommentare

Hallo, zum Bergfest wieder mal ne harte Nuss Ich versuche es mal zu Formulieren. Basis ist eine 802.1x-Infrastruktur mit ...

Windows Netzwerk
RADIUS 802.1x Geräte Authentifizierung
gelöst Frage von CloudyWindows Netzwerk3 Kommentare

Hallo, Ich habe hier ein kleines Problem bei der Konfiguration meines neuen RADIUS Servers. Ich möchte, dass sich alle ...

Neue Wissensbeiträge
Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 8 StundenWindows 102 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 10 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 1 TagViren und Trojaner3 Kommentare

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 1 TagRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen12 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...