horstvogel
Goto Top

Pfsense 2.4.1 Freeradius 3 Password Encyrption User MD5

Hallo und ein schönes Wochenende,

wenn ich unter User bei Freeradius 3 unter Password Encyrption MD5 anwähle, dann funktioniert die Authentifizierung unter Diagnose nicht mehr.
Geht das grundsätzlich nicht? Bei Cleartext werden die Passwörter unter der Konfiguration natürlich lesbar abgespeichert. Oder wo muss man das anpassen?
Ist leider ein Doppelpost, an dieser Stelle habe ich vermutlich auch das Problem?
Pfsense 2.4.1 OpenVPN google Authenticator


freeradius cleartext password

Danke, der Horst

Content-ID: 353211

Url: https://administrator.de/contentid/353211

Ausgedruckt am: 24.11.2024 um 00:11 Uhr

LordGurke
LordGurke 29.10.2017 um 12:26:12 Uhr
Goto Top
Dass die pfSense-Leute das "Encryption" nennen, ist eigentlich fürchterlicher Unsinn, denn es muss bei diesen Auswahlmöglichkeiten "Hashing" heißen.
Der Unterschied ist, dass MD5 ein Hashing-Verfahren ist und man aus einem Hash theoretisch niemals wieder auf den ursprünglichen Text zurück schließen kann. Das ist so ähnlich wie eine Quersumme: Du weißt anhand der Zahl "611" nicht, wie viele Zahlen mit welchem Wert zusammenaddiert wurden - aber wenn man dir eine Zahlenreihe gibt und du darüber die Quersumme berechnest, kannst du sagen ob die Quersumme (also der Hash) identisch ist oder nicht.

Da MD5 ohnehin schon lange überhaupt keine Sicherheit mehr bietet, würde ich das auf Cleartext-Passwort stehen lassen.
Denn wenn auf der pfSense nur die MD5-Hashes vorliegen, reduzierst du die Authentifizierungsmöglichkeiten auf PAP (Klartext-Kennwort). Denn alle anderen Verfahren erfordern, dass die pfSense das bei ihr lokal gespeicherte Kennwort kennt - was bei einem Hash nunmal nicht möglich ist.
CHAP oder MSCHAP übermitteln nämlich selbst nur einen salted Hash des Kennworts. Damit kann die pfSense natürlich niemals vergleichen, ob wirklich das korrekte Kennwort eingegeben wurde.

Und deshalb, verehrte Damen und Herren, gehören meiner Meinung nach die für den Begriff "Encryption" verantwortlichen Entwickler so lange mit einem Netzwerkkabel verdroschen, bis sie den Unterschied auswendig erklären können face-wink
horstvogel
horstvogel 31.10.2017 um 12:08:23 Uhr
Goto Top
Mein eigentliches Problem ist anscheinend ein Pfsense Problem.
Lordgurke, danke für die Aufklärung!!!

Pfsense Freeradius OTP funktioniert nicht mit 2.4.1, sondern anscheinend nur bis 2.3.4