Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WLAN Scanner - Wird PEAP wirklich verwendet?

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Deepsys

Deepsys (Level 3) - Jetzt verbinden

02.11.2012 um 11:19 Uhr, 3548 Aufrufe, 3 Kommentare

Hallo zusammen,

ich habe das Problem das ich zu 100% weiß ob meine WLAN-Scanner PEAP oder doch ein anderes EAP benutzen.

Aufgeschreckt wurde ich durch den heise Artikel Todesstoß für PPTP (http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...), dort heißt es am Ende:
"Ähnliches gilt Übrigens für Firmen-WLANs mit WPA2 und EAP via MSCHAPv2, die sich analog knacken lassen. Die verschlüsselte Variante PEAP packt das ganze in einen SSL-Tunnel, dessen Sicherheit davon abhängt, dass die Anwender nie ein gefälschtes Zertifikat akzeptieren. "

So nun wollte ich mal überprüfen, ob die Scanner auch PEAP machen.

Aber der Reihe nach:
Wir haben im Lager WLAN-Scanner mit Windows CE und dieser soll sich per WPA2 AES (oder WPA2 Enterprise) am AD anmelden.
Der erforderlich Cicso Aironet Accesspoint ist im Netzwerkrichtlinienserver (Server 2008 R2) als RADIUS-Client eingetragen.
Am WLAN Scanner ist als EAP Type PEAP-MSCHAP eingetragen, der Scanner meldet auch "Status: MS-PEAP Authenticated".
Auf dem Netzwerkrichtlinienserver ist unter den Netzwerkrichtlinien als Authentifizierungsmethode nur "Microsoft: Geschütztes EAP(PEAP)" ausgewählt.

Mein Problem ist der Eintrag im Log des Netzwerkrichtlinienservers, dort steht immer noch
",Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)," drin.

Und das kann ich nicht mehr wirklich verstehen, oder versteht der Log hier etwas anderes?

Verwirrt wurde ich auch noch von einem Wikipedia Artikel (http://en.wikipedia.org/wiki/Protected_Extensible_Authentication_Protoc ...) in dem steht immer wieder PEAPv0/EAP-MSCHAPv2, ist also PEAP doch EAP-MSCHAPv2?
Dagegen spricht aber die andere EAP Authentifizierungsmethode die sich am Netzwerkrichtlinienserver einstellen lässt: Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2).

Ich hoffe ihr könnt mein Problem verstehen, es ist der Log der mich verwirrt.
Funktionieren tut die ganze Konstellation schon seit Jahren, das ist nicht das Problem.

Vielen Dank schon mal!

VG
Deepsys
Mitglied: tikayevent
02.11.2012 um 16:52 Uhr
PEAP ist ein Tunnel, der außenrum gebaut wird (dafür wird das Zertifikat für den IAS/NPS benötigt), dadrin wird einfach nur das EAP-MSCHAPv2 weitergeführt. Durch den Tunnel ist unmöglich, die für das Knacken des Schlüssels nötigen Daten abzufangen.

db773240713000c2ca95cdb492ec93ff - Klicke auf das Bild, um es zu vergrößern

Um ganz sicher zu gehen, musst du sicherstellen, dass du nur die rot markierten Sachen drin hast und die blauen in jedem Fall gelöscht bzw. abgehakt hast.
Ich hab die noch drin, weil ich momentan nicht die Zeit habe, um mich dadrum zu kümmern, ich fang die Sachen zum Glück aber nochmal an anderer Stelle ab, damit ein Einbruch unkritisch bleibt.
Bitte warten ..
Mitglied: Deepsys
05.11.2012, aktualisiert um 08:22 Uhr
Guten Morgen,

und vielen Dank.

Zitat von tikayevent:
Um ganz sicher zu gehen, musst du sicherstellen, dass du nur die rot markierten Sachen drin hast und die blauen in jedem Fall gelöscht bzw. abgehakt hast.

Bei mir sieht es fast so änhlich aus, nur bei den "Eigenschaften für geschütztes EAP bearbeiten" (also das Fenster ganz vorne) steht eben noch "Gesichertes Kennwort (EAP-MSCHAP v2)" drin.
Allerdings verstehe ich nicht ganz wie das Löschen kann, ne Smartcard kann mein Scanner nicht und mit "anderes Zertifikat" weiß ich im Moment nichts anzufangen, ist damit ein Client Zertifikat gemeint?

Oder ist hier mit "Gesichertes Kennwort (EAP-MSCHAP v2)" das Verfahren im Tunnel gemeint?

Irgendwie blickt ich immer noch nicht 100% durch

VG
Deepsys
Bitte warten ..
Mitglied: Deepsys
05.11.2012, aktualisiert um 08:22 Uhr
Ah, Moment ich glaube der Groschen ist gefallen

TechNet (http://technet.microsoft.com/de-de/library/cc754179.aspx):

"PEAP mit EAP-MS-CHAPv2 (PEAP-MS-CHAP v2) kann einfacher bereitgestellt werden als EAP-TLS, da die Benutzerauthentifizierung mithilfe von kennwortbasierten Anmeldeinformationen (Benutzername und Kennwort) anstelle von Zertifikaten oder Smartcards erfolgt. Nur für den Netzwerkrichtlinienserver oder einen anderen RADIUS-Server ist ein Zertifikat erforderlich. Mithilfe des Zertifikats weist der Netzwerkrichtlinienserver während des Authentifizierungsvorgangs seine Identität gegenüber PEAP-Clients nach."
=> OK, da wird dann eben Benutzer-/Kennwort verwendet, im Gegensatz zu:

"Wenn Sie eine Public Key-Infrastruktur (Public Key Infrastructure, PKI) mit Active Directory-Zertifikatsdiensten (Active Directory Certificate Services, AD CS) bereitstellen, können Sie PEAP mit EAP-TLS (PEAP-TLS) verwenden. Zertifikate bieten eine wesentlich stärkere Authentifizierungsmethode als die Methoden, die kennwortbasierte Anmeldeinformationen verwenden. PEAP-TLS verwendet Zertifikate für die Serverauthentifizierung und entweder Smartcards, die ein eingebettetes Zertifikat enthalten, oder für Clientcomputer registrierte Zertifikate, die auf dem lokalen Computer im Zertifikatspeicher gespeichert sind, für die Authentifizierung von Benutzern und Clientcomputern. Für die Verwendung von PEAP-TLS müssen Sie eine PKI bereitstellen."
=> Hier braucht der Client auch ein Zertifikat und kein Benutzer-/Kennwort.

Sehe ich das nun richtig?

Damit hätte ich ja auf dem Server PEAP mit EAP-MS-CHAPv2 eingerichtet

VG
Deepsys
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerke
LAN und WLAN je mit gleicher IP (13)

Frage von dauatitsbest zum Thema Netzwerke ...

LAN, WAN, Wireless
Hat On Networks PL500PS WLAN-Funktion? (4)

Frage von Andy1987 zum Thema LAN, WAN, Wireless ...

Erkennung und -Abwehr
Großstörung bei der Telekom: Was wirklich geschah (3)

Link von Frank zum Thema Erkennung und -Abwehr ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...