Das Profi-Forum für LANCOM-User
LANCOMs günstig bei Ebay ersteigern
LANCOM

 IPSec PSK + XAUTH - Nur eine Identität notwendig?
Nächstes Thema anzeigen
Vorheriges Thema anzeigen
Beiträge der letzten 24 Stunden anzeigen

Neues Thema eröffnenNeue Antwort erstellen LANCOM-Forum.de Foren-Übersicht » Fragen zum Thema VPN
Autor Nachricht
Speed1978



Anmeldungsdatum: 29.01.2010
Beiträge: 9
BeitragVerfasst am: Mo 01 Feb, 2010 13:37 Antworten mit ZitatNach oben

Hallo zusammen,

ich bin ein Anfänger mit VPN/IPSec, habe schon einiges gelesen und mein Router 1711+ läuft inzwischen mit IPSec + XAUTH mit einem Testzugang. Bevor ich jetzt alle meine VPN Benutzer einrichte habe ich einige generelle Fragen.

Ist es sinnvoll für jeden Benutzer eine IKE-Identität einzurichten, wenn ich zusätzlich XAuth verwende? Das würde bedeuten dass ich eine Identität + eine XAuth Authorisierung pro Benutzer einrichten muss. Generell könnte ich auch nur eine Identität für alle Benutzer verwenden und die Benutzer via XAUTH mit unterschiedlichen Benutzernamen/Kennwörter authentifizieren!?

Kann mir da ein erfahrener Admin einen Tipp geben wir man es richtig macht!

Vielen Dank

Gruß Rainer
Benutzer ist OfflineBenutzer-Profile anzeigenPrivate Nachricht senden
Guest
Verfasst am: Nach oben

backslash
Moderator


Anmeldungsdatum: 08.11.2004
Beiträge: 4467
Wohnort: Aachen
BeitragVerfasst am: Mo 01 Feb, 2010 13:56 Antworten mit ZitatNach oben

Hi Speed1978

Zitat:
Ist es sinnvoll für jeden Benutzer eine IKE-Identität einzurichten, wenn ich zusätzlich XAuth verwende?


das ist beim LANCOM die einzige Möglichkeit...

Zitat:
Das würde bedeuten dass ich eine Identität + eine XAuth Authorisierung pro Benutzer einrichten muss.


genau...

Zitat:
Generell könnte ich auch nur eine Identität für alle Benutzer verwenden und die Benutzer via XAUTH mit unterschiedlichen Benutzernamen/Kennwörter authentifizieren!?


So ist XAUTH zwar prinzipiell gedacht, nur ist das eine riesige Sicherheitslücke, weil sich jeder der den Gruppenkey kennt als Einwahlserver ausgeben und somit einen Man-In-The-Middle-Angriff durchführen und *alles* im Klartext mitlesen kann.

XAUTH ist im LANCOM nur reingekommen, weil der VPN-Client des iPhones leider nicht ohne arbeiten will. Und um die oben genannte Sicherheitslücke dabei gar nicht erst aufkommen zu lassen, benötigt im LANCOM jeder XAUTH-User auch eine eigene Identität (incl. eigenem preshared Key), d.h. die "Gruppenidentität" des XAUTH gibt es letzendlich im LANCOM nicht.

Gruß
Backslash
Benutzer ist OfflineBenutzer-Profile anzeigenPrivate Nachricht senden
LoUiS
Site Admin


Anmeldungsdatum: 07.11.2004
Beiträge: 3889
Wohnort: Aix la Chapelle
BeitragVerfasst am: Mo 01 Feb, 2010 14:52 Antworten mit ZitatNach oben

Also kann man XAUTH IMHO auch direkt weglassen, mehr Sicherheit bekommt man dadurch nicht.


Ciao
LoUiS

_________________
Dr.House hat folgendes geschrieben:
Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Benutzer hat Status verstecktBenutzer-Profile anzeigenPrivate Nachricht sendenE-Mail senden
Beiträge der letzten Zeit anzeigen:      
Neues Thema eröffnenNeue Antwort erstellen LANCOM-Forum.de Foren-Übersicht » Fragen zum Thema VPN

 Gehe zu:   

Nächstes Thema anzeigen
Vorheriges Thema anzeigen
Beiträge der letzten 24 Stunden anzeigen

 Sitemap :: Impressum :: Archiv
Powered by phpBB © 2001/5 phpBB Group :: Designed by Port-All :: Alle Zeiten sind GMT + 1 Stunde
Partner: IP-Phone-Forum, Artikel schreiben, DSL Anbieter, Sofortkredit, FTTH Deutschland, Forumstyles, Fantasy Forum
IPTV | Monrose | Freeware