Client Zertifizierung am Server

Brunnman

Addicted

Registered: Jul 2002
Location: Wien
Posts: 583

20.02.2007 - 11:37

Hallo,
ich hab foglendes Problem:
Ich habe mehrere Standorte, die sich zu meinem Server verbinden.
Der Server hat eine fixe IP.

Ich habe mir gedacht, die sicherste (und zugelich einfachste) Möglichkeit, die Benutzer zu überprüfen ist mittels "USB Secure Stick".

Ich stelle mir das so vor:

Code:

Außenstelle1 <--|
Außenstelle2 <--|--> Server
Außenstelle3 <--|

Jede der 3 Außenstellen bekommen einen Stick, am Server sind auch 3 Sticks angeschlossen und dann dürfen sich die Benutzer anmelden.

Stick 1a (Außenstelle1) spricht nur mit Stick 1b (steckt am Server USB Port1)
Stick 2a (Außenstelle2) spricht nur mit Stick 2b (steckt am Server USB Port2)
Stick 3a (Außenstelle3) spricht nur mit Stick 3b (steckt am Server USB Port3)

Wenn jemand ohne Stick "hinein" will, Pech gehabt, ohne Stickt wird man nicht verifiziert.

Weiteres Bsp:
Außenstelle1 arbeitet mit dem Notebook am Server und Stick 1a steckt auch im Notebook. Plötzlich wird der Stick entfernt, innerhalb von 10 Sekunden trennt der Server die Verbindung.

Zugriff am Server ist somit nur möglich, wenn der Benutzer den Stick angeschlossen hat.

-----

So, ich hoffe ich hab mich halbwegs verständlich Ausgedrückt, was ich haben möchte.

Meine Frage lautet jetzt:
Wo bekomm ich sowas her?

Tia, Brunni

zottel35

Addicted

Registered: Feb 2006
Location: austria/vlbg
Posts: 415

20.02.2007 - 11:41

Wär ein VPN-Client keine alternative? Zertifikat für die Nutzer erstellen -> somit haben auch nur diejenigen zugriff die berechtigt sind.

MFO

rockstable

Registered: Nov 2006
Location: Lannach, Austria
Posts: 612

20.02.2007 - 11:44

wie sehen die zugriffe aus? terminalsitzungen? oder filezugriffe? oder gar andere services?

Brunnman

Addicted

Registered: Jul 2002
Location: Wien
Posts: 583

20.02.2007 - 11:49

VPN ist leider nicht möglich.
Zugriffe erfolgen nur über 1 Programm: Netsupport, mehr wird darauf nicht laufen.

Otaku19

Big d00d

Registered: Feb 2005
Location: Wien
Posts: 190

20.02.2007 - 13:52

aha, also braucht nur jemand den stick fladdern und hat vollen Zugriff...oder derjenige am Laptop nutzt WLAN an einem öffentlichen AP und jeder kann den Verkehr mitsniffen weil ja kein VPN benutzt wird....

Was ist wenn der Stick hin ist/verloren wird ? Wie komt der User auf die Schnelle zu einem neuen ?

Also ich würde mir eher ne Lösung für zertifikatsbasiertes VPN überlegen.

Brunnman

Addicted

Registered: Jul 2002
Location: Wien
Posts: 583

20.02.2007 - 15:45

Zitat von Otaku19
aha, also braucht nur jemand den stick fladdern und hat vollen Zugriff...oder derjenige am Laptop nutzt WLAN an einem öffentlichen AP und jeder kann den Verkehr mitsniffen weil ja kein VPN benutzt wird....

Was ist wenn der Stick hin ist/verloren wird ? Wie komt der User auf die Schnelle zu einem neuen ?

Also ich würde mir eher ne Lösung für zertifikatsbasiertes VPN überlegen.

die geräte hängen am internen LAN, da ist die Verbindung gesichert, keine Sorge...
Wie soll der "Fladderant" wissen, für welchen Server das gilt, selbst wenn er das wüsste, Benutzername und Passwort werden immer noch verlangt, außerdem, wenn man merkt, dass der Stick weg ist, dann steckt man den "2., der am Server hängt" ab - fertig.

eigentlich will ich nur wissen, ob es sowas gibt, bzw. wo man es besorgen könnte.

weil googeln kann ich lang wenn ich die Begriffe: USB, Stick, Secure, Chip, Verschlüsselung verwende...

tia...

Otaku19

Big d00d

Registered: Feb 2005
Location: Wien
Posts: 190

20.02.2007 - 16:21

mir sind nur kommerzielle lösungen bekannt wo man den Stick für den lokalen Login bzw. freigeben des Schirms verwendet.

Eben dieses abstecken...glaubst nicht das du mit nem blacklisten des verlorengegangen Zertifikats deutlich schneller dran bist ? Sowas ließe sich auch ohne Zugang zur Hardware bewerkstelligen.

Ohne mich als securityguru hinzustellen...ich denke, deine Lösung ist irgendwie "exotisch" und daher gibts da nix fix&fertiges.

DKCH

...

Registered: Aug 2002
Location: #
Posts: 3289

20.02.2007 - 16:52

usb token, usb dongle, zB http://www.verisign.com/products-se...tion/index.html happy paying

Brunnman

Addicted

Registered: Jul 2002
Location: Wien
Posts: 583

20.02.2007 - 17:36

so, bin nun doch im netz fündig geworden (zumindest glaube ich das mal):
http://www.aladdin.de/produkte/usbt...uebersicht.html
http://www.matrixlock.de/allgemei.htm
http://www.rsa.com/node.aspx?id=1215
http://www.cryptoken.com/de/produkte.php

Hat jemand solche Produkte im Einsatz?
Ich kenne nur die RSA Variante, bei der man den Code, der am Token erscheint eingibt. Ist also nichts mit USB anstecken.

Vllt hat ja jemand schon solche Produkte im Einsatz, dann bitte einen kurzen Erfahungsbericht posten.

Tia, Brunni

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6516

20.02.2007 - 18:18

Die Frage die du dir imho stellen solltest ist, ob der Aufwand nötig ist.
Ev. reicht es schon aus drei shared directories am Server zu erstellen, Außenstelle A hat Zugriff auf Ordner A, B zu B...

Login und Kennwort (bevorzugterweise alphanumerisch mit upper- und lowercase) natürlich vorausgesetzt.

dethspank

the wall

Registered: Dec 2005
Location: Mödling
Posts: 3780

20.02.2007 - 18:20

Zitat von mr.nice.
Die Frage die du dir imho stellen solltest ist, ob der Aufwand nötig ist.
Ev. reicht es schon aus drei shared directories am Server zu erstellen, Außenstelle A hat Zugriff auf Ordner A, B zu B...

Login und Kennwort (bevorzugterweise alphanumerisch mit upper- und lowercase) natürlich vorausgesetzt.

imho beste und billigste Variante

Brunnman Addicted Registered: Jul 2002 Location: Wien Posts: 583	20.02.2007 - 11:37 Hallo, ich hab foglendes Problem: Ich habe mehrere Standorte, die sich zu meinem Server verbinden. Der Server hat eine fixe IP. Ich habe mir gedacht, die sicherste (und zugelich einfachste) Möglichkeit, die Benutzer zu überprüfen ist mittels "USB Secure Stick". Ich stelle mir das so vor: Code: `Außenstelle1 <--\| Außenstelle2 <--\|--> Server Außenstelle3 <--\|` Jede der 3 Außenstellen bekommen einen Stick, am Server sind auch 3 Sticks angeschlossen und dann dürfen sich die Benutzer anmelden. Stick 1a (Außenstelle1) spricht nur mit Stick 1b (steckt am Server USB Port1) Stick 2a (Außenstelle2) spricht nur mit Stick 2b (steckt am Server USB Port2) Stick 3a (Außenstelle3) spricht nur mit Stick 3b (steckt am Server USB Port3) Wenn jemand ohne Stick "hinein" will, Pech gehabt, ohne Stickt wird man nicht verifiziert. Weiteres Bsp: Außenstelle1 arbeitet mit dem Notebook am Server und Stick 1a steckt auch im Notebook. Plötzlich wird der Stick entfernt, innerhalb von 10 Sekunden trennt der Server die Verbindung. Zugriff am Server ist somit nur möglich, wenn der Benutzer den Stick angeschlossen hat. ----- So, ich hoffe ich hab mich halbwegs verständlich Ausgedrückt, was ich haben möchte. Meine Frage lautet jetzt: Wo bekomm ich sowas her? Tia, Brunni
zottel35 Addicted Registered: Feb 2006 Location: austria/vlbg Posts: 415	20.02.2007 - 11:41 Wär ein VPN-Client keine alternative? Zertifikat für die Nutzer erstellen -> somit haben auch nur diejenigen zugriff die berechtigt sind.
MFO rockstable Registered: Nov 2006 Location: Lannach, Austria Posts: 612	20.02.2007 - 11:44 wie sehen die zugriffe aus? terminalsitzungen? oder filezugriffe? oder gar andere services?
Brunnman Addicted Registered: Jul 2002 Location: Wien Posts: 583	20.02.2007 - 11:49 VPN ist leider nicht möglich. Zugriffe erfolgen nur über 1 Programm: Netsupport, mehr wird darauf nicht laufen.
Otaku19 Big d00d Registered: Feb 2005 Location: Wien Posts: 190	20.02.2007 - 13:52 aha, also braucht nur jemand den stick fladdern und hat vollen Zugriff...oder derjenige am Laptop nutzt WLAN an einem öffentlichen AP und jeder kann den Verkehr mitsniffen weil ja kein VPN benutzt wird.... Was ist wenn der Stick hin ist/verloren wird ? Wie komt der User auf die Schnelle zu einem neuen ? Also ich würde mir eher ne Lösung für zertifikatsbasiertes VPN überlegen.
Brunnman Addicted Registered: Jul 2002 Location: Wien Posts: 583	20.02.2007 - 15:45 Zitat von Otaku19 aha, also braucht nur jemand den stick fladdern und hat vollen Zugriff...oder derjenige am Laptop nutzt WLAN an einem öffentlichen AP und jeder kann den Verkehr mitsniffen weil ja kein VPN benutzt wird.... Was ist wenn der Stick hin ist/verloren wird ? Wie komt der User auf die Schnelle zu einem neuen ? Also ich würde mir eher ne Lösung für zertifikatsbasiertes VPN überlegen. die geräte hängen am internen LAN, da ist die Verbindung gesichert, keine Sorge... Wie soll der "Fladderant" wissen, für welchen Server das gilt, selbst wenn er das wüsste, Benutzername und Passwort werden immer noch verlangt, außerdem, wenn man merkt, dass der Stick weg ist, dann steckt man den "2., der am Server hängt" ab - fertig. eigentlich will ich nur wissen, ob es sowas gibt, bzw. wo man es besorgen könnte. weil googeln kann ich lang wenn ich die Begriffe: USB, Stick, Secure, Chip, Verschlüsselung verwende... tia...
Otaku19 Big d00d Registered: Feb 2005 Location: Wien Posts: 190	20.02.2007 - 16:21 mir sind nur kommerzielle lösungen bekannt wo man den Stick für den lokalen Login bzw. freigeben des Schirms verwendet. Eben dieses abstecken...glaubst nicht das du mit nem blacklisten des verlorengegangen Zertifikats deutlich schneller dran bist ? Sowas ließe sich auch ohne Zugang zur Hardware bewerkstelligen. Ohne mich als securityguru hinzustellen...ich denke, deine Lösung ist irgendwie "exotisch" und daher gibts da nix fix&fertiges.
DKCH ... Registered: Aug 2002 Location: # Posts: 3289	20.02.2007 - 16:52 usb token, usb dongle, zB http://www.verisign.com/products-se...tion/index.html happy paying
Brunnman Addicted Registered: Jul 2002 Location: Wien Posts: 583	20.02.2007 - 17:36 so, bin nun doch im netz fündig geworden (zumindest glaube ich das mal): http://www.aladdin.de/produkte/usbt...uebersicht.html http://www.matrixlock.de/allgemei.htm http://www.rsa.com/node.aspx?id=1215 http://www.cryptoken.com/de/produkte.php Hat jemand solche Produkte im Einsatz? Ich kenne nur die RSA Variante, bei der man den Code, der am Token erscheint eingibt. Ist also nichts mit USB anstecken. Vllt hat ja jemand schon solche Produkte im Einsatz, dann bitte einen kurzen Erfahungsbericht posten. Tia, Brunni
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6516	20.02.2007 - 18:18 Die Frage die du dir imho stellen solltest ist, ob der Aufwand nötig ist. Ev. reicht es schon aus drei shared directories am Server zu erstellen, Außenstelle A hat Zugriff auf Ordner A, B zu B... Login und Kennwort (bevorzugterweise alphanumerisch mit upper- und lowercase) natürlich vorausgesetzt.
dethspank the wall Registered: Dec 2005 Location: Mödling Posts: 3780	20.02.2007 - 18:20 Zitat von mr.nice. Die Frage die du dir imho stellen solltest ist, ob der Aufwand nötig ist. Ev. reicht es schon aus drei shared directories am Server zu erstellen, Außenstelle A hat Zugriff auf Ordner A, B zu B... Login und Kennwort (bevorzugterweise alphanumerisch mit upper- und lowercase) natürlich vorausgesetzt. imho beste und billigste Variante

Client Zertifizierung am Server

Forum Index > Hardware > Peripherie > Netzwerktechnik

Brunnman

zottel35

MFO

Brunnman

Otaku19

Brunnman

Otaku19

DKCH

Brunnman

mr.nice.

dethspank