2
Grundsätzliches zur Sicherheit bei gegenseitiger Authentifizierung
Hallo zusammen,
ich stelle mir die ganze Zeit die Frage wie die Sicherheit bei Zertifikaten zu sehen ist, wenn eine gegenseitige Authentifizierung stattfindet.
Im IIS7 kann man ja eine 128 BIT Verschlüsselung und eine gegenseitige Authentifizierung erzwingen. Sagen wir mal eine Firma will nur dass genau dieser eine Mitarbeiter remote zugreift und vergiebt ihm ein Zertifikat. Ein Unbefugter könnte doch jetzt an dessen PC gelangen und die beiden Zertifikate ROOT und Domänenzertifikat exportieren und an einem anderen Rechner wieder installieren.
Ein Root Zertifikat wird doch ohne den privaten Schlüssel ohne Passwort exportiert, wäre dann doch kein Problem sich als jemand anderer auszugeben.
Gibt es hier eine Möglichkeit einen Schutz einzubauen (VPN mit IPsec ist auch noch da klar, aber dennoch)
Grüsse
Bremsmann
ich stelle mir die ganze Zeit die Frage wie die Sicherheit bei Zertifikaten zu sehen ist, wenn eine gegenseitige Authentifizierung stattfindet.
Im IIS7 kann man ja eine 128 BIT Verschlüsselung und eine gegenseitige Authentifizierung erzwingen. Sagen wir mal eine Firma will nur dass genau dieser eine Mitarbeiter remote zugreift und vergiebt ihm ein Zertifikat. Ein Unbefugter könnte doch jetzt an dessen PC gelangen und die beiden Zertifikate ROOT und Domänenzertifikat exportieren und an einem anderen Rechner wieder installieren.
Ein Root Zertifikat wird doch ohne den privaten Schlüssel ohne Passwort exportiert, wäre dann doch kein Problem sich als jemand anderer auszugeben.
Gibt es hier eine Möglichkeit einen Schutz einzubauen (VPN mit IPsec ist auch noch da klar, aber dennoch)
Grüsse
Bremsmann
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 129172
Url: https://administrator.de/contentid/129172
Printed on: April 19, 2024 at 20:04 o'clock
2 Comments
Latest comment
Hallo,
das Verfahren an sich noch wieter abzusichern geht eher nicht.
Was geht ist das Laptop /PC weiter abzusichern das zumindest beim Verlust des Laptops nicht jeder sofort ins
Firmen Intranet kommt, indem man mittels E-Token und Passwort das Gerät Gegen ZUgriffe von aussen
zusätzlich schützt.
Auch eine zweite Authentifizierung über eine zusätzlichen Radius Server der als Zweiter Schutzmechanismus dahinter nochmal,
einen anderen Benutzernamen abfragt ist ein Denkbares Szenario.
Ansonsten stellt sich mir eher die Frage ob eine Verschlüsselung mit 128 Bit heutzutage noch als Sicher zu betrachten ist.
Nach meiner Einschätzung und meinen Ansprüchen würde ich schon diese Frage eher mit NEIN beantworten und somit wäre der IIS als
Border für mich schon aus dem Rennen.
brammer
das Verfahren an sich noch wieter abzusichern geht eher nicht.
Was geht ist das Laptop /PC weiter abzusichern das zumindest beim Verlust des Laptops nicht jeder sofort ins
Firmen Intranet kommt, indem man mittels E-Token und Passwort das Gerät Gegen ZUgriffe von aussen
zusätzlich schützt.
Auch eine zweite Authentifizierung über eine zusätzlichen Radius Server der als Zweiter Schutzmechanismus dahinter nochmal,
einen anderen Benutzernamen abfragt ist ein Denkbares Szenario.
Ansonsten stellt sich mir eher die Frage ob eine Verschlüsselung mit 128 Bit heutzutage noch als Sicher zu betrachten ist.
Nach meiner Einschätzung und meinen Ansprüchen würde ich schon diese Frage eher mit NEIN beantworten und somit wäre der IIS als
Border für mich schon aus dem Rennen.
brammer
Hallo,
zumindest habe ich das Ganze richtig verstanden.
Wie meinst du denn das mit den 128 Bit, die reichen nicht mehr. Wenn man sich ins Firmennetzwerk per VPN einwählt wird die Verbindung ja mit IPSec abgesichert, das soll doch sicher sein, oder?
Die 128 Bit sind doch nur von Server zu Client als zusätzliche Absicherung zu sehen, oder verstehe ich das schon wieder falsch?
Grüsse
zumindest habe ich das Ganze richtig verstanden.
Wie meinst du denn das mit den 128 Bit, die reichen nicht mehr. Wenn man sich ins Firmennetzwerk per VPN einwählt wird die Verbindung ja mit IPSec abgesichert, das soll doch sicher sein, oder?
Die 128 Bit sind doch nur von Server zu Client als zusätzliche Absicherung zu sehen, oder verstehe ich das schon wieder falsch?
Grüsse
