tantalos
Goto Top

WLAN mit EAP

Hallo,

es geht um die geplante Authentifizierung von WLAN-Clients in einem Firmen-Netz an einem Windows NPS.

Ich wäre Euch dankbar, wenn Ihr mir ein paar Fragen beantworten würdet:

EAP-PEAP:
1. Ist EAP-PEAP sicher?

2. MS-CHAPv2 selbst ist ja unsicher, was aber insoweit "geheilt" wird, als dass es in einem verschlüsselten Tunnel abgearbeitet wird, richtig?
Stellt die Tatsache, dass der Client kein Zertifikat haben muss, ein Sicherheitsproblem dar?

EAP-TLS:
3. Die Tatsache, dass der Client ein Zertifikat haben muss, bedeutet, dass man für x Rechner Zertifikate verwalten muss, bspw. in einer eigenen CA, richtig?

4. Kann man die Verteilung der Zertifikate auf die Rechner automatisieren, bspw. bei der erstmaligen Verbindung?

5. Falls ja, wie kann man dies sicher gestalten (es sollen nur vertraute Geräte ein Zertifikat erhalten)?

EAP-TTLS:
6. Stellt die Tatsache, dass der Client kein Zertifikat haben muss, ein Sicherheitsproblem dar?

7. Wenn kein Client-Zertifikat benötigt wird, wie wird der Client dann authentifiziert? Über Benutzername + Passwort?

8. Ist die Sicherheit im Vergleich zu EAP-PEAP höher und falls ja, weshalb?

9. Die Tatsache, dass die Clients keine Zertifikate haben müssen, bedeutet, dass man - wie bei EAP-PEAP - nicht für x Rechner Zertifikate verwalten muss, korrekt?

Schöne Grüße,
tantalos

Content-ID: 3726802574

Url: https://administrator.de/contentid/3726802574

Ausgedruckt am: 22.11.2024 um 02:11 Uhr

DerSchorsch
Lösung DerSchorsch 23.08.2022 um 08:34:40 Uhr
Goto Top
Guten Morgen,

EAP-PEAP:
1. Ist EAP-PEAP sicher?

2. MS-CHAPv2 selbst ist ja unsicher, was aber insoweit "geheilt" wird, als dass es in einem verschlüsselten Tunnel abgearbeitet wird, richtig?
Stellt die Tatsache, dass der Client kein Zertifikat haben muss, ein Sicherheitsproblem dar?

PEAP mit ms-chapv2 ist eigentlich soweit sicher.
Lässt sich auf 2 Wege in einem Windows-Netz einrichten: 1. du nutzt die Computerauthentifizierung, das hat auch den Vorteil, dass der Client vor der Benutzeranmeldung verbunden ist und z.B. GPO abarbeiten kann.
2. Du lässt den Benutzer authentifizieren. Dann kannst du pro Benutzer/Gruppe steuern, ob dieser sich verbinden darf. Nachteile: keine GPO-Verarbeitung vor der Anmeldung und der Benutzer kann sich auch von einem fremden Gerät aus anmelden, da Benutzername/Passwort bekannt. Das ist eigentlich die Schwachstelle daran. Aber bei Computerauthentifizierung spricht nichts dagegen.

EAP-TLS:
3. Die Tatsache, dass der Client ein Zertifikat haben muss, bedeutet, dass man für x Rechner Zertifikate verwalten muss, bspw. in einer eigenen CA, richtig?

4. Kann man die Verteilung der Zertifikate auf die Rechner automatisieren, bspw. bei der erstmaligen Verbindung?

5. Falls ja, wie kann man dies sicher gestalten (es sollen nur vertraute Geräte ein Zertifikat erhalten)?

Ist die sicherste Methode. Wenn alle Clients Windows sind und Mitglied der Domäne, kann man das mit einer Windows "Enterprise-CA" und Gruppenrichtlinien aber schön automatisieren.
Ist alles in Windows dabei, man muss es nur konfigurieren.
Auch hier ist sowohl Computer oder Benutzerauthentifizierung möglich. Aber man kann Zertifikate als nicht exportierbar einrichten und/oder in einem TPM speichern. Das verhindert, dass ein Benutzer das auf ein Fremdgerät übertragen kann.

EAP-TTLS:
[...]

EAP-TTLS ist eigentlich nur eine Alternative zu PEAP/Ms-chapv2 von anderen Herstellern.
In einem Windows-Umfeld würde ich immer zu EAP-TLS oder PEAP/Ms-chapv2 greifen.
Wenn möglich EAP-TLS. Der initiale Aufwand mit der CA ist zwar da, aber danach ein "Selbstläufer"

Leider kann der NPS kein EAP-TEAP. Win10 als Client seit 2004 schon. Damit könnte man verschiedene Mechanismen kombinieren. Also nicht Computer oder Benutzer, sondern Computer UND Benutzer, z.B. beide jeweils per EAP-TLS. Sicherer gehts eigentlich nicht.
Aber solange MS das nicht auch in den NPS bringt, braucht man dazu Cisco ISE oder Aruba Clearpass.

Gruß
tantalos
tantalos 31.08.2022 um 19:17:36 Uhr
Goto Top
Hallo Schorsch,

vielen Dank für Deine Antworten, die mir sehr geholfen haben!

Wir haben jetzt PEAP/Ms-chapv2 mit Benutzer-Authentifizierung gemacht und es funktioniert prima.

Schöne Grüße,
tantalos