-
Hauptkategorie: FAQs
-
Kategorie: Security
-
Zuletzt aktualisiert: Donnerstag, 06. September 2012 17:38
-
Veröffentlicht: Sonntag, 17. September 2006 10:30
-
Geschrieben von Peter Kloep
-
Zugriffe: 24036
-
Drucken
-
E-Mail
Authentifizierungsprotokolle
Wenn ein RAS-Client eine Verbindung mit dem Netzwerk herstellt, wird der Benutzer mit bereitgestellten Anmeldeinformationen auf dem RAS-Server authentifiziert. Diese Anmeldeinformationen enthalten den Namen des Benutzers, das Kennwort und die Domäne, in dem das Benutzerkonto verwaltet wird. Wenn ein Benutzer eine Verbindung mit einem RAS-Server herstellt, wird eine Authentifizierung unter Einsatz von PPP (Point-to-Point Protocol)-Authentifizierungsmerhoden durchgeführt. Folgende Authentifizierungsmethoden werden von RRAS unter anderem unterstützt:
- PAP (Password Authentication Protocol)
Obwohl PAP von nahezu allen Netzwerkdiensten unterstützt wird, übertägt es
Benutzeranmeldeinformationen als Klartext an den RAS-Server, so dass kein Schutz vor einer Aufdeckung des Kennworts oder Wiederholungsangriffen (Replay) zur Verfügung steht.
- SPAP (Shiva Password Authentication Protocol)
Bietet Unterstützung für Shiva-RAS-Clients. SPAP setzt eine umkehrbare Verschlüsselungsmethode ein, die als Base64-Kodierung bezeichnet wird und stärker als der von PAP bereitgestellte Schutz. SPAP ist jedoch weiterhin anfällig für Wiederholungsangriffe.
- CHAP (Challenge Handshake Authentication Protocol)
Bietet eine stärkere Form der Authentifizierung, indem ein Hash des Kennworts und eine Herausforderungszeichenfolge (Challenge) an den Server gesendet wird. Der RAS-Server bestimmt den Benutzer, ruft das Kennwort aus dem Verzeichnis ab und wendet denselben Hashalgorithmus auf das Kennwort und die Herausforderungszeichenfolge an. Wenn die Ergebnisse übereinstimmen, wird der Benutzer authentifiziert. Diese Form der Authentifizierung bietet Schutz vor Wiederholungsangriffen.
- MS-CHAP (Microsoft Challenge Handshake Authentication Protocol)
Der Unterschied zu CHAP besteht darin, dass der RAS-Client die Herausfoderung/ Antwort (Challenge/Response) durch Verschlüsselung der Herausforderungszeichenfolge und der MD4-Hashversion des Kennworts erstellt. Benutzerkennwörter werden standardmäßig als MD4-Hash im Verzeichnis gespeichert. Die Verschlüsselungsschlüssel für MPPE (Microsoft Point-to-Point Encryption) werden aus dem MS-CHAP-Authenti-fizierungsvorgang abgeleitet. MPPE wird bei DFÜ- und RAS-Verbindungen, die auf PPTP (Point-to-Point Tunneling Protocol) basieren, als Verschlüsselungsalgorithmus für PPP-Nutzlasten eingesetzt.
- MS-CHAP, Version 2 (Microsoft Challenge Handshake Authentication Protocol)
Wenn ein RAS-Client eine Authentifizierung mittels MS-CHAP, Version 2, vornimmt, überträgt er eine Herausforderung/Antwort, die auf einer Herausforderung des RAS-Servers basiert. Der RAS-Server sendet eine Herausforderung/Antwort auf der Grundlage des RAS-Clients. Dies wird als gegenseitige Authentifizierung bezeichnet. Bei MS-CHAP, Version 2, belegen der RAS-Client und der RAS-Server wechselseitig, dass sie über die Kenntnis des Benutzerkennworts verfügen. Darübert hinaus leitet MS-CHAP, Version 2, stärkere MPPE-Verschlüsselungsschlüssel ab und setzt zwei verschiedene Verschlüsselungsschlüssel ein: einen für das Senden von Daten und einen weiteren für das Empfangen von Daten
- EAP (Extensible Authentication Protocol)
Bietet eine erweiterbare Architektur für hochentickelte PPP-Authentifizierungsmethoden wie die Zwei-Faktoren-Authentifizierung. Bei EAP-MD5 CHAP handelt es sich um die CHAP-Authentifizierungsmethode, die EAP einsetzt. EAP-TLS wird für die zertifikatsbasierte Authentifizierung mit öffentlichen Schlüsseln verwendet und bietet gegenseitige Authentifizierung und gesicherten MPPE-Schlüsselaustausch zwischen dem RAS-Server und dem RAS-Client.
VPN-Protokolle
Wenn RAS-Clients eine VPN-Verbindung mit dem Unternehmensnetzwerk herstellen, werden zwei Protokolle unterstützt
- PPTP (Point-to-Point Tunneling Protocol)
Ein Tunnelingprotokoll, dass von allen Microsoft-Betriebssystemen seit Microsoft Windows NT 4.0 unterstützt wird. PPTP setzt MPPE zur Verschlüsselung von übertragenenen Daten ein und nutzt dabei einen 40-Bit-, 56-Bit- oder 128-Bit-Verschlüsselungsschlüssel. PPTP wird häufig eingesetzt, da ältere Clients unterstützt und die Mehrzahl der NAT (Network Address Translation, Netzwerkadressübersetzung)-Geräte passieren.
- L2TP (Layer Two Tunneling Protocol)
Ein systemeigenes Tunnelingprotokoll, das von Microsoft Windows 2000 und Microsoft Windows XP sowie von VPN-Clients mit Microsoft Windwos 98, Microsoft Windows ME und Microsoft Windows NT 4.0 Workstation unterstützt wird, die Microsoft L2TP/IPSec ausführen. L3TP bietet keine systemeigene Verschlüsselung, sondern setzt IPSec mit ESP (Encapsulating Security Payload) im Transportmodus ein. Dabei wird entweder die DES (Data Encryption Standard)-Verschlüsselung mit einem 56-Bit-Schlüssel oder die 3DES-Verschlüsselung mit drei 56-Bit-Schlüsseln verwendet. Aufgrund der IPSec-Verschlüsselung können VPN-Verbindungen mit L2TP/IPSec keine NAT-Geräte durchlaufen.