schnabelm 10 Geschrieben 3. August 2005 Melden Teilen Geschrieben 3. August 2005 Hallo Leute, ich habe auf meinem Server SBS 2003 und meine Clients sind mit WLAN angebunden. Kann ich die Verbindung über WLAN zwischen Server und Client verschlüsseln und wie geht es? Mit freundlichen Grüßen Maximilian Schnabel Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 3. August 2005 Melden Teilen Geschrieben 3. August 2005 Hi, schau mal in deinem Routerhandbuch nach WPA. Gruss Götz Zitieren Link zu diesem Kommentar
schnabelm 10 Geschrieben 3. August 2005 Autor Melden Teilen Geschrieben 3. August 2005 ich habe es bereits per wpa verschlüsselt, doch ich möchte es zusätzlich per vpn verschlüsseln, sorry, das hatte ich vorhin nicht erwähnt Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 3. August 2005 Melden Teilen Geschrieben 3. August 2005 hallo weche anforderungen, was hast du genau vor ? genügt pptp sprcih RAS-Server am SBS und einwahls mittels vpn-client von MS ? was ist das ziel der verbindung ? lg rossi Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 3. August 2005 Melden Teilen Geschrieben 3. August 2005 Hi, Davon würde ich abraten (nicht von dem was Hr. Rossi sagt), wenn du ipsec machst und allen Verkehr mit Zertifikaten verschlüsselst wirst du mit halbwissen und boardpostings nicht weit kommen. Sobald du die Ipsec-Richtlinie anwendest sind die Troubleshooting Möglichkeiten äusserst begrenzt, weill ja alles getunnelt wird und du nix siehst. Wenns also nicht geht: Schlechte Karten! Wenn du WPA mit 256 Bit machst bist du ganz gut gesichert. Überleg dir gut ob du das machst (vor allem mit sbs2003!!!). IMHO ist Ipsec mit Windowsservern sehr bescheiden implementiert! Das würde ich niemandem empfehlen. Wenn du dein WLAN sicherer machen willst, dann mach 802.1x mit Radius server an den AP. Auch kannst du dir PPTP sparen: Da werden keine Nutzdaten verschlüsselt... Gruss Götz PS: Die Meinung ist nicht gerade Objektiv - vielleicht bin ich auch zu dumm. Aber IPSEC Policies in ner "Minidomain" mit einem DC und noch keiner CertAuthority würde ich keinem empfehlen - Bitte korrigiert mich (eure Meinungen dazu interesiiern mich brennend). Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 3. August 2005 Melden Teilen Geschrieben 3. August 2005 hi IMHO ist Ipsec mit Windowsservern sehr bescheiden implementiert! Das würde ich niemandem empfehlen. Wie meinst du das, dieser Meinung bin ich nicht da sich Windows bei IPSec genau so an die RFC hält wie alle anderen Auch kannst du dir PPTP sparen: Da werden keine Nutzdaten verschlüsselt... Im grossen und ganzen stimmt das, aber der Tunnel an sich ist mit 128Bit verschlüsselt, und ich habe noch nie davon gehört, dass ein pptp-tunnel gekanckt wurde ! Wenn du dein WLAN sicherer machen willst, dann mach 802.1x mit Radius server an den AP das ist ber nur sehr sicher bei der authentifiezierung der clients dies hat nichts mit verschlüsselung der daten zu tun ! lg rossi nachtrag zur 128Bit Verschlüsselung: Kommen Schlüssel mit einer Länge von 128 Bit zum Einsatz, sind diese mit Brute-Force kaum zu knacken. Bruce Schneier hat hierzu ein gutes Beispiel genannt: Ist der Schlüssel 128 Bit lang, benötigen eine Milliarde CPUs, die jeweils eine Milliarde Schlüssel pro Sekunde ausprobieren, ungefähr 1013 Jahre, um alle möglichen Schlüssel zu berechnen. Diese Zeitdauer ist länger als heute das Universum existiert. Es ist also auch mit den stärksten Maschinen nicht möglich, in einer vernünftigen Zeitdauer wirklich alle Schlüssel auszuprobieren. quelle: http://www.fw-1.de/krypto/angriffe.html Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 4. August 2005 Melden Teilen Geschrieben 4. August 2005 Hi Hr. Rossi, Danke für deine Infos. Ich wollte mit der "bescheidenen" Implementierung nicht behaupten MS mache irgendwas nicht RFC Konformes. Ich vermisse nur irgendein vernünftiges Tool zum Troubleshooting. (IPSecMon kenne ich - ist aber für meine Begriffe zu wenig. Man sieht eigentlich nur wenns funktioniert. Ich will aber was sehen wenns nicht geht). Das haben andere Hersteller besser im Griff (VPN Spezialisten wie Cisco zeigen im Log deutlich mehr an). Auch das Ipsec Log ist für meine Begriffe zu umständlich. Zum Thema PPTP und Payload Encryption: MS-CHAP (PPP authentication) is used to validate the user credentials against Windows NT domains and the resulting session key is used to encrypt user data. http://www.microsoft.com/ntserver/ProductInfo/faqs/PPTPfaq.asp#8 Und wie einfach ein CHAP Session key zu knacken ist ist wohl klar.... 802.1x: Hast natürlich recht: Sicherer wird die Verbindung nicht. Es ist u.U. nur schwerer eine Verbindung aufzubauen. Gruss Götz Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 4. August 2005 Melden Teilen Geschrieben 4. August 2005 Hi Und wie einfach ein CHAP Session key zu knacken ist ist wohl klar.... Du redets von NT ab 2000 ist MS-Chap v2 zu benützen und das ist sicherer ! Aber wenn du bei XP troubleshooting im IPSec Bereich betreiben möchtest dann schua dir mal das "Oakley-Logging" an, mehr Informationen gibts nicht vom Aufbau der Phasen bis zur Vereinbarung der SA bzw Hashes ! Oakley logYou can use the Oakley log to view details about the SA establishment process. The Oakley log is enabled in the registry. It is not enabled by default. To enable the Oakley log, set the HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PolicyAgent\Oakley\EnableLogging registry setting to 1. The Oakley key does not exist by default and must be created. For more information about adding values to registry keys, see To add a value After it is enabled, the Oakley log, which is stored in the systemroot\Debug folder, records all ISAKMP main mode or quick mode negotiations. A new Oakley.log file is created each time the IPSec Policy Agent is started and the previous version of the Oakley.log file is saved as Oakley.log.sav. To activate the new EnableLogging registry setting after modifying its value, stop and start the IPSec Policy Agent and related IPSec services by running the net stop policyagent and net start policyagent commands at the command prompt. If you are restarting the IPSec Policy Agent and related services on a computer running Windows 2000 Server and the Routing and Remote Access service, use the following sequence of commands: 1. Stop the Routing and Remote Access service using the net stop remoteaccess command. 2. Stop the IPSec services using the net stop policyagent command. 3. Start the IPSec services using the net start policyagent command. 4. Start the Routing and Remote Access service using the net start remoteaccess command. quelle: http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_ipsec_tools.mspx Und hier noch was zum pptp loggen: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/TechRef/cc6ddc1d-718c-48b1-b50e-d6b24d7c02d1.mspx lg rossi Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 4. August 2005 Melden Teilen Geschrieben 4. August 2005 Hi Hr.Rossi, hier eine kleine Auswahl an Tools: Cain and Able, http://www.oxid.it; Brutus, http://www.hoobie.net; L0phtCrack or LC 5, http://www.atstake.com Mit L0phtCrack lassen sich ohne Probleme MS-Chap 2 Hashes von bis zu 14-stelligen Passwörtern auf einer Standard Maschine (P4 500) zurückrechnen. Auch ohne Wörterbuch! Nur bei NTLMv2 im LAN muss L0phtCrack passen. Mit dem OakleyLog hast du schon recht. Ich finde genau hier liegt der Knackpunkt: Ich kann in einem u.U. ellenlangen Textfile nach meinem Fehler bei der Schlüsselverhandlung suchen, oder der Client sagt mir: Der SChlüssel konnte nicht ausgehandelt werden, weil.... Das meine ich mit "bescheiden". Es ist einfach zu umständlich und aufwendig, dabei wäre es einfach, die Log-Einträge zu überwachen und eine deutliche Fehlermeldung auszugeben. Gruss Götz Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 4. August 2005 Melden Teilen Geschrieben 4. August 2005 Hi Na das wird ien langer Thread hehe Die Authentifiezierung mit MS-Chap v2 dient ja nur zu User authentifizierung wie du wissen wirst, aber die wird in einen MPPE Tunnel der mit 128Bit verschlüsslt wird ausgehandelt ! Und nochmal: Jeder behauptet das PPTP unsicher ist, ich behaupte das der neue Audi 780PS hat, was zählt sind Beweise und Fakten eines gehackten PPTP Tunnels ! lg rossi Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 4. August 2005 Melden Teilen Geschrieben 4. August 2005 Hi, also den Audi kenn ich auch :-).... Ist aber trotzdem ********, weil der nur drei Räder hat .... Ok, hier ein Link zum Thema MS PPTP 2 Implementierung: http://www.schneier.com/paper-pptpv2.html Mit dem Schluss: Microsoft has improved PPTP to correct the major security weaknesses described in [sM98]. However, the fundamental weakness of the authentication and encryption protocol is that it is only as secure as the password chosen by the user Und wie sicher Userpasswörter sind, das weiß man ja... Gruss Götz Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 4. August 2005 Melden Teilen Geschrieben 4. August 2005 However, the fundamental weakness of the authentication and encryption protocol is that it is only as secure as the password chosen by the user jo das stimmt ! darum Kennwort-Komplexität hehe Aber lassen wird das ! Fakt ist das das pptp easy zu installieren ist und für den hausgebaruch reicht. Bei Unternehmensvernetzungen ist sowieso IPSec Voraussetzung !! lg rossi Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 4. August 2005 Melden Teilen Geschrieben 4. August 2005 Hi Hr. Rossi, na da sind wir ja der gleichen Meinung! Zu Hause würde ich nie L2TP/IPSec oder ähnlich aufwendiges zeux verwenden. Da ist PPTP perfekt. Aber halt nur weil: Ipsec und L2Tp und AH und ESP mit Zertifikaten ist einfach zu bescheiden implementiert. Soll heissen: Es funktioniert so gut wie nie auf Anhieb! Gruss Götz Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.