Peter Kloep

A+ R A-

FAQs

Hier finden Sie eine Liste mit "Häufig gestellten Fragen", die mir so im täglichen Umgang mit der EDV gestellt wurden

VPN/Authentifizierungsprotokolle

  • Hauptkategorie: FAQs
  • Kategorie: Security
  • Zuletzt aktualisiert: Donnerstag, 06. September 2012 17:38
  • Veröffentlicht: Sonntag, 17. September 2006 10:30
  • Geschrieben von Peter Kloep
  • Zugriffe: 15210
Authentifizierungsprotokolle

Wenn ein RAS-Client eine Verbindung mit dem Netzwerk herstellt, wird der Benutzer mit bereitgestellten Anmeldeinformationen auf dem RAS-Server authentifiziert. Diese Anmeldeinformationen enthalten den Namen des Benutzers, das Kennwort und die Domäne, in dem das Benutzerkonto verwaltet wird. Wenn ein Benutzer eine Verbindung mit einem RAS-Server herstellt, wird eine Authentifizierung unter Einsatz von PPP (Point-to-Point Protocol)-Authentifizierungsmerhoden durchgeführt. Folgende Authentifizierungsmethoden werden von RRAS unter anderem unterstützt:


  • PAP (Password Authentication Protocol)
Obwohl PAP von nahezu allen Netzwerkdiensten unterstützt wird, übertägt es Benutzeranmeldeinformationen als Klartext an den RAS-Server, so dass kein Schutz vor einer Aufdeckung des Kennworts oder Wiederholungsangriffen (Replay) zur Verfügung steht.

  • SPAP (Shiva Password Authentication Protocol)
Bietet Unterstützung für Shiva-RAS-Clients. SPAP setzt eine umkehrbare Verschlüsselungsmethode ein, die als Base64-Kodierung bezeichnet wird und stärker als der von PAP bereitgestellte Schutz. SPAP ist jedoch weiterhin anfällig für Wiederholungsangriffe.

  • CHAP (Challenge Handshake Authentication Protocol)
Bietet eine stärkere Form der Authentifizierung, indem ein Hash des Kennworts und eine Herausforderungszeichenfolge (Challenge) an den Server gesendet wird. Der RAS-Server bestimmt den Benutzer, ruft das Kennwort aus dem Verzeichnis ab und wendet denselben Hashalgorithmus auf das Kennwort und die Herausforderungszeichenfolge an. Wenn die Ergebnisse übereinstimmen, wird der Benutzer authentifiziert. Diese Form der Authentifizierung bietet Schutz vor Wiederholungsangriffen.

  • MS-CHAP (Microsoft Challenge Handshake Authentication Protocol)
Der Unterschied zu CHAP besteht darin, dass der RAS-Client die Herausfoderung/ Antwort (Challenge/Response) durch Verschlüsselung der Herausforderungszeichenfolge und der MD4-Hashversion des Kennworts erstellt. Benutzerkennwörter werden standardmäßig als MD4-Hash im Verzeichnis gespeichert. Die Verschlüsselungsschlüssel für MPPE (Microsoft Point-to-Point Encryption) werden aus dem MS-CHAP-Authenti-fizierungsvorgang abgeleitet. MPPE wird bei DFÜ- und RAS-Verbindungen, die auf PPTP (Point-to-Point Tunneling Protocol) basieren, als Verschlüsselungsalgorithmus für PPP-Nutzlasten eingesetzt.


  • MS-CHAP, Version 2 (Microsoft Challenge Handshake Authentication Protocol)
Wenn ein RAS-Client eine Authentifizierung mittels MS-CHAP, Version 2, vornimmt, überträgt er eine Herausforderung/Antwort, die auf einer Herausforderung des RAS-Servers basiert. Der RAS-Server sendet eine Herausforderung/Antwort auf der Grundlage des RAS-Clients. Dies wird als gegenseitige Authentifizierung bezeichnet. Bei MS-CHAP, Version 2, belegen der RAS-Client und der RAS-Server wechselseitig, dass sie über die Kenntnis des Benutzerkennworts verfügen. Darübert hinaus leitet MS-CHAP, Version 2, stärkere MPPE-Verschlüsselungsschlüssel ab und setzt zwei verschiedene Verschlüsselungsschlüssel ein: einen für das Senden von Daten und einen weiteren für das Empfangen von Daten

  • EAP (Extensible Authentication Protocol)
Bietet eine erweiterbare Architektur für hochentickelte PPP-Authentifizierungsmethoden wie die Zwei-Faktoren-Authentifizierung. Bei EAP-MD5 CHAP handelt es sich um die CHAP-Authentifizierungsmethode, die EAP einsetzt. EAP-TLS wird für die zertifikatsbasierte Authentifizierung mit öffentlichen Schlüsseln verwendet und bietet gegenseitige Authentifizierung und gesicherten MPPE-Schlüsselaustausch zwischen dem RAS-Server und dem RAS-Client.

VPN-Protokolle

Wenn RAS-Clients eine VPN-Verbindung mit dem Unternehmensnetzwerk herstellen, werden zwei Protokolle unterstützt

  • PPTP (Point-to-Point Tunneling Protocol)
Ein Tunnelingprotokoll, dass von allen Microsoft-Betriebssystemen seit Microsoft Windows NT 4.0 unterstützt wird. PPTP setzt MPPE zur Verschlüsselung von übertragenenen Daten ein und nutzt dabei einen 40-Bit-, 56-Bit- oder 128-Bit-Verschlüsselungsschlüssel. PPTP wird häufig eingesetzt, da ältere Clients unterstützt und die Mehrzahl der NAT (Network Address Translation, Netzwerkadressübersetzung)-Geräte passieren.

  • L2TP (Layer Two Tunneling Protocol)
Ein systemeigenes Tunnelingprotokoll, das von Microsoft Windows 2000 und Microsoft Windows XP sowie von VPN-Clients mit Microsoft Windwos 98, Microsoft Windows ME und Microsoft Windows NT 4.0 Workstation unterstützt wird, die Microsoft L2TP/IPSec ausführen. L3TP bietet keine systemeigene Verschlüsselung, sondern setzt IPSec mit ESP (Encapsulating Security Payload) im Transportmodus ein. Dabei wird entweder die DES (Data Encryption Standard)-Verschlüsselung mit einem 56-Bit-Schlüssel oder die 3DES-Verschlüsselung mit drei 56-Bit-Schlüsseln verwendet. Aufgrund der IPSec-Verschlüsselung können VPN-Verbindungen mit L2TP/IPSec keine NAT-Geräte durchlaufen.

L2TP/IPsec VPN mit MS-CHAP v2

  • Hauptkategorie: FAQs
  • Kategorie: Security
  • Zuletzt aktualisiert: Donnerstag, 06. September 2012 17:38
  • Veröffentlicht: Samstag, 16. September 2006 16:42
  • Geschrieben von Peter Kloep
  • Zugriffe: 11345
(2) VPN mit Windows Server 2003 und Windows XP

Protokoll: L2TP/IPSec

Authentifizierung: MS-Chap v2

Verifizierung: RAS-Richtlinie



Durch Virus modifizierte Hosts-Datei

  • Hauptkategorie: FAQs
  • Kategorie: Security
  • Zuletzt aktualisiert: Donnerstag, 06. September 2012 17:38
  • Veröffentlicht: Samstag, 16. September 2006 16:36
  • Geschrieben von Peter Kloep
  • Zugriffe: 17808

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
#      102.54.94.97     rhino.acme.com          # Quellserver
#       38.25.63.10     x.acme.com              # x-Clienthost


127.0.0.1       localhost

 

 

 

 


127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com

 

PPTP VPN mit MS-CHAP v2

  • Hauptkategorie: FAQs
  • Kategorie: Security
  • Zuletzt aktualisiert: Donnerstag, 06. September 2012 17:38
  • Veröffentlicht: Samstag, 16. September 2006 16:34
  • Geschrieben von Peter Kloep
  • Zugriffe: 9816
(1) VPN mit Windows Server 2003 und Windows XP

Protokoll: PPTP/MPPE

Authentifizierung: MS-Chap v2

Verifizierung: RAS-Richtlinie



V2-Zertifikatvorlagen mit Server 2003 verwenden

  • Hauptkategorie: FAQs
  • Kategorie: Security
  • Zuletzt aktualisiert: Donnerstag, 06. September 2012 17:38
  • Veröffentlicht: Samstag, 16. September 2006 15:34
  • Geschrieben von Peter Kloep
  • Zugriffe: 9793
V2-Zertifikatvorlagen mit Server 2003 verwenden


Mit einen Windows Server 2003 Standard Edition kann man "offiziell" keine V2-Vorlagen verwenden.


Es gibt jedoch einen Weg, V2-Vorlagen mit einer Standard-CA zu verwenden



Unterkategorien

Hier einige Antworten auf Fragen rund um die Zertifizierung