philipp711
Goto Top

Computerauthentifizierung im Enterprise-WLAN mit einem NPS-Server

Hi Leute,

ich spiele gerade ein wenig mit einem NPS-Server und WPA2-Enterprise herum. Ich möchte keine Nutzer authentifizieren, sondern Computersysteme. Die Computer erhalten ein passendes Computerzertifikat von einer Test-CA.

Meine Clients können sich erfolgreich mit dem WLAN verbinden. Testweise habe ich ein Computerzertifikat gesperrt...dieser Client kommt nicht mehr ins WLAN - soweit so gut bzw. so soll es erst einmal sein.

Für mich stellt sich allerdings folgende Frage:
Wie kann ich sicher gehen, dass nur bestimmte Clients ins Netzwerk kommen?
Ich sage mal so...ein gültiges Computerzertifikat bekommen ich ja theoretisch von jeder offiziellen CA - dieser Client kann sich authentifizieren, auch wenn er nicht von mir berechtigt wurde. Das möchte "man" ja natürlich nicht.
Kann irgendwo definiert werden, dass das Computerzertifikat von einer bestimmten CA stammen muss...also z.B. sowas wie "Das Computerzertifikat muss von der internen CA ausgestellt worden sein", wenn nicht -> keine Verbindung.

Wie würde ich im Unternehmen die Computer zwischen berechtigten und unberechtigten Geräten unterscheiden?
Beispielsweise könnte es ja Computer geben, die ein Zertifikat der internen CA ausgestellt bekommen haben, aber nicht unbedingt ins WLAN kommen sollen.

Vielen Dank!

Content-Key: 329082

Url: https://administrator.de/contentid/329082

Printed on: December 4, 2022 at 12:12 o'clock

Member: chgorges
chgorges Feb 10, 2017 at 21:40:59 (UTC)
Goto Top
Zitat von @Philipp711:

Wie würde ich im Unternehmen die Computer zwischen berechtigten und unberechtigten Geräten unterscheiden?
Beispielsweise könnte es ja Computer geben, die ein Zertifikat der internen CA ausgestellt bekommen haben, aber nicht unbedingt ins WLAN kommen sollen.

Das ist die Schwachstelle bei Zertifikaten, dass diese auch ohne Wissen des Admins weiter gegeben werden können und somit auch Unbefugte Zugang zum WLAN bekommen.
Ein nicht aushebelbare Variante ist die Limitierung, dass z.B. nur Laptops aus einer bestimmten OU der Domäne sich am WLAN authentifizieren dürfen, das habe ich bisher am häufigsten gesehen.
Wenn das Unternehmen dann noch herstellerseitig homogen arbeitet, sprich z.B. nur HP-Notebooks einsetzt, können diese zwei Faktoren mit einem "AND" miteinander verknüpft werden, womit man die Authentifizierung noch weiter einschränkt.
Member: Philipp711
Philipp711 Feb 11, 2017 at 09:09:37 (UTC)
Goto Top
Danke für die Antwort!

Eine Weitergabe des Zertifikats und eine erfolgreiche Authentifizierung ist doch nur unter Beibehaltung des Computernamens möglich, oder? Also wenn PC-A sein Zertifikat an PC-B weiter gibt, muss PC-B seinen Namen auf PC-A ändern um sich korrek authentifizieren zu können, richtig?

Was mir immer noch nicht in den Kopf gehen will ist die Zugangskontrolle. Nicht jeder hat eine AD installiert um die Steuerung über eine OU zu erledigen.

Folgendes Szenario: Ein Mitarbeiter besorgt sich ein Computerzertifikat von z.B. GlobalSign (vertrauenswürdige CA) für seinen privaten Computer...kommt damit in die Firma und kann sich ins WLAN einloggen da das Zertifikat ja grundsätzlich in Ordnung ist!

Das Problem kann man nur mit der AD lösen?! Eine Möglichkeit nur Zertifikate der internen CA anzunehmen gibt es nicht? Wie konfirugriert man dann "Nicht-Windows"-Geräte wie z.b. Smartphones - diese Geräteklasse kann ja nicht so einfach in die AD aufgenommen werden...

Die Sache mit der OU löst mein Problem natürlich...die AD-Gruppe steuert den Zugriff und mit dem Zertifikat bzw. mit den kryptographischen Schlüsseln wird die verbindung zum AP verschlüsselt.

Trotzdem würde ich die Thematik gerne verstehen und meinen Knoten aus dem Kopf bekommen...
Member: aqui
aqui Feb 11, 2017 updated at 10:19:43 (UTC)
Goto Top
Du solltest das mal in Ruhe zu dem Thema lesen:
https://www.heise.de/ct/artikel/Radius-mit-Windows-Server-2087800.html
Dann wirst du merken wie du mit deinem Zertifikatsdenken ziemlich auf dem Holzweg bist. Bei PEAP und besonders EAP-TLS ist sowas wie eine Zertifikatsweitergabe vollkommen unmöglich. Ist ja auch vollkommen klar, denn das würde die Logik von Zertifikaten ja vollständig über den Haufen schmeissen die ja gerade die Authentizität eines einzelnen Gerätes absolut garantieren.
Wäre es mit der Weitergabe so einfach wäre es ja keinerlei Unterschied zu PSKs die man ja auch einfach weitergeben kann.
Hier musst du wohl noch einiges lesen was das Thema Zertifikate anbetrifft.
Member: Dani
Dani Feb 11, 2017 updated at 10:27:50 (UTC)
Goto Top
Moin chgorges,
Das ist die Schwachstelle bei Zertifikaten, dass diese auch ohne Wissen des Admins weiter gegeben werden können und somit auch Unbefugte Zugang zum WLAN bekommen.
wie sieht das praktische Szenario dazu aus?

@Philipp711
Eine Weitergabe des Zertifikats und eine erfolgreiche Authentifizierung ist doch nur unter Beibehaltung des Computernamens möglich, oder? Also wenn PC-A sein Zertifikat an PC-B weiter gibt, muss PC-B seinen Namen auf PC-A ändern um sich korrek authentifizieren zu können, richtig?
und dem privaten Schlüssel, welcher standardmäßig gar nicht vom Client exportierbar ist, da die Vorlage "Computer" auf einer Windows Server CA dies Option nicht aktiviert hat.


Gruß,
Dani
Member: Philipp711
Philipp711 Feb 11, 2017 at 11:57:33 (UTC)
Goto Top
Zitat von @aqui:

Du solltest das mal in Ruhe zu dem Thema lesen:
https://www.heise.de/ct/artikel/Radius-mit-Windows-Server-2087800.html
Dann wirst du merken wie du mit deinem Zertifikatsdenken ziemlich auf dem Holzweg bist. Bei PEAP und besonders EAP-TLS ist sowas wie eine Zertifikatsweitergabe vollkommen unmöglich. Ist ja auch vollkommen klar, denn das würde die Logik von Zertifikaten ja vollständig über den Haufen schmeissen die ja gerade die Authentizität eines einzelnen Gerätes absolut garantieren.
Wäre es mit der Weitergabe so einfach wäre es ja keinerlei Unterschied zu PSKs die man ja auch einfach weitergeben kann.
Hier musst du wohl noch einiges lesen was das Thema Zertifikate anbetrifft.

Der Artikel ist zwar ganz interessant, aber wirklich Klarheit bringt er (mir) nicht.

Gut, eine Weitergabe scheint nicht zu funktionieren, da der private Schlüssel nicht zu exportieren ist - habe ich so nicht bedacht und ist auch, wie du schon sagtest, vollkommen logisch und nötig.

Ein Zertifikat identifiziert den Client eindeutig und kümmert sich durch die kryptographischen Schlüssel um die sichere Verbindung. Um die Zugangsberechtigung kümmert sich das Zertifikat nicht - dies muss mit anderen mitteln bewerkstelligt werden (z.b. eine AD-Gruppe), richtig?!
Mitglied: 108012
108012 Feb 11, 2017 at 13:43:18 (UTC)
Goto Top
Ein Zertifikat identifiziert den Client eindeutig
Das stimmt!

und kümmert sich durch die kryptographischen Schlüssel um die sichere Verbindung.
Das kann sein ist aber kein muss, den man kann auch ohne Verschlüsselung und nur mittels Zertifikat arbeiten,
macht aber kaum einer weil es dann nicht so sicher ist und auch irgend wie an der Realität vorbei gearbeitet wird.

Um die Zugangsberechtigung kümmert sich das Zertifikat nicht -
Doch genau das ist die Aufgabe des Zertifikates! Es ist eher wie eine Billet oder eine Fahrkarte bzw. eine Eintrittskarte
mit der man Zugang zu einem Netzwerk hat aber eben nicht zu allen Netzwerken.

dies muss mit anderen mitteln bewerkstelligt werden (z.b. eine AD-Gruppe), richtig?!
Man kann das sicherlich kombinieren oder alles aufteilen ganz wie man möchte.
- LDAP Rolle oder Server für Kabel gebundene Geräte
- Radius Server mit Zertifikat (wie in Deinem Fall) für die eigenen bzw. privaten (Kabel losen) WLAN Geräte
- Capive Portal mit Voucher System für WLAN Besucher (Kabel lose Geräte)

Gruß
Dobby

Member: Philipp711
Philipp711 Feb 11, 2017 at 16:41:00 (UTC)
Goto Top
Zitat von @108012:

Um die Zugangsberechtigung kümmert sich das Zertifikat nicht -
Doch genau das ist die Aufgabe des Zertifikates! Es ist eher wie eine Billet oder eine Fahrkarte bzw. eine Eintrittskarte
mit der man Zugang zu einem Netzwerk hat aber eben nicht zu allen Netzwerken.

Naja aber dann müsste ich doch im Radius/NPS irgendwie definieren welche Zertifikate in Ordnung sind und welche nicht?! Wie bzw. wo definiere ich das denn??
Member: Dani
Dani Feb 12, 2017 at 17:38:29 (UTC)
Goto Top
Moin,
Naja aber dann müsste ich doch im Radius/NPS irgendwie definieren welche Zertifikate in Ordnung sind und welche nicht?! Wie bzw. wo definiere ich das denn??
NPS prüft ob das Zertifikat unter anderem ob das Zertifikat von der CA stammt, gültig ist und auf keiner Sperrliste erscheint. Anschließend ist die Authentifizierung durchgeführt. Da das Zertifikat meist auf dem Computername ausgestellt wird, ist dem NPS der Benutzer erstmal egal. Du kannst das natürlich noch einschränken... wobei hier die Frage nach dem Sinn für mich ist.


Gruß,
Dani
Member: Philipp711
Philipp711 Feb 14, 2017 at 09:23:16 (UTC)
Goto Top
Zitat von @Dani:

Moin,
Naja aber dann müsste ich doch im Radius/NPS irgendwie definieren welche Zertifikate in Ordnung sind und welche nicht?! Wie bzw. wo definiere ich das denn??
NPS prüft ob das Zertifikat unter anderem ob das Zertifikat von der CA stammt, gültig ist und auf keiner Sperrliste erscheint. Anschließend ist die Authentifizierung durchgeführt. Da das Zertifikat meist auf dem Computername ausgestellt wird, ist dem NPS der Benutzer erstmal egal. Du kannst das natürlich noch einschränken... wobei hier die Frage nach dem Sinn für mich ist.


Finde irgendwie keine passende Einstellung zur Zertifikatsprüfung...kannst du mir evtl. sagen wo das konfiguriert wird?
Member: Dani
Dani Feb 14, 2017 at 16:59:42 (UTC)
Goto Top
Finde irgendwie keine passende Einstellung zur Zertifikatsprüfung...kannst du mir evtl. sagen wo das konfiguriert wird?
Gar nicht... das ist technisch gesehen, Bestandteil der PKI. Setzt natürlich voraus, dass die (Delta)Sperrlisten sauber konfiguriert wurde.


Gruß,
Dani
Member: Philipp711
Philipp711 Feb 15, 2017 updated at 14:15:38 (UTC)
Goto Top
Zitat von @Dani:

Finde irgendwie keine passende Einstellung zur Zertifikatsprüfung...kannst du mir evtl. sagen wo das konfiguriert wird?
Gar nicht... das ist technisch gesehen, Bestandteil der PKI. Setzt natürlich voraus, dass die (Delta)Sperrlisten sauber konfiguriert wurde.

Logisch...ich glaube ich habe mich missverständlich ausgedrückt.

Mir geht nicht in den Kopf wie der Server nur anhand des Zertifikats die Autorisierung zum Zugang zum WLAN geben kann. Das Zertifikat authentifiziert/identifiziert doch nur eindeutig...

Der Server kann doch in der jetzigen Situation gar nicht erkennen, ob ein offiziell gültiges Zertifikat zum Zugang zum WLAN berechtigt oder halt eben nicht! Ich habe doch gar keine Eigenschaften definiert an denen sich der Server orientieren kann.

Es gibt doch technisch gesehen keinen unterschied zwischen einem Zertifikat das von einer internen- oder einer externen-CA stammt...solange das Root-CA-Zertifikat im Speicher der "vertrauenswürdigen Stammzertifizierungsstellen" installiert ist, passt doch alles.

Beispiel: Ich bestelle für meinen privat PC ein offizielles und gültiges Computerzertifikat bei Verisign mein privater Computer ist offiziell mit einem gültigen Zertifikat ausgestattet. Wieso sollte mir der Unternehmes-NPS-Server jetzt sagen..."nö, du kommst hier nicht rein"?!
Es kann doch nirgends definiert werden "Verisign-Zertifikate" sind Böse...es muss doch eine zweiter Schritt zur Autorisierung (z.B. AD-Gruppen) eingebaut werden....