Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke LAN, WAN, Wireless

WLAN Scanner - Wird PEAP wirklich verwendet?

Mitglied: Deepsys

Deepsys (Level 3) - Jetzt verbinden

02.11.2012 um 11:19 Uhr, 3737 Aufrufe, 3 Kommentare

Hallo zusammen,

ich habe das Problem das ich zu 100% weiß ob meine WLAN-Scanner PEAP oder doch ein anderes EAP benutzen.

Aufgeschreckt wurde ich durch den heise Artikel Todesstoß für PPTP (http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...), dort heißt es am Ende:
"Ähnliches gilt Übrigens für Firmen-WLANs mit WPA2 und EAP via MSCHAPv2, die sich analog knacken lassen. Die verschlüsselte Variante PEAP packt das ganze in einen SSL-Tunnel, dessen Sicherheit davon abhängt, dass die Anwender nie ein gefälschtes Zertifikat akzeptieren. "

So nun wollte ich mal überprüfen, ob die Scanner auch PEAP machen.

Aber der Reihe nach:
Wir haben im Lager WLAN-Scanner mit Windows CE und dieser soll sich per WPA2 AES (oder WPA2 Enterprise) am AD anmelden.
Der erforderlich Cicso Aironet Accesspoint ist im Netzwerkrichtlinienserver (Server 2008 R2) als RADIUS-Client eingetragen.
Am WLAN Scanner ist als EAP Type PEAP-MSCHAP eingetragen, der Scanner meldet auch "Status: MS-PEAP Authenticated".
Auf dem Netzwerkrichtlinienserver ist unter den Netzwerkrichtlinien als Authentifizierungsmethode nur "Microsoft: Geschütztes EAP(PEAP)" ausgewählt.

Mein Problem ist der Eintrag im Log des Netzwerkrichtlinienservers, dort steht immer noch
",Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2)," drin.

Und das kann ich nicht mehr wirklich verstehen, oder versteht der Log hier etwas anderes?

Verwirrt wurde ich auch noch von einem Wikipedia Artikel (http://en.wikipedia.org/wiki/Protected_Extensible_Authentication_Protoc ...) in dem steht immer wieder PEAPv0/EAP-MSCHAPv2, ist also PEAP doch EAP-MSCHAPv2?
Dagegen spricht aber die andere EAP Authentifizierungsmethode die sich am Netzwerkrichtlinienserver einstellen lässt: Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2).

Ich hoffe ihr könnt mein Problem verstehen, es ist der Log der mich verwirrt.
Funktionieren tut die ganze Konstellation schon seit Jahren, das ist nicht das Problem.

Vielen Dank schon mal!

VG
Deepsys
Mitglied: tikayevent
02.11.2012 um 16:52 Uhr
PEAP ist ein Tunnel, der außenrum gebaut wird (dafür wird das Zertifikat für den IAS/NPS benötigt), dadrin wird einfach nur das EAP-MSCHAPv2 weitergeführt. Durch den Tunnel ist unmöglich, die für das Knacken des Schlüssels nötigen Daten abzufangen.

db773240713000c2ca95cdb492ec93ff - Klicke auf das Bild, um es zu vergrößern

Um ganz sicher zu gehen, musst du sicherstellen, dass du nur die rot markierten Sachen drin hast und die blauen in jedem Fall gelöscht bzw. abgehakt hast.
Ich hab die noch drin, weil ich momentan nicht die Zeit habe, um mich dadrum zu kümmern, ich fang die Sachen zum Glück aber nochmal an anderer Stelle ab, damit ein Einbruch unkritisch bleibt.
Bitte warten ..
Mitglied: Deepsys
05.11.2012, aktualisiert um 08:22 Uhr
Guten Morgen,

und vielen Dank.

Zitat von tikayevent:
Um ganz sicher zu gehen, musst du sicherstellen, dass du nur die rot markierten Sachen drin hast und die blauen in jedem Fall gelöscht bzw. abgehakt hast.

Bei mir sieht es fast so änhlich aus, nur bei den "Eigenschaften für geschütztes EAP bearbeiten" (also das Fenster ganz vorne) steht eben noch "Gesichertes Kennwort (EAP-MSCHAP v2)" drin.
Allerdings verstehe ich nicht ganz wie das Löschen kann, ne Smartcard kann mein Scanner nicht und mit "anderes Zertifikat" weiß ich im Moment nichts anzufangen, ist damit ein Client Zertifikat gemeint?

Oder ist hier mit "Gesichertes Kennwort (EAP-MSCHAP v2)" das Verfahren im Tunnel gemeint?

Irgendwie blickt ich immer noch nicht 100% durch

VG
Deepsys
Bitte warten ..
Mitglied: Deepsys
05.11.2012, aktualisiert um 08:22 Uhr
Ah, Moment ich glaube der Groschen ist gefallen

TechNet (http://technet.microsoft.com/de-de/library/cc754179.aspx):

"PEAP mit EAP-MS-CHAPv2 (PEAP-MS-CHAP v2) kann einfacher bereitgestellt werden als EAP-TLS, da die Benutzerauthentifizierung mithilfe von kennwortbasierten Anmeldeinformationen (Benutzername und Kennwort) anstelle von Zertifikaten oder Smartcards erfolgt. Nur für den Netzwerkrichtlinienserver oder einen anderen RADIUS-Server ist ein Zertifikat erforderlich. Mithilfe des Zertifikats weist der Netzwerkrichtlinienserver während des Authentifizierungsvorgangs seine Identität gegenüber PEAP-Clients nach."
=> OK, da wird dann eben Benutzer-/Kennwort verwendet, im Gegensatz zu:

"Wenn Sie eine Public Key-Infrastruktur (Public Key Infrastructure, PKI) mit Active Directory-Zertifikatsdiensten (Active Directory Certificate Services, AD CS) bereitstellen, können Sie PEAP mit EAP-TLS (PEAP-TLS) verwenden. Zertifikate bieten eine wesentlich stärkere Authentifizierungsmethode als die Methoden, die kennwortbasierte Anmeldeinformationen verwenden. PEAP-TLS verwendet Zertifikate für die Serverauthentifizierung und entweder Smartcards, die ein eingebettetes Zertifikat enthalten, oder für Clientcomputer registrierte Zertifikate, die auf dem lokalen Computer im Zertifikatspeicher gespeichert sind, für die Authentifizierung von Benutzern und Clientcomputern. Für die Verwendung von PEAP-TLS müssen Sie eine PKI bereitstellen."
=> Hier braucht der Client auch ein Zertifikat und kein Benutzer-/Kennwort.

Sehe ich das nun richtig?

Damit hätte ich ja auf dem Server PEAP mit EAP-MS-CHAPv2 eingerichtet

VG
Deepsys
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
WLAN Störquellen Scanner
gelöst Frage von WhoIamLAN, WAN, Wireless7 Kommentare

Hallo erst einmal Community, ich bin neu hier und weiß nicht ob es dafür schon Fragen gibt. Gibt es ...

LAN, WAN, Wireless
Fritz Mesh Wlan vergrößert wirklich die Reichweite oder nur ein Werbeslogan
gelöst Frage von garackLAN, WAN, Wireless5 Kommentare

Hallo, Unter AVM Mesh steht es direkt in der Überschrift. Das Mesh von AVM soll das WLAN vergössern steht ...

Exchange Server
Welche Zertifikate werden für den Exchange wirklich benötigt?
Frage von magicpeterExchange Server8 Kommentare

Moin, ich betreibe einen Exchange 2013 mit folgenden Zertifikaten und SplittDNS (remote.domain.com). Welches Zertifikate werden für den Exchange benötigt? ...

Windows Installation
Imagelösung - Welche verwendet Ihr?
Frage von KuemmelWindows Installation15 Kommentare

Moin Kollegen, es steht aktuell eine große Ausrollung von Windows 10 Systemen bei uns im Hause bevor. Nun suchen ...

Neue Wissensbeiträge
Router & Routing

PfSense als Addon auf QNAP

Information von magicteddy vor 10 StundenRouter & Routing2 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 17 StundenDatenschutz

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 22 StundenMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 3 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement22 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...

Windows Server
Terminal Server 2016 erkennt Berechtigungen nicht
gelöst Frage von Thomas2Windows Server10 Kommentare

Hallo Administratoren, folgendes Problem stellt sich dar: Es gibt zwei Windows Server 2016, die als Terminal Server fungieren. Jetzt ...

Sonstige Systeme
7-zip: Programm frägt nach Passwort erst bei einzelnen Dateien
Frage von freeskierchrisSonstige Systeme7 Kommentare

Guten Morgen, ich habe ein Problem beim Arbeiten mit 7-zip: Wenn ich die einzelnen Dateien zu einem Archiv verpacke ...