Muelli 10 Geschrieben 23. August 2005 Melden Teilen Geschrieben 23. August 2005 Moin Community, habe jetzt in unserer kleinen Firma ein VPN Zugang für ausgewählte User eingerichtet und würde gern mal Eure Meinung zum Thema Sicherheit wissen. Haben hier eine W2k Domäne mit einem PDC, welcher auch File-, Fax- und Emailserver ist. Ansonsten ca. 10 Clientrechner mit W2k und XPpro gemischt. Über einen Hardware-FW-Router Vigor 2900G sind wir per NAT ans Netz angebunden. Die FW Regeln sind restriktiv sprich alles ist "zu" und nur ausgewählte Ports sind offen aber gefiltert. Durchgeführte Portscans zeigen alles im grünen Bereich. Der Router ist nun auch der VPN Server. Als VPN User sind 3 Personen im VPN Server angelegt, welche mit XP Notebooks (nur XP VPN Client) ausgestattet sind. Der größste gemeinsame Nenner in Sachen Sicherheit, welchen ich durch Testen aller möglichen Kombinationen herausbekommen habe, ist: PPTP mit CHAP und MPPE. MPPE angeblich mit 128bit Verschlüsselung. Das kann ich jedenfalls auf VPN Server Seite als "gefordert" einstellen. Im Statusmonitor des Routers sehe ich dann auch die verschlüsselte Verbindung ohne natürlich etwas über die Verschlüsselungsqualität zu erfahren. Steht halt nur PPTP mit MPPE (Microsoft Point to Point Encapsulation). L2TP mit IPSec hat leider nicht funktioniert. Eine Verbindung kommt zwar zustande, jedoch zeigt mir der Statusmonitor des Routers an, das die Verbindung unverschlüsselt ist. IPSec Tunnel Mode geht gar nicht. Nun bin ich als VPN Neueinsteiger natürlich nicht sicher, ob ich alles mir derzeit Mögliche getan habe, um Sicherheit zu gewährleisten. Natürlich ist eine Anbindung ans Internet oder eine Verbindung über das Internet nie 100%ig sicher. Desweiteren habe ich auch keinerlei Freiräume bezüglich zusätzlicher Hardware, sprich DMZ aufbauen, RADIUS Server hinstellen u.s.w. Wir sind halt nur 'ne kleine Firma und ich bin schon froh, dass ich den FW/VPN Hardwarerouter anschaffen durfte. Zusätzliche Sicherheit gibt einem natürlich schon die Domänenstruktur. Nur wenn sich ein Notebook, was Mitglied der Domäne ist, über VPN verbindet, bekommt es auch Zugang auf alle Domänenrecourcen und Freigaben. Mit einem Nicht-Mitglieds-Notebook kann man zwar den Tunnel aufbauen, kommt dann aber nicht weiter. In wie weit das "Hacker-fest" ist, weiß ich aber nicht. Weiterhin hat ein VPN User natürlich für die Domänenanmeldung bei Notebookstart und die Einwahl ins VPN jeweils unterschiedliche Usernamen und Passwort erhalten. Nur für den Fall, dass ein Notebook geklaut wird, sind dann schon mal zwei Hürden zu nehmen. Das ist unsere kleine Umgebung. Wäre schön, wenn ein paar Spezialisten von Euch mal ihren Kommentar und/oder Kritikpunkte schreiben würden Gruß Mülli Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 23. August 2005 Melden Teilen Geschrieben 23. August 2005 Hi Muelli, irgendwann letzte Woche hatte ich hier im Board eine Diskussion zu dem Thema. Der Schluss war dann so: PPTP MS Chap v2 und min 10 Zeichen komplexen Passworten kann als sicher betrachtet werden. Alles andere ist mehr oder weniger leicht zu knacken. IpSec ist immer erste Wahl! ... Meine Meinung Zitieren Link zu diesem Kommentar
Muelli 10 Geschrieben 23. August 2005 Autor Melden Teilen Geschrieben 23. August 2005 Hi weg5st0, nur CHAP überträgt zwar das Passwort verschlüsselt - doch für die Verschlüsselung wird nirgends ein Schlüssel abgefragt, d.h. es werden irgendwelche Standardverschlüsselungsverfahren genutzt, die auf jedem Rechner gleich sein müssen, damit man das verschlüsselte Passwort, welches z.B. der VPN Server vom Client geliefert bekommt, auch mit den eingerichteten Passwörtern der einzelnen User vergleichen kann. Also kann doch ein Hacker sich dazwischenhängen und benötigt auch nur einen Rechner, der CHAP kann - mal übertrieben einfach gesagt. Oder vergesse ich da was? .. und ähnlich sind meine Befürchtungen bei der eigentlichen Datenverschlüsselung mit MPPE. Auch hier wird nirgens ein selbstkreierter Schlüssel hinterlegt, mit dem der Datenstrom verschlüsselt wird. Alles ist einfach Standard. Nach außen zwar verschlüsselt, aber kann jeder der MPPE kann nun auch meinen Datenstrom entschlüsseln? Kann mir da jemand meine Ängste nehmen? Gruß Mülli Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 23. August 2005 Melden Teilen Geschrieben 23. August 2005 Hilft dir dieser Thread? http://www.mcseboard.de/showthread.php?t=63782&highlight=data Gruss Velius Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 23. August 2005 Melden Teilen Geschrieben 23. August 2005 Hi Muelli, ist nicht ganz richtig. Zusammengefasst: Wer MC-Chap v2 nimmt und gute Passwörter verwendet, der ist sicher. Knackbar ist alles, entscheidend ist der Aufwand! Wenn das Passwort bei PPTP lang genug ist und nicht erraten werden kann, dann ist der Aufwand für das entschlüsseln der Pakete nahezu gleich hoch wie bei IPSec. wenn aber das Passwort bekannt ist oder mit einer "Wörterbuch-Attacke" gefunden wird, ist der Hash schnell errechnet und genau damit werden die Daten verschlüsselt. Also: PPTP ist in manchen Umgebungen sinnvoll, weil einfach zu implementieren. Wer kein Risiko eingehen will, sollte auf IPSec oder verschärfte Kennwortrichtlinien achten. Zitieren Link zu diesem Kommentar
Muelli 10 Geschrieben 23. August 2005 Autor Melden Teilen Geschrieben 23. August 2005 Hi, Dank erst mal für die Kommentare. Stimmt, jetzt wo Du es sagst, es wird ja gar kein Passwort übertragen sondern nur der Hashwert, der dann auf der Gegenstelle verglichen wird. Damit kann dann ein anderer nicht so schnell was anfangen. Den anderen Thread muss ich mir mal in Ruhe heut abend reinziehen. Grüße Mülli Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 23. August 2005 Melden Teilen Geschrieben 23. August 2005 Hi Muelli, nutzt den Draytek VPN-Client ? Hier sollte doch eigentlich IPSec möglich sein. Davon abgesehen, die jetzige Anbindung ist, wie schon meine Vorredner bemerkt haben, prinzipiell i.O. Man muss ja auch mal das Gefahrenpotential Eurer Firma betrachten. Die Thematik hatten wir auch schon mal. Wenn Ihr Waffenhersteller seit, würde ich sagen, dass Ihr an Eurer Anbindung etwas ändern müsst. Für einen Dienstleister mit 10 Angestelleten ist diese Anbindung allerdings vollkommen ausreichend. Noch schöner sind die Appliances von Fortinet. Diese sind nur unwesentlich teurer in der kleinsten Ausführung wie der Draytekrouter, haben aber den Vorteil das a. Die VPN-Konfiguration besser ist (Draytek beschreibt dort machmal nicht ganz RFC-Konforme Wege) b. Man auch gleichzeig eine HTTP und Mail-Viruswall mitgeliefert bekommt. Gruß Data Zitieren Link zu diesem Kommentar
Muelli 10 Geschrieben 23. August 2005 Autor Melden Teilen Geschrieben 23. August 2005 Hi Data, der DrayTek Vigor steht in der Firma als VPN Server (gleichzeitig FW NAT Router). Als Client für die Remoteeinwahl dient der standardmäßige XP VPN Client. Zu Hause habe ich zwar auch einen Vigor stehen, der arbeitet aber nur als VPN Pass Through und ist erst mal nicht Betrachtungsgegenstand. Der Vigor kann natürlich auch L2TP mit IPSec Transport Mode oder sogar IPSec TunnelMode. Nur dafür bräuchte ich einen guten frei verfügbaren VPN Client, den ich meinen Leuten aufs Notebook spiele. Fällt Dir da was ein? Lebe lange und in Frieden. Grüße Mülli Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 24. August 2005 Melden Teilen Geschrieben 24. August 2005 Hi Muelli, Draytek hat doch selbst einen VPN-Client, den Smart VPN-Client http://www.draytek.com/support/download/Vigor2900.php Eine gute Seite für alles was Vigors angeht: http://www.vigor-users.de Gruß Data Zitieren Link zu diesem Kommentar
Muelli 10 Geschrieben 24. August 2005 Autor Melden Teilen Geschrieben 24. August 2005 Hi Data, die Seiten sind mir bekannt, auch der SmartVPN Client. Leider will er explizit erst eine Einwahl ins Internet durchführen bevor er den Tunnel aufbaut. Nur gehen meine User nicht nur über eine DFÜ Einwahl ans Netz sondern haben mitunter auch eine direkte Netzanbindung über LAN. Die I-Net Verbindung möchte ich also vorher immer selber herstellen, wie auch immer. Der VPN Client soll sich darum nicht scheren sondern nur den Tunnel aufbauen. Gruß Mülli Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 24. August 2005 Melden Teilen Geschrieben 24. August 2005 @ Muelli Das ist mir Neu. Im Smart VPN Client steht zwar Step 1. Dial up to ISP allerdings in Arial 6 darunter If you have allready got a public IP, you can skip that step. ERGO - Kein DFÜ nötig. Gruß Data Zitieren Link zu diesem Kommentar
Muelli 10 Geschrieben 24. August 2005 Autor Melden Teilen Geschrieben 24. August 2005 Das muss ich doch glatt mal checken. Habe natürlich den Smart VPN Client von meinem älteren Router zu Hause genommen. Geh gleich mal und suche mir die CD zu unserem neuen 2900er raus. Allerdings geht wohl IPSec sowieso nicht so recht als pass through über einen NAT Router hinweg. Insofern kann ich wohl IPSec dann nur bei normaler Einwahl nutzen und sobald ich mich hinter einem NAT Router befinde muss ich auf PPTP ausweichen. das WE wird wieder mit Testen verbracht. Gruß und Dank Mülli Zitieren Link zu diesem Kommentar
Aktaion 10 Geschrieben 24. August 2005 Melden Teilen Geschrieben 24. August 2005 IPSEC geht sehr wohl auch hinter NAT Geräten. Zumindest hinter Geräten die Spezifikation NAT-T unterstützen. Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 24. August 2005 Melden Teilen Geschrieben 24. August 2005 NAT-Traversal auf den Vigors, ich glaube da haben wir ein Problem. Ist mir nicht bekannt. Gruß Data Zitieren Link zu diesem Kommentar
Muelli 10 Geschrieben 24. August 2005 Autor Melden Teilen Geschrieben 24. August 2005 Ja, diesbezüglich müssen die Vigors wohl noch passen. Hier ein Link wo beschrieben ist, was geht und was nicht: http://www.draytek.com/support/support_note/router/faq/vpn/17.php Das muss ich im Einzelnen erst mal alles durchprobieren, mal über DFÜ und mal über NAT Router. Das ist wohl der einzige Weg, das alles halbwegs zu begreifen auch wenn man noch so viel darüber gelesen hat. Gruß Mülli Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.