VPN und RADIUS-Authentifizierung

waldmeister24 · Beitrag von **waldmeister24** » 25 Jul 2007, 15:32

Hallo,

ein Kunde möchte demnächst Teile seines Netzwerkes erneuern. Dabei möchte er auch gleichzeitig für einen Teil der Mitarbeiter die Möglichkeit eines Fernzugriffes per VPN ermöglichen.
Dazu habe ich ein paar Fragen:

1. Soweit ich weiß kann man ja den LANCOM Advanced-VPN-Client so konfigurieren, daß man sich über mobilen Zugriff direkt an der Domäne anmelden kann, oder? Kann man dies bei der Windows-Anmeldung auswählen, ob man sich nun lokal am Notebook oder per Internet an der Domäne anmelden möchte?

2. Der Kunde selbst kann sich per VPN bei einem seiner Kunden ins Netz einwählen und damit dort Anlagen fernwarten. Dazu hat er von dem Kunden ein Gerät erhalten, mit dem er nach Eingabe einer PIN sog. One-Way-Passworte generieren kann (digipass von www.vaso.com). Hat jemand schon mal so ein Teil in Verbindung mit einem LANCOM-Router in Betrieb genommen? Funktioniert diese Kombination überhaupt? Lt. Herstellerseite läuft es mit jedem RADIUS-fähigen VPN-Client.

[Ergänzung]: Oder ist es etwa mit dem LANCOM AVC möglich ähnlich sicher Zugang zum VPN zu bekommen? Es sollte nämlich nicht passieren, daß bei einem Verlust eines Notebooks der Finder sich "relativ einfach" per VPN ins Netz einloggen kann...

3. Hat jemand zufällig einen Link parat, wo ich Infos über die Sicherheit von VPN-Zugängen nachlesen kann? Vielleicht ja sogar ein Dokument wo der Aufbau und die Konfiguration eines LANCOM-Gerätes mit VPN-Zugang anhand eines Beispiels erläutert wird. Die Zugänge sollten natürlich sicher sein und da möchte ich dem Kunden eine möglichst sichere Lösung anbieten können.

Würde mich sehr über Tipps freuen.

Grüße
waldmeister24

backslash · Beitrag von **backslash** » 25 Jul 2007, 17:32

Hi waldmeister24

2. Der Kunde selbst kann sich per VPN bei einem seiner Kunden ins Netz einwählen und damit dort Anlagen fernwarten. Dazu hat er von dem Kunden ein Gerät erhalten, mit dem er nach Eingabe einer PIN sog. One-Way-Passworte generieren kann (digipass von www.vaso.com). Hat jemand schon mal so ein Teil in Verbindung mit einem LANCOM-Router in Betrieb genommen? Funktioniert diese Kombination überhaupt? Lt. Herstellerseite läuft es mit jedem RADIUS-fähigen VPN-Client.

Einmalpaßwörter sind ja ganz OK, jedoch nur in Verbindung mit XAUTH sinnvoll einsetzbar. Das Problem bei XAUTH ist, daß man es tunlichst nicht verwenden sollte, weil es angreifbar ist - insbesondere kann bei XAUTH jeder, der im Besitz des Gruppenkeys ist (der ändert sich nie!) einem Client vorgaukeln, daß er der Server wäre und somit einen Man-In-The-Middle Angriff fahren. Ach ja: da XAUTH i.A. nur in Verbindung mit dem Aggressive-Mode gefahren wird, ist es für den Angreifer auch kein Problem, an den Gruppen-Key zu kommen - der Aggressive-Mode ist offline angreifbar...

[Ergänzung]: Oder ist es etwa mit dem LANCOM AVC möglich ähnlich sicher Zugang zum VPN zu bekommen? Es sollte nämlich nicht passieren, daß bei einem Verlust eines Notebooks der Finder sich "relativ einfach" per VPN ins Netz einloggen kann

Wie gesagt: das ist alles andere als sicher! Die einzig wirklich sichere Methode ist die Verwendung von Zertifikaten - die bei Verlust des Notebooks für ungültig erklärt werden können/müssen. Wenn du das Zertifikat auf einem USB-Token hälst, das du nie gemeinsam mit dem Notebook liegen läßt, dann besteht auch bei Diebstahl des Notebooks keine Gefahr...

Eine RADIUS-Authentifizierung ist dabei aber nicht möglich - es sei denn man würde zusätzlich noch XAUTH fahren... In Verbindung mit Zertifikaten ist XAUTH zwar nicht mehr unsicher, aber völlig überflüssig, da das Zertifikat den User ausweist (es sei denn man würde ein "Gruppenzertifikat" verwenden - dann wäre das ganze wieder genauso unsicher wie bei Verwendung eines Gruppenkeys...)

Gruß
Backslash

waldmeister24 · Beitrag von **waldmeister24** » 25 Jul 2007, 19:53

Hi backslash,

vielen Dank für deine Antwort.

Wenn ich dich richtig verstanden habe, dann kann ich dem Kunden also guten Gewissens einen LANCOM-VPN-Router und den AVC anbieten und die VPN-Verbindung mit Zertifikaten (DynDNS; USB-Token für die Zertifikate) einrichten und somit einen derzeit mobilen sicheren Zugang auf sein Netz anbieten.

So hab ich es dem Geschäftsführer des Kunden auch in etwa erklärt, aber einer der Mitarbeiter (ein "Experte"), der das Vasco-Teil hat meinte, daß diese Lösung super sicher sei... Aber da hat er sich wohl geirrt...

Ich hoffe ich darf deine Argumentation verwenden. Hast du zufällig einen Link parat wo sowas erklärt wird?

Grüße
waldmeister24

backslash · Beitrag von **backslash** » 26 Jul 2007, 13:29

Hi waldmeister24

Wenn ich dich richtig verstanden habe, dann kann ich dem Kunden also guten Gewissens einen LANCOM-VPN-Router und den AVC anbieten und die VPN-Verbindung mit Zertifikaten (DynDNS; USB-Token für die Zertifikate) einrichten und somit einen derzeit mobilen sicheren Zugang auf sein Netz anbieten.

ja

So hab ich es dem Geschäftsführer des Kunden auch in etwa erklärt,

das ist das beste, was du machen konntest

aber einer der Mitarbeiter (ein "Experte"), der das Vasco-Teil hat meinte, daß diese Lösung super sicher sei...

über selbsternannte "Experten" möchte ich mich nicht auslasssen, aber man sollte sich immer gut informieren, bevor man eine Aussage zum Thema Sicherheit macht...

Ich hoffe ich darf deine Argumentation verwenden. Hast du zufällig einen Link parat wo sowas erklärt wird?

zu beiden Themen findet sich z.B. bei Cisco entsprechnde Dokumente:

XAUTH Man-In-The-Middle: http://www.cisco.com/en/US/tech/tk583/t ... 15981.html

Aggressive-Mode PSK Hack: http://www.cisco.com/en/US/tech/tk583/t ... 6b57f.html

Ich habe hier Links zu Cisco gewählt, weil Cisco sich sehr ausführlich äußert. Ansonsten hilft auch, nach "xauth vulnerability" bzw. "aggressive mode vulnerability" zu googeln

Gruß
Backslash