WinFuture-Forum.de: WPA2 Enterprise und die Userverwaltung/Passwortlänge - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Netzwerk
Seite 1 von 1

WPA2 Enterprise und die Userverwaltung/Passwortlänge


#1 Mitglied ist offline   Nutsman 

  • Gruppe: aktive Mitglieder
  • Beiträge: 47
  • Beigetreten: 19. Mai 05
  • Reputation: 0

geschrieben 18. Dezember 2015 - 23:21

Hallo zusammen,
habe nun mein WLAN auf WPA2 Enterprise mit Radius auf dem WHS2011 umgebaut und nutze
auf den Clients das Server Zertifikat.
Die Anmeldung am Radius erfolgt ja über definierte Benutzer in den WHS2011 Konten.
Ich frage mich gerade wie wichtig die Passwortstärke bei den Anmeldebenutzer am Radius sein sollte.
Zumal ja durch das Zertifkat und PEAP & MSCHAPv2 das Login am Radius sowieso verschlüsselt sein müsste.
Hat jemand da Erfahrung mit und kann mir ein paar Tipps geben.
Ich hätte sonst ein Password mit 8 ziffern gewählt mit Zahlen und Buchstaben also nicht so kryptisch...

Gruß

Dieser Beitrag wurde von Nutsman bearbeitet: 18. Dezember 2015 - 23:22

0

Anzeige



#2 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.356
  • Beigetreten: 20. Juli 07
  • Reputation: 975

geschrieben 18. Dezember 2015 - 23:56

Mh? :unsure:

Am RADIUS gibt's nichts anzumelden. Der transportiert nur. Angemeldet wird sich über über den asymmetrischen Schlüssel, der im Zertifikat steckt.

Der Rest ist RADIUS-intern und soweit Du da einen Benutzernamen/Paßwort brauchst kannst Du den so komplex und so kryptisch gestalten wie Du willst (solltest Du auch). Diese Logon-Daten sind NICHT öffentlich, sondern NUR intern.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#3 Mitglied ist offline   Nutsman 

  • Gruppe: aktive Mitglieder
  • Beiträge: 47
  • Beigetreten: 19. Mai 05
  • Reputation: 0

geschrieben 19. Dezember 2015 - 07:25

Na schon hat der Radius eine Benutzer Autorisierung. Das würde ja sonst keinen Sinn machen. Könnte ja sonst jeder mit dem Zertifikat ins WLAN connecten.
Es gibt halt eben bei Enterprise keinen gemeinsam WPA2 Schlüssel wie bei PSK.
Wird hier für jede Session neu generiert und für jeden User ein anderer. Damit ist ja die Sicherheit entsprechend höher.
Die Frage wie sicher mussen die Nutzerdaten
für die Radius nun wirklich sein bzw. haben Angreifer da mehr Chancen einzusteigen sollte hier kein 20 Stellen oder mehr Passwort verwendet werden.
0

#4 Mitglied ist offline   shiversc 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.705
  • Beigetreten: 27. März 03
  • Reputation: 22

geschrieben 21. Dezember 2015 - 14:14

Also...

Ich verstehe nicht so Recht was du gemacht hast.

Das Windows Server NPS stellt erst mal das Vertrauen zum Radius-Client über einen ausreichend sicheren geheimen Schlüssel her. Meinst du dieses Kennwort?

Deine User die du mit MS-CHAPv2 und dem Zertifikat im Bauch des Clients authentifizierst sind damit nicht zu verwechseln.

Im Falle einer Windows-Server-Domäne werden die User im AD abgeglichen. Hier wäre eine gute Stellschraube für "mehr" Sicherheit.

Und... MS-CHAPv2 ist nicht der Inbegriff von Sicherheit.

Dieser Beitrag wurde von shiversc bearbeitet: 21. Dezember 2015 - 14:15

Admin akbar
0

#5 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.356
  • Beigetreten: 20. Juli 07
  • Reputation: 975

geschrieben 21. Dezember 2015 - 15:44

Deswegen ja auch die Zertifikate. Hat der Benutzer eins, darf er rein. Hat er keins, nicht. Ist eigentlich relativ einfach.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#6 Mitglied ist offline   shiversc 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.705
  • Beigetreten: 27. März 03
  • Reputation: 22

geschrieben 23. Dezember 2015 - 12:23

Das Zertifikat ist nicht zwingend erforderlich.
Admin akbar
0

#7 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.356
  • Beigetreten: 20. Juli 07
  • Reputation: 975

geschrieben 23. Dezember 2015 - 12:46

Das stimmt, nur wie Du ja schon sagtest: mit MSCHAP hat man nicht viel gekonnt und wenn es halbwegs sicher sein soll - say, EAP -- dann brauchen wir doch wieder die Zertifikate. Und an dieser Stelle ist es dann (imo) egal, was das für Zertifikate waren - kann man also auch gleich richtig machen. Es ist einfach nicht möglich, irgendwo ein Zertifikat "abzuschreiben" (wie zB Name+PW) und selbst wenn wer seins weitergibt, ist er/sie dann halt in der Pflicht.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0