Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WLAN absichern 802.1x PEAP - EAP-TLS mit IAS, nur wie?

Frage Microsoft Windows Server

Mitglied: stony007de

stony007de (Level 1) - Jetzt verbinden

17.06.2010, aktualisiert 18.10.2012, 8674 Aufrufe, 16 Kommentare, 1 Danke

Ich bin am verzweifen...

Hey Guys


also, ich habe im unser WLAN im Moment mit einem PEAP abgesichert. Dieser funktiniert über einen MS IAS und einem OpenSSL Zertifikat! Bis dahin alles gut.
Leider kann ich in unserem Haus keine komplexen Passwörter einführen! somit kann es vorkommen, dass der WLAN User ein Passwort besitzt welches "12345" oder "passwort" ähnelt.

Kurzum, nicht wirklich sicher!
Die Zertifikats Prüfung ist bei PEAP kein SIcherheits bringendedes Feature, da der Client bei PEAP kein Zertifikat benötigt und dies Abfrage einfach im Cient deaktivieren kann.

Somit ist es jedem möglich, der sich ein wenig Zeit nimmt, mit jedem Rechner und einem "12345" Passwort, sich mit dem PEAP gesicherten Netzwerk zu verbinden.

Ich möchte diese Clients jetzt mit Zertifikaten absichern.
Die aller sicherste Methode scheint PEAP-EAP-TLS zu sein!
Ich bin nun den ganzen Tag am suchen, tun und testen um eine solche Konstallation hinzubekommen.
Bislang ohne Erfog! Ich finde einfach kein vernünftiges HowTo zum konfigurieren.

Kann mit von euch jemand helfen wie die RAS-Regeln im IAS und die Client einstellungen im WinXP/7 sein müssen?
Mitglied: spacyfreak
17.06.2010 um 20:55 Uhr
Yo das siehst du ganz richtig mit der sicherheit.
bei peap hängts nur vom passwort ab.

allerdings kannst du eventuell peap fahren und das computerkonto verwenden zur authentisierung anstelle des benutzerkontos, dann wird die computer sid geschickt zum radius, dat ist schon etwas sicherer. da gibz so nen registrykey... gott das ist ne weile her..

Beim TLS braucht der client ein zertifikat, richtig.
du kannst der einfachheit halber auch EIN certifikat für alle clients verwenden, da sparst das rollout von individuellen zertifikaten.
das zertifikat muss im store current user drinsein, dass siehtst auch im Internet Explorer ... extras.. internetoptionen..inhalte...ssl zertifikate ... eigene zertifikate. Wenns da drin ist dann schickt der das autom. zum radius, da brauchst dann eine entspr. policy.

obs mit compuerzertifikat geht hab ich nie getestet.

wenn die clients nicht die radiusserverauthenzität prüfen ist das ein ziemliches sicherheitsrisiko - wenn ein gelangweilter aber sich auskennender admin in der nachbarschaft ein wlan betreibt, und die selbe ssid mit peap anbietet, werden sich deine clients auch mit diesem verbinden - und schön brav und vor allem ungefragt ihr domänenpasswort an den "falschen" radius schicken, der es dann gemütlich entschlüsseln kann - er hat ja den private key des radiuszertifikats.

Andererseits kannst du auch "professionell" (hehe) vorgehen - einfach dem Verantwortlichen in der Firma den Sacherhalt und die Risiken sachlich und ohne viel Theatralik schildern, am besten per mail (schriftlich). wenn er kein bedarf sieht was zu ändern bist du aus dem schneider und kannst dich um wichtigere dinge kümmern, z. B. den Verzehr des köstlichen Mittagessens.
Bitte warten ..
Mitglied: stony007de
17.06.2010 um 21:06 Uhr
hmmm..

Mit dem Computerkonto ist auch nicht realisierbar! Mehrere User verwenden einen Rechner der eine darf das WLAN nutzen der andere wieder nicht.
Also bleibt mir eigenlich nut TLS(Client Zertifikate).

Aber wie ich gelesen habe, soll es möglich sein PEAP mit EAP-TLS paralel zu betreiben!
Bin mir nun nicht sicher wie diese Methode funktiniert.
Stelle mit eigendlich vor, dass bei der WIn Anmeldung das standard PEAP ausgeführt wird(sprich: check ob der User in der Grupper der erlaupten WLan-User) weiterhin sollte gecheckt werden,
ob das Zertifikat auf dem Client isntalliert ist.(Frage: ein eigenes Client oder das IAS Zertifikat)

Sehe ich das richtig?

Wenn ja kannst du mir nen Tip geben wie das im IAS bzw. am Client konfiguriert wird?
Bitte warten ..
Mitglied: spacyfreak
17.06.2010 um 21:32 Uhr
Man kann PEAP-EAP-MSchapv2 und PEAP-EAP-TLS parallell betreiben- einfach eine RAS Policy ÜBER der PEAP Policy im IAS konfigurieren und bei dieser TLS als EAPMethode anglicken.

Die Clients bekommen clientzertifikate, das radiuszertifikat hat damit nix zu tun.
Bei TLS authentisiert sich client bei radius, und auch der radius beim client.
Du machst es dir einfacher wenn du EIN Clientzertifikat benutzt und das einfach im userkontext der anwender installierst, die wlan machen tun dürfen sollen.
Der Radiusserver muss natürlich dem Clientzertifikat vertrauen, daher muss man das Root CA Zertifikat auf dem RAdius installieren, mit dem das Clientzertifikat signiert wurde.

Beim Client kannst ja wählen ob TLS oder Mschapv2. Standardmässig ist zweiteres aktiv.
Kann man aber auch via gruppenrichtlinie einrichten wenn man viele clients hat.
Bitte warten ..
Mitglied: stony007de
01.07.2010 um 11:01 Uhr
also jetzt "frime" ich schon seit 2 Wochen mit freeradius und der implementierung von PEAP herrum! Nix zu machen!!!!
Das howto basierend auf opensuse ist gut und schön aber der wichtige Teil, die integration an das AD steht nicht drin..

Weiterhin fehlt mit bei freeradius die implementierung der Möglichkeit nur AD usern aus eine bestimmten gruppe den zugriff zu gewähren.

Hat denn niemand eine solche "sichere" infrastruktur" aufgebaut?

Nochmal:

ich will die authentifizierung gegen das AD (PEAP) und gegen eine manuel zu installierendendes Zertifikat (EAP-TLS)!
--> !!! Kein Zertifikat, kein WLAN !!! --> kein User in der richtigen Gruppe --> Kein WLAN!!! --> Zertifikat + User in Gruppe vorhanden --> WLAN erlauben!!!!

Mit dem IAS habe ich da keinen Erfiolg!

Kann denn niemand helfen???
Bitte warten ..
Mitglied: spacyfreak
01.07.2010 um 11:49 Uhr
Das ist mit IAS in gefühlten 10 Min erledigt.
Wenn ich remote supporten kann - ich bin garnicht so teuer wie man denkt!
Bitte warten ..
Mitglied: stony007de
01.07.2010 um 12:05 Uhr
auch mit implementierung von OpenSSL als PKI?

Wenn ja würde ich die Konfig soweit erledigen, in ein PDF, dir zusenden und du schaust ma drüber????
Bitte warten ..
Mitglied: spacyfreak
01.07.2010 um 14:41 Uhr
Mit Linux PKI hab ich auch rumgemacht, kriegt man hin.
doch auch das geht doch mit drei Klicks in Microsoft, kann manauch locker auf dem IAS mitlaufen lassen die Stammzertifizierungsstelle.

Das sind dann jedoch eher 30min statt 10Min (wenn alles glattgeht).
Bitte warten ..
Mitglied: stony007de
02.07.2010 um 07:18 Uhr
Grundlegend besteht die frage, ob ich 2 IAS Rules anlegen muss(1. Peap mit mschapv2 und eine 2. mit EAP Eigenes Zertifikat) oder ob eine ausreicht?
Kannst du mir dazu ne kurze info geben?
Bitte warten ..
Mitglied: spacyfreak
02.07.2010 um 08:44 Uhr
würde 2 rules nehmen.
die erste mschapv2 wird in der policy das computerkonto abgefragt, noch bevor der user sich anmeldet.
Windowsgroup...Domain Computers gruppe oder die gruppe halt wo die computerkonten in deinem ad drin sind.
hat den vorteil dass loginskript funktioniert.
zweite regel eap-tls da braucht der client ein eigenes zertifikat im userkontext.
so soltle dat wohl funktionieren und die userexpirience ist als wär er am lan angeschlossen.

Aber hey, für nen hunni mach ich dir das via remote support klar, bevor du dich noch totfummelst.
Da gibts schon einige dinge zu beachten, und ich mag kein roman schreiben.
Bitte warten ..
Mitglied: stony007de
05.07.2010 um 14:25 Uhr
hmm mit dem Hunni das ist so ne Sache, eigendlich such ich ja in einem Forum Hilfe für lau`...
Das Prinzip "Helfen und Geholfen werden"

Zurück zum Thema!
Ich woll als erstes mal eine Auth via EAP-TLS konfigurieren.
Dazu erstelle ich mir ein Zertifikat für den Client, und installiere dieses + das PKI Zertifikat auf dem XP.
Bis dahin OK!

Auf dem IAS:
1. Neue Regel
1.1 Name definieren
1.2 "Drahtlos" auswählen
1.3 AD Gruppe hinzufügen
!!! jetzt kommt die erste Frage !!!
1.4 "geschütztes EAP(PEAP)" oder "Smartcard oder anderes Zertifikat"
Normaler weise würde ich an dieser Stelle "Smartcard oder anderes Zertifikat" wählen aber in der "geschütztes EAP(PEAP)" konfiguration kann ja auch die Einstellung für "Smartcard oder anderes Zertifikat" gesetzt werden.
Was ist an dieser Stelle richtig?

1.5 Auswählen des Identifikations Zertifikat mit welchem sich der Client authentifiziert --> (hier wird das Client Zertifikat ausgewählt)

Fertig!!! ?

2. Auf dem XP Client:
2.1 Drahtlos Netz konfigurieren(richtige Verschlüsselung etc...!
!!! nächste Frage !!!
2.2 Tab "Authentifizierung" EAP-Typ wählen
Hier stellt sich mir die selbe Frage? "Smartcard oder anderes Zertifikat" oder "geschütztes EAP(PEAP)" Wie schon gesagt unterhlab von PEAP kann ich auch "Smartcard oder anderes Zertifikat" konfigurieren.
2.3 Weiterhin wird dann die Zertifzierungsstelle gewählt, gegen welche das Client Zertifikat geprüft werden kann.

Fertig!!!! ??

Wenn mir jemand diese beiden offenen Fragen beantworten könnte, wäre ich sehr dankbar!

Das Konfigurieren von PEAP ist ja relativ simple, somit sollte, wenn das EAP-TLS läuft meinem Vorhaben nichts im Wege stehen...
Bitte warten ..
Mitglied: stony007de
06.07.2010 um 14:53 Uhr
Hat den niemand weiter eine Idee???

Ich bin immernoch am tüfteln! Mit meinen openssl zertifikaten (ca-cert & client-cert) welche auf dem IAS und den Client installiert wurden, funktioniert peap einwandfrei! stelle ich ganze sache auf eap-tls geht nix mehr!

Benutzer "Domain\\wuser" wurde Zugriff verweigert.
Vollqualifizierter Benutzername = domain/users/wuser
NAS-IP-Adresse = 192.168.*.*
NAS-Kennung = wlan221
Kennung der Anrufstation = 00--eb--ed-:ssid-name
Kennung der Empfängerstation = 00-
-e7--08-
Clientanzeigename = wlan221
Client-IP-Adresse = 192.168.*.*
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 29
Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden
Authentifizierungsanbieter = Windows
Authentifizierungsserver = <unbestimmt>
Richtlinien-Name = EAP-TLS-DEMO
Authentifizierungstyp = EAP
EAP-Typ = Smartcard oder anderes Zertifikat
Code = 295
Ursache = Die Zertifizierungskette wurde korrekt verarbeitet, doch wird eines der Zertifizierungsstellenzertifikate vom Richtlinienanbieter nicht für vertrauenswürdig gehalten.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Woran kann das noch liegen?
Wie schon gesagt, das Zertifizierungsstellen Zertifikat der wurde auf der CA auf dem IAS aus "Vertrauenswürdige Stammzertifizierungsstellen" (für computer konto) installiert.

???
Bitte warten ..
Mitglied: spacyfreak
06.07.2010 um 14:59 Uhr
http://www.sein.de/uploads/hundert-euro.jpg
Ich muss 5 kinder ernähren!

".....doch wird eines der Zertifizierungsstellenzertifikate vom Richtlinienanbieter nicht für vertrauenswürdig gehalten. ..."


Bitte warten ..
Mitglied: stony007de
06.07.2010 um 15:24 Uhr

".....genau das is mein Problem......" nur warum funktioniert PEAP mit Zertifikatsüberprüfung???

Bitte warten ..
Mitglied: stony007de
07.07.2010 um 08:40 Uhr
"..eines der Zertifizierungsstellenzertifikate vom Richtlinienanbieter.." --> bedeutet, dass das CA von dem IAS nicht als vertrauenswürdig ist?
Ich versteh aber wiederum nicht, warum er da checkt, die Zertifikate zum überprüfen der eap-tls verbindung kommen alle aus dem openssl.
Ich habe kein Zertifikat mit der WinCA erstellt...

Muss ich das MSCA Cert auch auf dem Client als "Vertrauenswürdige Zertifizierungsstelle" installieren?
Bitte warten ..
Mitglied: stony007de
08.07.2010 um 08:44 Uhr
immer noch niemand der eine tolle idee für mich hat, wie ich dieses Projekt endlich zum abschluss bringen kann?
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
802.1x und NAP - Funktionsweise EAP-Quarantäneerzwingungsclient (4)

Frage von cuilster zum Thema Windows Server ...

LAN, WAN, Wireless
802.1x funktioniert nur an einem oder zwei Accesspoints (3)

Frage von westberliner zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
gelöst 802.1x Konfiguration (2)

Frage von michaelb123 zum Thema Windows Netzwerk ...

Windows Netzwerk
gelöst RADIUS 802.1x Geräte Authentifizierung (3)

Frage von Cloudy zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...