Adv. Client Profile mit Kennwort absichern

[suvuk]

Hallo!

Auf meinem PC sind im Adv. Client mehrere Profile eingerichtet. Nun kann ja jeder, der Zugriff auf den PC hat, den VPN-Client verwenden. Die Konfigurationssperre ist ja schon ein erster Schritt, aber:

1. wie kann ich einzelne Profile mit Kennwort schützen bzw.
2. wie kann ich die Konfigurationsdateien per Kennwort schützen, so das sie nicht einfach so kopiert werden können?

[omd]

Hallo,

muss man den Preshared Key speichern? Muss man das Passwort der Zertifikatsdatei (pkcs12), oder PIN wie der Adv. Client es wohl nennt, sichern?

Zugriffskonktrolle auf Anwendungsebene hat sich ansonsten ja nicht so durchgesetzt.

Gruß,
omd

[suvuk]

Hallo,

muss man den Preshared Key speichern? Muss man das Passwort der Zertifikatsdatei (pkcs12), oder PIN wie der Adv. Client es wohl nennt, sichern?

War das ne rethorische Frage? Zumindest habe ich es noch nicht geschafft, ohne gespeichertes Secret eine Verbindung aufzubauen. Habe aber gerade mal ein Zertifikat in den Router geladen und teste mal damit.

Gruß
Suvuk

[omd]

War es nicht ganz... beim PSK weiß ich tatsächlich nicht. Aber die "PIN" braucht man nicht dauerhaft speichern. Gegen Profilklau hilft das allerdings auch nur bedingt; das Passwort kann man ja mehr oder weniger leicht offline per "brute force" herausbekomen.

Die Sache ist schon ein Problem. So richtig sicher wird es vermutlich erst, wenn Zertifikate in Smartcards, USB-Token o.ä. abgelegt werden. Der VPN-Client von TheGreenBow bietet es an, Profil und Zertifikate auf einem handelsüblichen USB-Stick abzulegen. Damit sind die sensiblen Daten immerhin nur solange zugreifbar, wie die VPN-Verbindung nötig ist.

Gruß,
omd

[suvuk]

So richtig sicher wird es vermutlich erst, wenn Zertifikate in Smartcards, USB-Token o.ä. abgelegt werden.

Ich hab ein Zertifikat auf SmartCard. Nur kommt das natürlich von einem Ausssteller, der von der RegTP akkreditiert ist etc. Und wenn ich das richtig verstanden hab, muß ja das Zertifikat im LANCOM vom gleichen Aussteller sein, wie das Client-Zertifikat.

Cool wäre: CA-Cert und Public-Key der SmartCard ins Lancom laden (also zusätzlich zu dem selbst erstellten Cert und Key). Damit hätte sich das Problem für mich vollständig erledigt

cu
Suvuk

[AndreasMarx]

Der VPN-Client von TheGreenBow bietet es an, Profil und Zertifikate auf einem handelsüblichen USB-Stick abzulegen.

Hallo omd,

den Key muß man dann auch auf den USB-Stick legen? Das ist ja wohl auch keine richtige Sicherheit.

Damit sind die sensiblen Daten immerhin nur solange zugreifbar, wie die VPN-Verbindung nötig ist.

Besser fährst Du mit einer richtigen Smartcard. Dort kann der Key nicht-extrahierbar abgelegt werden oder sogar auf der Smartcard erzeugt werden. Der AVPNC unterstützt PKCS11, d.h. Du kannst jede Karte benutzen, für die Du ein PKCS11-Modul auftreiben kannst.

Ich benutzt z.B. Schlumberger-Cryptoflex-Karten mit dem pkcs11-Modul von OpenSC. Funktioniert einwandfrei.

Viele Grüße,
Andreas

[omd]

@Andreas:

Dann sind wir uns wohl einig bzgl. der "Sicherheit".

PKCS11... hört sich interessant an. Könntest Du mal die Voraussetzungen (Kosten) grob skizzieren, die für diese Lösung notwendig sind?

Gruß,
omd

[eddia]

Hallo Suvuk,

Und wenn ich das richtig verstanden hab, muß ja das Zertifikat im LANCOM vom gleichen Aussteller sein, wie das Client-Zertifikat.

das hast Du falsch verstanden. Das Client-Zertifikat muss auf der Gegenseite nur mit dem ausstellenden CA-Zertifikat verifiziert werden können. Damit kann man unterschiedliche CAs für den Lancom und den Client verwenden.

Gruß

Mario

[suvuk]

Ich benutzt z.B. Schlumberger-Cryptoflex-Karten mit dem pkcs11-Modul von OpenSC. Funktioniert einwandfrei.

Hi!
Das geht so lange gut, wie Du entweder ausreichend Platz für mehrere Keys auf der Karte hast, oder alle Gegenstellen die gleiche CA verwenden. Auf meiner DataKey-Karte ist jedenfalls kein Platz mehr mittlerweile. Die Gegenstellen verwenden jeweils ihre eigene CA und somit brauche ich wohl auf für den VPN-Zugriff eigene Zertifikate, oder hab ich das falsch verstanden?

Gruß
Sven

[AndreasMarx]

Hi!
Das geht so lange gut, wie Du entweder ausreichend Platz für mehrere Keys auf der Karte hast, oder alle Gegenstellen die gleiche CA verwenden. Auf meiner DataKey-Karte ist jedenfalls kein Platz mehr mittlerweile. Die Gegenstellen verwenden jeweils ihre eigene CA und somit brauche ich wohl auf für den VPN-Zugriff eigene Zertifikate, oder hab ich das falsch verstanden?

Gruß
Sven

Hi Sven,

Die X.509-Unterstützung der LANCOMs hat (noch?) einige Einschränkungen. Es sind nur einstufige Zertfikatshierarchien möglich und Du kannst nur ein CA-Cert in den LANCOM laden. Für Standortvernetzung ist das i.a. in Ordnung, da stellt man sich die Zertifikate eher selbst aus und nimmt nicht teure von akkredditierten CAs.

Wenn Du *einen* LANCOM für Verbindungen zu mehreren Fremdfirmen verwenden willst, dann kann das natürlich problematisch sein.

Von Plänen, da was dran zu ändern weiß ich erst mal nix. Ich glaube LANCOM hat sich für LCOS6 mit VOIP genug aufgeladen. Wen ich mich recht erinnere, hab ich mal was gelesen, daß es irgendwann möglich sein soll, das Server-Cert (WebConfig) der LANCOMs auszutauschen.

Gruß,
Andreas

[AndreasMarx]

Könntest Du mal die Voraussetzungen (Kosten) grob skizzieren, die für diese Lösung notwendig sind?

Hallo omd,

ich hab mir Cryptoflex egate 32k Karten bei Axalto besorgt. Eine kostet USD 23, der Import war problemlos. Die zugehörige Software von Schlumberger ist recht teuer (>USD 300).

Wenn Du nicht gerade einen Windows CSP (Cryptographic Service Provider) benötigst, dann kannst Du Dir aber mit openSC behelfen. Die Karten kannst Du mit dem PKCS15-Tool formatieren und Schlüssel erzeugen. Die zugehörigen Zertifikate lassen sich mit openssl erzeugen --- das geht sogar, wenn der CA-Key auf einer Smartcard liegt.

Bei Interesse kann ich Dir die nötigen Kommandos gerne zukommen lassen .

Die PKCS11-Library von OpenSC wird vom AVPNC einwandfrei erkannt. Funktioniert bisher ohne Fehler.

Gruß, Andreas

P.S. Bei OpenSC ist auch ein Windows-CSP in der Mache. Das funktioniert bisher aber nicht zufriedenstellend. So ist es z.B. nicht möglich, die Zertfikate ins Computerkonto zu laden, was aber für X.509-basiertes IPSec mit Windows Bordmitteln erforderlich wäre.

[alf29]

Moin,

Wen ich mich recht erinnere, hab ich mal was gelesen, daß es irgendwann möglich sein soll, das Server-Cert (WebConfig) der LANCOMs auszutauschen.

Diese Funktion ist in LCOS 6.0 enthalten, bezieht sich aber nur auf die WEBconfig - mit
VPN hat das nichts zu tun.

Gruß Alfred

[AndreasMarx]

Diese Funktion ist in LCOS 6.0 enthalten, bezieht sich aber nur auf die WEBconfig - mit
VPN hat das nichts zu tun.

Hallo Alfred,

das ist schon klar. In dem Zusammenhang hab ich aber noch zwei Fragen:

Den Key für den internen Webserver kann man doch sicher auch austauschen, oder? Ich empfand das immer als Sicherheitslücke, einen fest eincompilierten Key benutzen zu müssen.

Benutzt Ihr den Key auch gleich für den internen SSH-Server mit? Da gilt natürlich das gleiche Argument.

Gruß,
Andreas

[alf29]

Moin,

Sowohl Zertifikat als auch privater Schlüssel lassen sich hochladen. Das muß man auch
zusammen tun, weil im Zertifikat ja der passende öffentliche Schlüssel steht und sonst
nichts mehr zusammenläuft...die Möglichkeit, beides zusammen als Container hochzuladen,
wird's (leider) noch nicht geben, da muß jemand anders noch etwas tun...

Der (RSA-)Schlüssel, der für SSH-Verbindungen benutzt wird, läßt sich ebenfalls laden und
kann damit dann ein getrennter sein. Es wird aber dabei bleiben, daß bei einem
frisch ausgepackten oder zurückgesetzen Gerät SSL und SSH den gleichen,
einkompilierten Schlüssel benutzen.

Des weiteren hat die 6.0 in der WEBconfig eine Seite, in der man sich die Fingerprints
anzeigen lassen kann.

Gruß Alfred

[AndreasMarx]

Das muß man auch zusammen tun, weil im Zertifikat ja der passende öffentliche Schlüssel steht und sonst nichts mehr zusammenläuft...

Hätte ja sein können, daß das LANCOM CSRs für den eincompilierten Key erstellt ...

Scherz beiseite --- ich bin happy. Jetzt müßt Ihr das neue Release nur noch hergeben.

Nein, ich bin gar nicht ungeduldig, wo denkst Du hin?