IPSec PSK + XAUTH - Nur eine Identität notwendig?

[Speed1978]

Hallo zusammen,

ich bin ein Anfänger mit VPN/IPSec, habe schon einiges gelesen und mein Router 1711+ läuft inzwischen mit IPSec + XAUTH mit einem Testzugang. Bevor ich jetzt alle meine VPN Benutzer einrichte habe ich einige generelle Fragen.

Ist es sinnvoll für jeden Benutzer eine IKE-Identität einzurichten, wenn ich zusätzlich XAuth verwende? Das würde bedeuten dass ich eine Identität + eine XAuth Authorisierung pro Benutzer einrichten muss. Generell könnte ich auch nur eine Identität für alle Benutzer verwenden und die Benutzer via XAUTH mit unterschiedlichen Benutzernamen/Kennwörter authentifizieren!?

Kann mir da ein erfahrener Admin einen Tipp geben wir man es richtig macht!

Vielen Dank

Gruß Rainer

[backslash]

Hi Speed1978

Ist es sinnvoll für jeden Benutzer eine IKE-Identität einzurichten, wenn ich zusätzlich XAuth verwende?

das ist beim LANCOM die einzige Möglichkeit...

Das würde bedeuten dass ich eine Identität + eine XAuth Authorisierung pro Benutzer einrichten muss.

genau...

Generell könnte ich auch nur eine Identität für alle Benutzer verwenden und die Benutzer via XAUTH mit unterschiedlichen Benutzernamen/Kennwörter authentifizieren!?

So ist XAUTH zwar prinzipiell gedacht, nur ist das eine riesige Sicherheitslücke, weil sich jeder der den Gruppenkey kennt als Einwahlserver ausgeben und somit einen Man-In-The-Middle-Angriff durchführen und *alles* im Klartext mitlesen kann.

XAUTH ist im LANCOM nur reingekommen, weil der VPN-Client des iPhones leider nicht ohne arbeiten will. Und um die oben genannte Sicherheitslücke dabei gar nicht erst aufkommen zu lassen, benötigt im LANCOM jeder XAUTH-User auch eine eigene Identität (incl. eigenem preshared Key), d.h. die "Gruppenidentität" des XAUTH gibt es letzendlich im LANCOM nicht.

Gruß
Backslash

[LoUiS]

Also kann man XAUTH IMHO auch direkt weglassen, mehr Sicherheit bekommt man dadurch nicht.


Ciao
LoUiS