4
802.1x mit Zertifikaten
Hallo,
wir setzen seit ein paar Jahren an den Switchen 802.1x mit Zertifikaten ein. Dies funktioniert auch alles wunderbar.
Seit ein paar Wochen gibt es aber Probleme bei allen Außenstellen. Diese sind per IPSec VPN an unser RZ angeschlossen und können sich nicht mehr authentifizieren.
Das kuriose ist, dass nur die Authentifizierung mit 802.1x mit Zertifikaten nicht klappt.
Per MAC-Adresse oder User + Passwort klappt die Authentifizierung.
Meine Vermutung ist, dass das Zertifikat unterwegs ausgetauscht oder die Kommunikation irgendwie anderweitig verändert wird. Aussage RZ: Nein, nur Verkehr zum Internet wird "aufgebrochen".
Meine Fragen sind:
1. Wird das Computerzertifikat vom Client an den Radius Server übertragen oder wird nur ein Hash oder was auch immer übertragen?
2. Wie kann der Radius Server prüfen, das der Client auch wirklich der Client ist?
3. Ich habe ein Wireshark Trace am Router der Außenstelle und dem Radius Server erstellt. Wie kann ich diese beiden Traces mit den jeweiligen Paketen am besten vergleichen um Unterschiede festzustellen?
Ich hoffe ihr könnt mir helfen.
LG
wir setzen seit ein paar Jahren an den Switchen 802.1x mit Zertifikaten ein. Dies funktioniert auch alles wunderbar.
Seit ein paar Wochen gibt es aber Probleme bei allen Außenstellen. Diese sind per IPSec VPN an unser RZ angeschlossen und können sich nicht mehr authentifizieren.
Das kuriose ist, dass nur die Authentifizierung mit 802.1x mit Zertifikaten nicht klappt.
Per MAC-Adresse oder User + Passwort klappt die Authentifizierung.
Meine Vermutung ist, dass das Zertifikat unterwegs ausgetauscht oder die Kommunikation irgendwie anderweitig verändert wird. Aussage RZ: Nein, nur Verkehr zum Internet wird "aufgebrochen".
Meine Fragen sind:
1. Wird das Computerzertifikat vom Client an den Radius Server übertragen oder wird nur ein Hash oder was auch immer übertragen?
2. Wie kann der Radius Server prüfen, das der Client auch wirklich der Client ist?
3. Ich habe ein Wireshark Trace am Router der Außenstelle und dem Radius Server erstellt. Wie kann ich diese beiden Traces mit den jeweiligen Paketen am besten vergleichen um Unterschiede festzustellen?
Ich hoffe ihr könnt mir helfen.
LG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 21319986965
Url: https://administrator.de/contentid/21319986965
Printed on: April 27, 2024 at 15:04 o'clock
4 Comments
Latest comment
1.)
Ja. Siehe: https://www.securew2.com/blog/802-1x-eap-tls-authentication-flow-explain ...
2.)
Das kannst du am Client prüfen lassen über das Radius Server Zertifikat. Die CA muss natürlich zusätzlich auch in den vertrauenswürden Stammzertifikaten liegen.
Freeradius Management mit WebGUI
Das Manipulationen auf dem Radius Transport passieren kann man wohl einigermaßen sicher ausschliessen. Bei Zertifikaten spielt die genaue Uhrzeit eine wichtige Rolle. Kannst du sicherstellen das diese bei allen Beteiligten korrekt gesetzt ist (NTP)?
Ja. Siehe: https://www.securew2.com/blog/802-1x-eap-tls-authentication-flow-explain ...
2.)
Das kannst du am Client prüfen lassen über das Radius Server Zertifikat. Die CA muss natürlich zusätzlich auch in den vertrauenswürden Stammzertifikaten liegen.
Freeradius Management mit WebGUI
Das Manipulationen auf dem Radius Transport passieren kann man wohl einigermaßen sicher ausschliessen. Bei Zertifikaten spielt die genaue Uhrzeit eine wichtige Rolle. Kannst du sicherstellen das diese bei allen Beteiligten korrekt gesetzt ist (NTP)?
Hallo,
ja das habe ich auch eingestellt mit der CA. Aber wie prüft der Radius Server das der Client A1 wirklich Client A1 ist und nicht nur vorgibt Client A1 zu sein.
Im Access-Request Paket sehe ich als Username host/ClientA1.domäneA
Wie kann der Radius Server nun prüfen, dass es sich wirklich um diesen Client aus DomäneA handelt und nicht um Client aus DomäneBösartig?
PS: wir nutzen den Windows NPS Server als Radius.
ja das habe ich auch eingestellt mit der CA. Aber wie prüft der Radius Server das der Client A1 wirklich Client A1 ist und nicht nur vorgibt Client A1 zu sein.
Im Access-Request Paket sehe ich als Username host/ClientA1.domäneA
Wie kann der Radius Server nun prüfen, dass es sich wirklich um diesen Client aus DomäneA handelt und nicht um Client aus DomäneBösartig?
PS: wir nutzen den Windows NPS Server als Radius.
Ich bin ja fast sicher, dass das gecheckt wurde, frage aber trotzdem:
Kann es sein, dass das Zertifikalt abgelaufen ist?
Grüße!
Kann es sein, dass das Zertifikalt abgelaufen ist?
Grüße!
1