Zertifikate einfacher "verteilen" ?

[M.H.]

Hallo,

meine Frage bezieht sich jetzte zwar nicht direkt auf den Intranator, aber vll kann wer helfen.

Also, ein Kunde von uns möchte aus Sicherheitsgründen die Gültigkeitsdauer der Zertifikate recht kurz halten, also nur einen Monat oder so.
Er findet nun aber die Prozedur der Schlüsselvergabe für die Clients (Netgear VPN ProSafe Clientsoftware) recht umständlich, also jeden Monat alle Laptops ins Haus, neue Schlüssel erstellen und einspielen usw..

Um die Schlüsselerstellung kommt man ja nun nicht drumherum.

Aber gibt es nun irgendwie die Möglichkeit, die erstellten Schlüssel auf einen USB-Stick zu schmeißen, damit die Mitarbeiten die Sticks nurnoch in ihre Laptops stecken müssen und der VPN Client die verwendet?

Wäre recht praktisch.

mfg

[Ebi]

Wie wäre es denn hier Smartcards zu verwenden (die kommen auch schon inkl. Reader in USB-Stick-Bauform)... Wir haben damit eigentlich bisher ganz gute Erfahrungen gemacht. Außerdem ist hier auch gleich noch ein Sicherheitszugewinn vorhanden (da Smartcard durch PIN geschützt ist).

Liebe Grüße,
Jens Eberhardt
AVISO GmbH

[M.H.]

Huhu,

da ich recht faul bin wollt ich mal nachhaken, obs die Möglichkeit gibt, den Intranator alle 4 Wochen selbstständig VPN-Schlüssel generieren zu lassen?
Also per Script o.ä. das die Parameter vorgibt (die man auch so per Webinterface eingeben würde, also Land, Organisation, Rechnername usw.) und die dann auf nen Ordner ins Netz schiebt.

mfg

[Gerd von Egidy]

Hallo,

so eine Funktion haben wir nicht vorgesehen. Da der Intranator aber über eine Weboberfläche bedient wird, kann man mit überschaubarem Aufwand ein Programm entwickeln, was das übernimmt.

Meine Frage allerdings: warum?

Wenn Sie 2048 Bit Schlüssel verwenden, sehe ich das Risiko nicht darin, dass der Schlüssel mathematisch geknackt wird, sondern darin, dass jemand Zugriff auf den private Key bekommt (z.B. physischer Einbruch, Rechnerdiebstahl, Trojaner,...).

Wird so ein Ereignis bekannt, wird der Schlüssel sowieso sofort gesperrt. Nur unbemerkte Zugriffe stellen also ein Problem dar. Wenn der Schlüsseltausch nun vollautomatisch geht, kann der Angreifer meist auch automatisch auf den neuen Schlüssel zugreifen. Ich sehe daher nur einen geringen Sicherheitsgewinn durch den häufigen Schlüsseltausch.

Herzliche Grüße,

v. Egidy

[M.H.]

Hallo,

ich habe eher vor, dass der Endkunde die automatisch erstellten Schlüssel aus dem Ordner (im Internen Netz) einfach auf Smartcards speichert, die dann von den Benutzern mit nach Hause genommen werden, um dort mit der Karte und Client eine VPN-Verbindung aufbauen können.

Zweck der Sache ist einfach, dass der Endkunde jetzte nicht jeden Monat für 20 Leute per Webinterface Schlüssel erstellt und exportiert, wenn das auch automatisiert erfolgen könnte.

Wird eine Karte gestohlen, werden die betroffnen Schlüssel gesperrt.

Zusätzlich ist der Ablagerungsort der automatisiert erstellten Schlüssel einbruchsicher in einem geschlossenen Serverraum, bei dem nur der Verantwortliche Zugang hat und auch der Netzzugriff ist auf diese Person beschränkt.

Nagut, muss ich mal schauen wie man das hinbekommt.

mfg