Hallo liebes Forum,
kann ich meine Logindaten für das Netzwerk in dem mich anmelden will bzw. die Server Logindaten an dem ich mich anmelden will bei XAUTH eintragen und es funktioniert dann.....
....oder ist das was ganz anderes ?
Danke Marc
XAUTH ??? Serveranmeldung
Moderator: Lancom-Systems Moderatoren
Hi silvershark
Das hat also nichts mit einer Anmeldung bei einem Server zu tun...
Gruß
Backslash
neinkann ich meine Logindaten für das Netzwerk in dem mich anmelden will bzw. die Server Logindaten an dem ich mich anmelden will bei XAUTH eintragen und es funktioniert dann.....
ja. XAUTH ist ein von CISCO entwickeltes Verfahren um die IPSec-Authentifizierung zu vereinfachen und auf bestehende RAS-Struckturen anzupassen. Bei XAUTH wird zunächst ein verschlüsselter Tunnel anhand des Pre-Shared-Gruppen-Keys oder anhand des Gruppenzertifikats aufgebaut. Innerhalb dieses Tunnels wird eine normale Username/Paßwort-Authentifizierung durchgeführt (die auch von einen RADIUS-Server durchgeführt werden kann). Erst wenn diese Authentifizierung erfolgreich war, wird Zugang zum Netz gestattet.....oder ist das was ganz anderes ?
Das hat also nichts mit einer Anmeldung bei einem Server zu tun...
Gruß
Backslash
-
silvershark
- Beiträge: 36
- Registriert: 09 Jul 2005, 17:10
Hi backslash,
Klar spielen hier auch Marketingentscheidungen eine Rolle, aus meiner Sicht wäre das aber schon ein Mehrwert für die LC-Router, da sie dann auch dort als Clients eingesetzt werden können wo bereits viel CISCO-Technik in Betrieb ist. Der Bedarf scheint ja immerhin da zu sein, schliesslich wurde dieses Thema schon das eine oder andere Mal diskutiert.
Gruß, Booker
wenn ich Dich richtig verstehe ist das VPN anschliessend das gleiche/vergleichbar mit 'nem "reinen" Lancom-VPN. Ist das denn sehr aufwändig den LC-Routern diese XAUTH-Fähigkeit beizubringen?backslash hat geschrieben:ja. XAUTH ist ein von CISCO entwickeltes Verfahren um die IPSec-Authentifizierung zu vereinfachen und auf bestehende RAS-Struckturen anzupassen.
Klar spielen hier auch Marketingentscheidungen eine Rolle, aus meiner Sicht wäre das aber schon ein Mehrwert für die LC-Router, da sie dann auch dort als Clients eingesetzt werden können wo bereits viel CISCO-Technik in Betrieb ist. Der Bedarf scheint ja immerhin da zu sein, schliesslich wurde dieses Thema schon das eine oder andere Mal diskutiert.
Gruß, Booker
Hi booker
Genaugenommen ist es vorher und nachher gleich. XAUTH läuft zwischen Phase 1 (Main-Mode/Aggressive-Mode) und Phase 2 (Quick-Mode).
Aber abgesehen davon sollte man die Sicherheitsproblematik von XAUTH nicht unterschätzen! Wenn es zusammen mit Aggressive-Mode und Preshared Keys (= Gruppen-Key) eingesetzt wird, dann ist es eine erhebliche Sicherheitslücke und erlaubt sogar Man-In-The-Middle Angriffe...
(Jeder, der den Gruppenkey kennt, kann sich als Server ausgeben).
Dazu kommt, daß es nicht sicher möglich ist, User zu sperren - da alle den gleichen Gruppenkey bzw. das gleiche Gruppenzertifikat verwenden, kann ein gesperrter User sich halt unter einem anderen Usernamen anmelden.
Die Sicherheit des Ganzen steht und fällt mit den Paßwörtern der User...
Gruß
Backslash
wenn ich Dich richtig verstehe ist das VPN anschliessend das gleiche/vergleichbar mit 'nem "reinen" Lancom-VPN.
Genaugenommen ist es vorher und nachher gleich. XAUTH läuft zwischen Phase 1 (Main-Mode/Aggressive-Mode) und Phase 2 (Quick-Mode).
Der Aufwand ist nicht zu unterschätzen, aber wie du bereits sagst:Ist das denn sehr aufwändig den LC-Routern diese XAUTH-Fähigkeit beizubringen?
Und da stehen halt Projektwünsche vor allgemeinen Featurewünschen... Sobald irgendwer kommt und sagt "ich nehme euch x-tausend Geräte ab, wenn ihr mir XAUTH einbaut" dann wird es das "schlagartig" im LANCOM geben...Klar spielen hier auch Marketingentscheidungen eine Rolle, aus meiner Sicht wäre das aber schon ein Mehrwert für die LC-Router, da sie dann auch dort als Clients eingesetzt werden können wo bereits viel CISCO-Technik in Betrieb ist. Der Bedarf scheint ja immerhin da zu sein, schliesslich wurde dieses Thema schon das eine oder andere Mal diskutiert.
Aber abgesehen davon sollte man die Sicherheitsproblematik von XAUTH nicht unterschätzen! Wenn es zusammen mit Aggressive-Mode und Preshared Keys (= Gruppen-Key) eingesetzt wird, dann ist es eine erhebliche Sicherheitslücke und erlaubt sogar Man-In-The-Middle Angriffe...
(Jeder, der den Gruppenkey kennt, kann sich als Server ausgeben).
Dazu kommt, daß es nicht sicher möglich ist, User zu sperren - da alle den gleichen Gruppenkey bzw. das gleiche Gruppenzertifikat verwenden, kann ein gesperrter User sich halt unter einem anderen Usernamen anmelden.
Die Sicherheit des Ganzen steht und fällt mit den Paßwörtern der User...
Gruß
Backslash
Hat denn noch niemand gewünscht, für die VPN-Einwahl den Windows-VPN-Client/-Assistenten (L2TP?) zu verwenden?backslash hat geschrieben:Und da stehen halt Projektwünsche vor allgemeinen Featurewünschen... Sobald irgendwer kommt und sagt "ich nehme euch x-tausend Geräte ab, wenn ihr mir XAUTH einbaut" dann wird es das "schlagartig" im LANCOM geben...
Wäre schon ein schöne Sache.Gruß
omd
LC 1811 / LCOS 5.08