XAUTH mit Windows NPS

[Abrabravo]

Hallo zusammen,

ich habe mich heute am Thema XAUTH einer VPN-Clienteinwahl (mit Lancom AVC) versucht.
Ich bin nun im dem Status, dass der AVC meine Authentifizierung akzeptiert und soweit alles läuft wie gewünscht.

Was mich jedoch stark verwundert: Ich muss beim Windows NPS "PAP" aktivieren, damit die Authentifizierung erfolgreich ist. Obwohl ich am Lancom im Bereich RADIUS nur MS-CHAP2 ausgewählt habe und auch beim Eintrag für den Client in der PPP-Liste nur MS-CHAP2 ausgewählt ist, wird immer eine Authentisierung via PAP durchgeführt. Ist das ein Bug, oder ein Feature?

Im Einsatz ist LCOS 9.04RU4 auf einem 1781A-4G.

Vielen Dank vorab!

Grüße!

[backslash]

Hi Abrabravo,

XAUTH funktioniert nur "im Klartext".... Das ist auch der Grund, warum XAUTH eigentlich eine riesige Sicherheitslücke ist - vor allem in seiner Standardverwendung mit veröffentlicher Gruppenidentität (incl. preshared key). In diesem Szenario kann wirklich jeder dem Client einen Server vorgaukeln und so Username und Paßwort abgreifen...

Laß die Finger von XAUTH und genaugenommen auch vom Aggressive-Mode mit preshared Key, denn diese Kombination an sich ist schon offline(!) angreifbar, da braucht es dann auch kein unsicheres XAUTH mehr... Nur die Verwendung von Zertifikaten ist wirklich sicher!

Gruß
Backslash

[Abrabravo]

Heyho,

vielen Dank für die Infos!!
Das ist natürlich weniger schön und wir werden unser geplantes Konstrukt nochmal überdenken.

Schönes Wochenende!