Zertifikate anstatt pre shared key

Dieses Thema im Forum "LANCOM" wurde erstellt von eddia, 22. April 2004.

  1. eddia

    eddia Fachmann

    Registriert seit:
    19. Januar 2004
    Beiträge:
    218
    Punkte für Erfolge:
    0
    Hallo,

    da ja hier auch Eingeweihte mitlesen ;-)

    wird es mit den Lancom-Routern irgendwann möglich sein, die VPN-Authentifizierung anstatt mit pre shared keys mit Zertifikaten zu realisieren?

    Mir ist die Abspeicherung des PSK auf den Notebooks von mobilen Mitarbeitern einfach zu unsicher - wenn das geklaut wird...

    Da ist die Abspeicherung des User-Zertifikats auf einer SmartCard wesentlich sicher.

    Und der Router müßte ja noch nicht mal selbst die Schlüssel verwalten - er kann ja jemanden fragen, der sich auskennt.

    Gruß

    Mario
     
  2. COMCARGRU

    COMCARGRU Moderator

    Registriert seit:
    8. Juni 2003
    Beiträge:
    1.379
    Punkte für Erfolge:
    36
    Hallo Eddia,

    sowas soll wohl im Sommer kommen! Aber warum die Aufregung? Solange jeder Mitarbeiter einen eigenen PSK hat, kannst du den doch einfach löschen im Falle eines Diebstahls - nichts anderes machst du doch mit deinem Zertifikat?

    Und dafür extra eine Zertifikatsinfrastrucktur aufbauen???

    Gruß
    COMCARGRU
     
  3. eddia

    eddia Fachmann

    Registriert seit:
    19. Januar 2004
    Beiträge:
    218
    Punkte für Erfolge:
    0
    Hallo COMCARGRU,

    das hört sich ja schon mal gut an.

    Doch - ich ziehe es zurück. ;-)

    Ok; Spaß beseite. Ich habe einfach Bauchschmerzen mit fest abgespeicherten Passwörtern. Wer das Notebook in die Hände bekommt, kann ohne Probleme eine VPN-Verbindung aufbauen. Und die Zeitspanne, bis ich erfahre, daß ein Notebook abhanden gekommen ist, kann durchaus ein paar Tage betragen.

    Mit der Smartcard ist das wesentlich sicherer. Zum einen müßte auch die entwendet werden, zum anderen müßte der Dieb die PIN kennen.

    So aufwendig ist das heute nicht mehr. Und der Vorteil, daß ein User sich nur noch mit Smartcard und (einer zu merkenden) PIN an allen Systemen autentifizieren kann, ist auch nicht von der Hand zu weisen. Zudem kann ich bei Smartcard-Verlust einfach in der Firma eine neue mit neuem Zertifikat erstellen und muß nicht im Notebook des Users irgendwelche PSKs eingeben. Die Smartcard könnte ich sogar per Post versenden.

    Gruß

    Mario
     
  4. COMCARGRU

    COMCARGRU Moderator

    Registriert seit:
    8. Juni 2003
    Beiträge:
    1.379
    Punkte für Erfolge:
    36
    Hallo Eddia,

    ja ok - das habe ich Lancom auch schon gefragt! Auf die Frage, ob man den Client mit einer zusätzlichen Paßwort Abfrage schützen könnte, bekam ich eine abschlägige Antwort. Was aber wohl daran liegt, daß ein gänzlich neuer Client (kostenpflichtig!) in der Mache ist... - der soll dann wohl einiges neues bieten...

    Der 3Com VPN Client für W2k/XP hat übrigens so eine Funktion, den PSK mit einem zusätzlichen Kennwort zu schützen...

    Gruß
    COMCARGRU
     

Diese Seite empfehlen