Grundsätzliches zur Sicherheit bei gegenseitiger Authentifizierung
Hallo zusammen,
ich stelle mir die ganze Zeit die Frage wie die Sicherheit bei Zertifikaten zu sehen ist, wenn eine gegenseitige Authentifizierung stattfindet.
Im IIS7 kann man ja eine 128 BIT Verschlüsselung und eine gegenseitige Authentifizierung erzwingen. Sagen wir mal eine Firma will nur dass genau dieser eine Mitarbeiter remote zugreift und vergiebt ihm ein Zertifikat. Ein Unbefugter könnte doch jetzt an dessen PC gelangen und die beiden Zertifikate ROOT und Domänenzertifikat exportieren und an einem anderen Rechner wieder installieren.
Ein Root Zertifikat wird doch ohne den privaten Schlüssel ohne Passwort exportiert, wäre dann doch kein Problem sich als jemand anderer auszugeben.
Gibt es hier eine Möglichkeit einen Schutz einzubauen (VPN mit IPsec ist auch noch da klar, aber dennoch)
Grüsse
Bremsmann
ich stelle mir die ganze Zeit die Frage wie die Sicherheit bei Zertifikaten zu sehen ist, wenn eine gegenseitige Authentifizierung stattfindet.
Im IIS7 kann man ja eine 128 BIT Verschlüsselung und eine gegenseitige Authentifizierung erzwingen. Sagen wir mal eine Firma will nur dass genau dieser eine Mitarbeiter remote zugreift und vergiebt ihm ein Zertifikat. Ein Unbefugter könnte doch jetzt an dessen PC gelangen und die beiden Zertifikate ROOT und Domänenzertifikat exportieren und an einem anderen Rechner wieder installieren.
Ein Root Zertifikat wird doch ohne den privaten Schlüssel ohne Passwort exportiert, wäre dann doch kein Problem sich als jemand anderer auszugeben.
Gibt es hier eine Möglichkeit einen Schutz einzubauen (VPN mit IPsec ist auch noch da klar, aber dennoch)
Grüsse
Bremsmann
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 129172
Url: https://administrator.de/forum/grundsaetzliches-zur-sicherheit-bei-gegenseitiger-authentifizierung-129172.html
Ausgedruckt am: 22.12.2024 um 20:12 Uhr
2 Kommentare
Neuester Kommentar
Hallo,
das Verfahren an sich noch wieter abzusichern geht eher nicht.
Was geht ist das Laptop /PC weiter abzusichern das zumindest beim Verlust des Laptops nicht jeder sofort ins
Firmen Intranet kommt, indem man mittels E-Token und Passwort das Gerät Gegen ZUgriffe von aussen
zusätzlich schützt.
Auch eine zweite Authentifizierung über eine zusätzlichen Radius Server der als Zweiter Schutzmechanismus dahinter nochmal,
einen anderen Benutzernamen abfragt ist ein Denkbares Szenario.
Ansonsten stellt sich mir eher die Frage ob eine Verschlüsselung mit 128 Bit heutzutage noch als Sicher zu betrachten ist.
Nach meiner Einschätzung und meinen Ansprüchen würde ich schon diese Frage eher mit NEIN beantworten und somit wäre der IIS als
Border für mich schon aus dem Rennen.
brammer
das Verfahren an sich noch wieter abzusichern geht eher nicht.
Was geht ist das Laptop /PC weiter abzusichern das zumindest beim Verlust des Laptops nicht jeder sofort ins
Firmen Intranet kommt, indem man mittels E-Token und Passwort das Gerät Gegen ZUgriffe von aussen
zusätzlich schützt.
Auch eine zweite Authentifizierung über eine zusätzlichen Radius Server der als Zweiter Schutzmechanismus dahinter nochmal,
einen anderen Benutzernamen abfragt ist ein Denkbares Szenario.
Ansonsten stellt sich mir eher die Frage ob eine Verschlüsselung mit 128 Bit heutzutage noch als Sicher zu betrachten ist.
Nach meiner Einschätzung und meinen Ansprüchen würde ich schon diese Frage eher mit NEIN beantworten und somit wäre der IIS als
Border für mich schon aus dem Rennen.
brammer