jubba 10 Geschrieben 8. Februar 2006 Melden Teilen Geschrieben 8. Februar 2006 Hi, ich habe einen dedizierten Server gemietet (WS 2003 Standard). Auf diesem habe ich den RAS(VPN)-Server eingerichtet. Ich kann nun von zu Hause(Win XP Pro) per PPTP eine Verbindung zum Server aufbauen. Per Remotedesktop (192.168.1.100 LAN) steuere ich dann den Server. Ich habe das so eingestellt das nur MSCHAPv2 verschlüsselung zugelassen wird, außerdem benutze ich ein 12-stelliges wirres paßwort. Auf dem Server ist nur Port 1723(VPN PPTP) und 433 (SSL HTTPS) offen. Frage: 1.) Wie sicher ist das, was ich mache? 2.)Ist L2TP/IPSEC sicherer als PPTP? 3.)Wo sind die Vor- und Nachteile von PPTP gegenüber L2TP/IPSEC? Danke Zitieren Link zu diesem Kommentar
XP-Fan 220 Geschrieben 8. Februar 2006 Melden Teilen Geschrieben 8. Februar 2006 PPTP: PPTP (Point To Point Tunneling Protocol) wurde ursprünglich von Microsoft und Ascend entwickelt und ist aufgrund seiner Integration in Windows weit verbreitet. Es handelt sich hierbei um eine Erweiterung des Point to Point Protokolls (PPP). PPTP ermöglicht nicht nur die Übertragung von IP-Paketen, sondern auch von IPX- und NetBUI-Paketen. Die einzelnen Pakete werden in eine modifizierte Form des Generic Routing Encapsulation Protocol Version 2 (GREv2) verpackt und zum Network Access Server (NAS) des ISP transportiert. Je Kommunikationspaar kann nur ein Tunnel aufgebaut werden. Zur Authentisierung dient PAP/ CHAP; eine Authentisierung der Tunnelenden ist jedoch nicht vorgesehen. In PPTP sind keine Key-Management-Protokolle implementiert. Die Datenverschlüsselung erfolgt nach dem RC4-Verfahren mit Schlüssellängen von 40, 56 oder 128 Bit. Eine Paket-Integritätsrüfung ist nicht implementiert. PPTP ist nicht standardisiert, der Internet Draft (draft-ietf-pppext-pptp-00) ist Anfang 1997 "expired". In die Schlagzeilen ist PPTP geraten, da verschiedene Berichte über Implementierungsdefizite bei der Schlüsselverwaltung veröffentlich wurden! L2tp: L2TP vereint die Vorteile von PPTP und L2F. Eine Tunnel-ID im L2TP-Header erlaubt den Betrieb multipler Tunnels. NAT (Network Address Translation) wird unterstützt. Der L2TP-Tunnel wird aufgebaut zwischen den NAS des ISP und dem VPN-Knoten (beim Anwender). L2TP erlaubt eine Authentisierung auf der Basis von CHAP/ PAP. Es ist keine Verschlüsselung definiert. L2TP ist ein Proposed Standard nach IETF (RFC 2661). Im "Proposed Standard" RFC 3193 ("Securing L2TP using IPsec") ist eine Methode beschrieben, um L2TP und IPsec zu kombinieren und L2TP dadurch mit der fehlenden Verschlüsselung zu versehen. IPSEC: IPsec steht für IP Security Protocol. Als Erweiterung/ Ergänzungvon/ zu IP ist es ein Layer-3-Tunneling-Protokoll. IPsec war ursprünglich für IP Version 6 geplant (RFCs 1825, 1826, 1827, 1828 und 1829), ist heute jedoch (auch) vollständig für IPv4 standardisiert. Es erlaubt (derzeit) jedoch nur die Verschlüsselung von IP-Paketen, überträgt keine Multicasts und unterstützt - bewusst! - nur statisches Routing. IPsec wird in den RFCs 2401 bis 2412 beschrieben, die die o.g. RFCs abgelöst haben. Alle RFCs haben den Status Proposed Standard. Die Datenintegrität und die Authentisierung des Datenursprungs wird mittels des Authentication Headers (AH) erreicht. Der AH-Header schützt die Daten und einige Header-Teile des zu übertragenden IP-Pakets vor Verfälschung. Dazu wird mittels bekannter Hash-Funktionen wie MD-5 (Message Digest) oder SHA-1 (Secure Hashing Algorithmus) eine Prüfsumme aus der IP-Payload gebildet und im AH-Header an den Empfänger übertragen. Nur wenn dieser dieselbe Prüfsumme aus dem empfangenen Paket errechnet ist sichergestellt, dass die Nachricht während der Übertragung nicht verändert wurde und auch nur von dem Absender stammen kann, da nur dieser den geheimen Schlüssel für das gewählte Authentisierungsverfahren kennt. Während es für SHA-1 Berichte über (theoretische) Security-Schwächen gibt, gilt MD-5 als in jeder Beziehung unangreifbar. Dieser Vorteil wird jedoch - wie so oft - über eine deutlich geringere Geschwindigkeit erkauft. Die Verschlüsselung der Daten (Encapsulating Security Payload - ESP) erfolgt mit einem beliebigen Schlüssel (z.B. Triple-DES, AES). Da IPsec einerseits ein Höchstmaß an Sicherheit bietet und andererseits der Bedarf, neben IP auch andere Protokolle (wie IPX, NetBUI) zu tunneln abnimmt, wird es die o.g. Layer-2-Protokolle langfristig als VPN-Standard-Protokoll ablösen. Weiteres bei Tante Google ...... :wink2: Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 8. Februar 2006 Melden Teilen Geschrieben 8. Februar 2006 Hast du das alles grade selber runter getippt? Ich zweifle. Bitte dann bei solchen Sachen die Quelle angeben, wir wollen uns hier im Board nicht der Urherberechtsverletzung o.ä. schuldig machen ;) Danke grizzly999 Zitieren Link zu diesem Kommentar
XP-Fan 220 Geschrieben 8. Februar 2006 Melden Teilen Geschrieben 8. Februar 2006 @grizzly999 natürlich ..nicht. Ich habe wie du berechtigt anmerkst aber die Quelle vergessen und reiche diese nach. Der von mir aufgeführte Text stammt aus einem Beitrag, welcher auf http://www.tcp-ip-info.de/glossar/glossar_p.htm zu finden ist. P.S. Gelobe Besserung :) Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 9. Februar 2006 Melden Teilen Geschrieben 9. Februar 2006 Hallo XP-Fan, Während es für SHA-1 Berichte über (theoretische) Security-Schwächen gibt, gilt MD-5 als in jeder Beziehung unangreifbar. Dieser Vorteil wird jedoch - wie so oft - über eine deutlich geringere Geschwindigkeit erkauft. Das wär mir neu. Deine Quelle behauptet dies jedenfalls nicht: http://www.tcp-ip-info.de/security/hash.htmDie beiden wichtigsten Algorithmen sind MD5 (Message Digest Algorithm 5 – vgl. RFC1321) und SHA-1 (Secure Hash Algorithm). MD5 gilt als schnell, aber (theoretisch) unsicher/ angreifbar. MD5CRK versucht, diese Schwäche praktisch nachzuweisen! . Für SHA-1 sind im Moment keine Schwächen bekannt! Allerdings ist diese Quelle ohnehin nicht mehr aktuell: Diese Seite wurde am 15.5.2004 erstellt,der letzte Update fand statt am 23.1.2005 siehe http://www.heise.de/security/news/meldung/56428 http://www.heise.de/security/artikel/56555/0 Gruß Steffen Zitieren Link zu diesem Kommentar
jubba 10 Geschrieben 9. Februar 2006 Autor Melden Teilen Geschrieben 9. Februar 2006 Hi, erstmal Danke für die Antworten. Jetzt versuche ich natürlich mit den Infos meine Fragen zu beantworten. 1.) Wie sicher ist das, was ich mache? - Es ist sicher, weil du eine MSCHAPv2 128 bit verschlüßelung benutzt! 2.)Ist L2TP/IPSEC sicherer als PPTP? -Ja, weil IPSEC verschlüßelung sicherer ist und ein Zertifikat intsalliert wird! 3.)Wo sind die Vor- und Nachteile von PPTP gegenüber L2TP/IPSEC? -Vorteil von PPTP: leichtere Einrichtung des Servers und des Clients! -Nachteil von PPTP: Verschlüßelung! Könnt ihr dem zustimmen oder habe ich das falsch verstanden! mfg JUBBA Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 9. Februar 2006 Melden Teilen Geschrieben 9. Februar 2006 Einigermaßen ja. Auf den Punkt gebracht: PPTP ist weniger aufwendig einzurichten, Firewalls (und NAT) stellen kein Problem dar), und meist ausreichend sicher. Die Sicherheit von PPTP hängt in entscheidendem Maße von der Länge und Komplexität des benutzten Kennworts ab, das ist die Schwachstelle bei dem Ganzen. (Könnet dir wenn du willst das Paper dazu vom Sec-Papst Bruce Schneier raussuchen) L2TP/IPSec ist deutlich aufwendiger einzurichten und zu warten, aber bietet bei sachgemäßem Umgang mit Zertifikaten sehr hohe Sicherheit (entsprechende Schlüsselstärke und -Algorithmus vorausgesetzt). Aufweniger auch das Einrichten für Firewalls und bei Einsatz von NAT-Geräten (Stcihwort NAT-T). grizzly999 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.