 |
|
|
|
| Autor |
Nachricht |
silvershark
Anmeldungsdatum: 09.07.2005
Beiträge: 36
|
 Verfasst am:
Fr 19 Aug, 2005 23:12 |
  |
|
Hallo liebes Forum,
kann ich meine Logindaten für das Netzwerk in dem mich anmelden will bzw. die Server Logindaten an dem ich mich anmelden will bei XAUTH eintragen und es funktioniert dann.....
....oder ist das was ganz anderes ?
Danke Marc |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Sa 20 Aug, 2005 20:17 |
|
|
Hi silvershark
| Zitat:
|
|
kann ich meine Logindaten für das Netzwerk in dem mich anmelden will bzw. die Server Logindaten an dem ich mich anmelden will bei XAUTH eintragen und es funktioniert dann.....
|
nein
| Zitat:
|
|
....oder ist das was ganz anderes ?
|
ja. XAUTH ist ein von CISCO entwickeltes Verfahren um die IPSec-Authentifizierung zu vereinfachen und auf bestehende RAS-Struckturen anzupassen. Bei XAUTH wird zunächst ein verschlüsselter Tunnel anhand des Pre-Shared-Gruppen-Keys oder anhand des Gruppenzertifikats aufgebaut. Innerhalb dieses Tunnels wird eine normale Username/Paßwort-Authentifizierung durchgeführt (die auch von einen RADIUS-Server durchgeführt werden kann). Erst wenn diese Authentifizierung erfolgreich war, wird Zugang zum Netz gestattet.
Das hat also nichts mit einer Anmeldung bei einem Server zu tun...
Gruß
Backslash |
|
|
 |
|
silvershark
Anmeldungsdatum: 09.07.2005
Beiträge: 36
|
| Verfasst am:
So 21 Aug, 2005 01:12 |
|
|
Hallo backslash ,
vielen Dank für die ausfühliche unf gute Erklärung.
Danke,
Marc |
|
|
|
|
booker
Anmeldungsdatum: 01.08.2005
Beiträge: 53
|
| Verfasst am:
Di 23 Aug, 2005 15:12 |
|
|
Hi backslash,
| backslash hat folgendes geschrieben:
|
|
ja. XAUTH ist ein von CISCO entwickeltes Verfahren um die IPSec-Authentifizierung zu vereinfachen und auf bestehende RAS-Struckturen anzupassen.
|
wenn ich Dich richtig verstehe ist das VPN anschliessend das gleiche/vergleichbar mit 'nem "reinen" Lancom-VPN. Ist das denn sehr aufwändig den LC-Routern diese XAUTH-Fähigkeit beizubringen?
Klar spielen hier auch Marketingentscheidungen eine Rolle, aus meiner Sicht wäre das aber schon ein Mehrwert für die LC-Router, da sie dann auch dort als Clients eingesetzt werden können wo bereits viel CISCO-Technik in Betrieb ist. Der Bedarf scheint ja immerhin da zu sein, schliesslich wurde dieses Thema schon das eine oder andere Mal diskutiert.
Gruß, Booker |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Mi 24 Aug, 2005 15:18 |
|
|
Hi booker
| Zitat:
|
|
wenn ich Dich richtig verstehe ist das VPN anschliessend das gleiche/vergleichbar mit 'nem "reinen" Lancom-VPN.
|
Genaugenommen ist es vorher und nachher gleich. XAUTH läuft zwischen Phase 1 (Main-Mode/Aggressive-Mode) und Phase 2 (Quick-Mode).
| Zitat:
|
|
Ist das denn sehr aufwändig den LC-Routern diese XAUTH-Fähigkeit beizubringen?
|
Der Aufwand ist nicht zu unterschätzen, aber wie du bereits sagst:
| Zitat:
|
Klar spielen hier auch Marketingentscheidungen eine Rolle, aus meiner Sicht wäre das aber schon ein Mehrwert für die LC-Router, da sie dann auch dort als Clients eingesetzt werden können wo bereits viel CISCO-Technik in Betrieb ist. Der Bedarf scheint ja immerhin da zu sein, schliesslich wurde dieses Thema schon das eine oder andere Mal diskutiert.
|
Und da stehen halt Projektwünsche vor allgemeinen Featurewünschen... Sobald irgendwer kommt und sagt "ich nehme euch x-tausend Geräte ab, wenn ihr mir XAUTH einbaut" dann wird es das "schlagartig" im LANCOM geben...
Aber abgesehen davon sollte man die Sicherheitsproblematik von XAUTH nicht unterschätzen! Wenn es zusammen mit Aggressive-Mode und Preshared Keys (= Gruppen-Key) eingesetzt wird, dann ist es eine erhebliche Sicherheitslücke und erlaubt sogar Man-In-The-Middle Angriffe...
(Jeder, der den Gruppenkey kennt, kann sich als Server ausgeben).
Dazu kommt, daß es nicht sicher möglich ist, User zu sperren - da alle den gleichen Gruppenkey bzw. das gleiche Gruppenzertifikat verwenden, kann ein gesperrter User sich halt unter einem anderen Usernamen anmelden.
Die Sicherheit des Ganzen steht und fällt mit den Paßwörtern der User...
Gruß
Backslash |
|
|
|
|
omd
Anmeldungsdatum: 18.07.2005
Beiträge: 105
|
| Verfasst am:
Mi 24 Aug, 2005 15:32 |
|
|
| backslash hat folgendes geschrieben:
|
|
Und da stehen halt Projektwünsche vor allgemeinen Featurewünschen... Sobald irgendwer kommt und sagt "ich nehme euch x-tausend Geräte ab, wenn ihr mir XAUTH einbaut" dann wird es das "schlagartig" im LANCOM geben...
|
Hat denn noch niemand gewünscht, für die VPN-Einwahl den Windows-VPN-Client/-Assistenten (L2TP?) zu verwenden?  Wäre schon ein schöne Sache.
Gruß
omd |
_________________
LC 1811 / LCOS 5.08 |
|
|
|
|
|
|
|
| |
|
|
