iDiddi 27 Geschrieben 13. August 2012 Melden Teilen Geschrieben 13. August 2012 Hallo zusammen, falls noch Jemand Microsofts Standard-VPN-Verfahren einsetzt, sollte schnellstmöglich umdenken. Laut aktueller c't sind die Kennwörter innerhalb von 24 Stunden geknackt. Dafür gibt es sogar schon einen Online-Dienst, der das für 200 Dollar erledigt :shock: Ich zitiere: [...]Microsofts Point-to-Point Tunneling Protocol gilt zwar schon länger als nicht besonders sicher' date=' kommt aber immer noch häufig als VPN-Technik zum Einsatz, die auf fast allen Endgeräten verfügbar und einfach einzurichten ist. Doch die Sicherheit des Anmeldevorgangs beruht allein auf dem seit Jahren als unsicher geltenden DES-Algorithmus.Der jetzt vorgestellte Dienst [...'] probiert einfach alle 7 Byte langen DES-Schlüssel durch und kann damit dann den MD4-Hash des Passwortes zuverlässig ermitteln, der für die Anmeldung und Entschlüsselung des VPN-Verkehrs genügt[...] [...]Wer in Produktionsumgebungen noch immer PPTP oder (P)EAP mit MS-CHAPv2 einsetzt, sollte diesen Dienst zum Anlass nehmen, sich jetzt schleunigst Gedanken über Migrationsstrategien zu machen Also dann mal ran an den Speck ;) Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 13. August 2012 Melden Teilen Geschrieben 13. August 2012 Hi, ja war einer der Vorträge auf der BlackHat. Dafür kann man Cloud Dienste eben auch verwenden ;) Details siehe auch in meinem Blogpost dazu. 1 Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 13. August 2012 Autor Melden Teilen Geschrieben 13. August 2012 ja war einer der Vorträge auf der BlackHat. Dafür kann man Cloud Dienste eben auch verwenden Ja, leider :( Was ist denn die meist eingesetzte Alternative zur Zeit? Weiß das Jemand? DirectAccess jetzt mal ausgenommen. Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 13. August 2012 Melden Teilen Geschrieben 13. August 2012 Wir nehmen seit Jahren ipsec Tunnel. Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 9. September 2012 Autor Melden Teilen Geschrieben 9. September 2012 (bearbeitet) Nachtrag: Microsoft hat sich dem Sicherheitsproblem angenommen und einen Artikel dazu veröffentlicht, der beschreibt, was für sichere Alternativen eingesetzt werden können. Die interessanteste, weil einfachste Lösung ist wohl PEAP-EAP-MS-CHAPv2. Interessant daran ist die Tatsache, dass sie ohne eigene PKI auskommt und in wenigen Schritten konfiguriert ist. Ich erspare mir jetzt die genaue Erklärung dazu und verweise einfach auf folgenden Technet-Artikel: Microsoft-Sicherheitsempfehlung (2743314): Nicht eingekapselte MS-CHAP*v2-Authentifizierung kann Offenlegung von Information ermöglichen Implementieren der PEAP-MS-CHAP v2-Authentifizierung für Microsoft-PPTP-VPNs Wer noch eine schöne Anleitung mit ein paar Screenshots benötigt, kann sich das mal anschauen. Leider nur in englischer Sprache: http://www.miqrogroove.com/blog/2012/windows-vpn-with-peap/ Bei dieser Methode ist allerdings zu beachten, dass im ersten Schritt nur der Server mit einem Zertifikat authentifiziert wird. Sicherer ist natürlich ein Verfahren, bei dem sich beide Seiten per Zertifikat authentifizieren müssen. Dann wird es allerdings komplizierter und komplexer. bearbeitet 9. September 2012 von iDiddi Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 10. September 2012 Melden Teilen Geschrieben 10. September 2012 Hi iDiddi, danke für die Info, dass klingt nach einer guten Alternative für L2TP/IPsec - So erspare ich mir den Ärger mit der Clientzertifikatsverteilung. Grüße Admin Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 10. September 2012 Autor Melden Teilen Geschrieben 10. September 2012 So erspare ich mir den Ärger mit der Clientzertifikatsverteilung. Ja, das hat mich bisher auch abgeschreckt. So muss man auf den VPN-Clients nur dafür sorgen, dass dem Stammzertifikat vertraut wird. Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 10. September 2012 Melden Teilen Geschrieben 10. September 2012 Also ich habe das gemäß der Anleitung ausgeführt -Endet mit Passwort/Authentifizierungsabfrage => Error 806. Laut Error 806 wird Probleme mit dem GRE Protokoll -> Kann ich aber ausschließen (klassisch funktioniert PPTP noch) Als Zertifikat habe ich ein SAN (über öffentlichen Anbieter erstellt) verwendet, außerdem am Client noch die beiden zw. Zertifiszierungsstellen importiert und aktiviert => selbe Teste das nochmal mit einem eigens erstellten Zertifikat. Grüße Admin Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 12. September 2012 Autor Melden Teilen Geschrieben 12. September 2012 Also ich habe es nach dieser Anleitung erfolgreich auf einem SBS 2011 umgestellt. Einziger Unterschied zur Anleitung: Ich musste die "Virtual Private Network (VPN) Access Policy" anpassen. In der Anleitung steht "Connections to Microsoft Routing and RAS". Kann aber ein SBS-spezifisches Ding sein. Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 13. September 2012 Melden Teilen Geschrieben 13. September 2012 Also bei mir funktioniert es nicht - er hängt am Schritt der Authentifizierung Was da falsch sein soll weiß ich nicht. Zertfikat habe ich auch über eigenen Zertserver erstellt und dieses am Client eingetragen. Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 13. September 2012 Autor Melden Teilen Geschrieben 13. September 2012 Zertfikat habe ich auch über eigenen Zertserver erstellt und dieses am Client eingetragen.Und das Zertifikat, welches Du aus der Dropdown-Liste ausgewählt hast, verweist auch auf den externen Servernamen? Die NPS-Richtlinie ist auch wirklich korrekt konfiguriert? Lass mal den Haken bei "automatischer Anmeldung mit dem angemeldeten Benutzer" raus, damit er Dich nach dem Benutzernamen fragt. Schreib auch mal genau auf, welche Meldungen beim Verbindungsaufbau kommen und wo er dann abbricht. Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 13. September 2012 Melden Teilen Geschrieben 13. September 2012 Hi Diddi, also ich bin da nicht der Experte. Laut Fehlermeldung ein Problem mit dem GRE Protokoll - kann ich aber ausschließen - klassisch PPTP geht ja auch. Habe nun eine Testumgebung - die sieht etwa so aus: -Fehlermeldung: 806 - er hängt an der Authentifzierung ( es kommt aber nicht mal zu Aufforderung von Anmeldedaten) -Das Zertifikat geht auf die öffentliche Adresse (der Host selbst hat keine direkte externe AdressE). -Der Aufruf erfolgt über eine externe Adresse (gate.domain.tld) -Der richtige Name ist Host.intern.domain.tld - Im Zertifikat ist natürlich gate.domain.tld eingetragen. -Am VPN Client ist die Zerstelle als vertrauenswürdig hinzugefügt und in der VPN Konfiguration aktiviert. -Richtlinie ist "Remote Access Server (VPN Dial up) -Richtlinie ist auf erlauben - andere Richtlinien wurden deaktiviert -Benutzer hat unter einwählen "Richtlinie verwenden" Grüße Admin Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 13. September 2012 Melden Teilen Geschrieben 13. September 2012 So Nachtrag - Fehler lag woanders. Habs VPN Sys neu installiert - Aus Spaß W2k12 Eingerichtet wie beschrieben - leicht abweichend von den Screenshots. Zertifikatsstelle am Client eingespielt => Funktioniert Ursache: Mein externes Testsystem könnte nicht aus der Cloud raustelefonieren ... Nachtrag: Habe nun dass öffentliche San-Zertifkat importiert und es funktioniert ohne Import :-) Da die Herausgeber zu Std. trusted Liste gehören. Ich musste lediglich beim Erstart die Verbindung aktivieren via "verbinden". Feine Sache und dazu komfortabel. Allerdings sei erwähnt, dass diese Alternative nicht mit Mobilgeräten z.B. Iphone/Android funktioniert. 1 Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 13. September 2012 Autor Melden Teilen Geschrieben 13. September 2012 Danke für Deine Beschreibung :) Allerdings sei erwähnt, dass diese Alternative nicht mit Mobilgeräten z.B. Iphone/Android funktioniert. Das ist leider wahr. Hatte ich jetzt nicht explizit erwähnt, weil es aus den Links hervorgeht. Aber hoffentlich legt Apple da nach Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 17. September 2012 Melden Teilen Geschrieben 17. September 2012 Hi iDiddi, was mir aufgefallen ist, OSX unterstützt kein Zugriff via PPTP PEAP-EAP - Das stand da so leider nicht... Welchen VPN Client für OSX nutzt du oder bietet ihr hier keine Einwahl ? Grüße Admin Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.