druk bezig met laatste voorbereidingen voor het 70-642 examen, zit alleen te twijfelen of ik het verhaal betreft de authentication methods wel goed snap. Onder even uitgetypt, kan iemand bevestigen dat mijn verhaal klopt? Helaas heb ik niemand in de buurt waar ik het aan kan vragen en het is zelfstudie.
van peap begrijp dat deze in combinatie word gebruikt met ms-chapv2 (er word tijdens de wizard PEAP aangeven maar eigenlijk is dit PEAP-MSCHAPv2 tijdens het op van vpn-radius server). Alleen het gebruik van PEAP zonder MSCHAPV2 werkt niet voor een vpn server (wel met 802.1x verificate, NPS). Deze maakt eerst een beveiligde verbinding aan voordat de user credentials worden verzonden naar de vpn/nps server. De client moet het computercertificaat van de radius-server vertrouwen d.m.v. een chain of trust. PEAP is daarna de opvolger van EAP, hierbij word gebruik gemaakt van TLS om de beveiliging van EAP protocollen te vergroten. PEAP encapsulates EAP in een authenticated and encrypted tunnel.
ms-chapv2 maakt gebruik van encryptie dmv MPPE. Nadeel is, user credentials worden in een hash over het internet verzonden. Deze zijn te onderscheppen en aan te passen.
eap-mschapv2 bijna het zelfde als PEAP, iets minder veilig en het is de voorloper van PEAP
smartcard and other certificate geld voor wat ik begrijp alleen voor een smartcard. Je moet hiervoor onder de eigenschappen van de vpn-verbinding op de client het gebruik van een smartcard inschakelen. User credentials hoeven niet te worden ingegeven.
Van wat ik begrijp zou je in een network policy een condition kunnen maken met de volgende opties : Authentication type / Allowed eap types, zodat alleen mensen met een smartcard of bijv. d.m.v. peap, verbinding kunnen maken.
van peap begrijp dat deze in combinatie word gebruikt met ms-chapv2 (er word tijdens de wizard PEAP aangeven maar eigenlijk is dit PEAP-MSCHAPv2 tijdens het op van vpn-radius server). Alleen het gebruik van PEAP zonder MSCHAPV2 werkt niet voor een vpn server (wel met 802.1x verificate, NPS). Deze maakt eerst een beveiligde verbinding aan voordat de user credentials worden verzonden naar de vpn/nps server. De client moet het computercertificaat van de radius-server vertrouwen d.m.v. een chain of trust. PEAP is daarna de opvolger van EAP, hierbij word gebruik gemaakt van TLS om de beveiliging van EAP protocollen te vergroten. PEAP encapsulates EAP in een authenticated and encrypted tunnel.
ms-chapv2 maakt gebruik van encryptie dmv MPPE. Nadeel is, user credentials worden in een hash over het internet verzonden. Deze zijn te onderscheppen en aan te passen.
eap-mschapv2 bijna het zelfde als PEAP, iets minder veilig en het is de voorloper van PEAP
smartcard and other certificate geld voor wat ik begrijp alleen voor een smartcard. Je moet hiervoor onder de eigenschappen van de vpn-verbinding op de client het gebruik van een smartcard inschakelen. User credentials hoeven niet te worden ingegeven.
Van wat ik begrijp zou je in een network policy een condition kunnen maken met de volgende opties : Authentication type / Allowed eap types, zodat alleen mensen met een smartcard of bijv. d.m.v. peap, verbinding kunnen maken.
[ Voor 20% gewijzigd door marc181982 op 30-05-2012 07:45 ]