10
Shrew VPN Client im Jahre 2019 und der DSGVO
Moin zusammen,
im Zusammenhang der DSGVO kam zur Sprache, wie es um die Sicherheit des Shrew VPN Client steht.
Hintergrund ist, dass dieser seit 2013 nicht weiterentwickelt wird, bzw., es keine Updates mehr gibt.
Und da ist nun die Frage, ob dieser noch bedenkenlos eingesetzt werden kann...
Beim Recherchieren findet man zu dem Thema leider überhaupt nichts, weder positiv noch negativ.
Habe also nichts zu bekannt gewordenen Schwachstellen oder Sicherheitslücken gefunden.
Wie seht Ihr das Ganze?
Setzt von Euch jemand den Shrew im geschäftlichem Umfeld noch ein?
Ist es vielleicht sogar schon grob fahrlässig, eine so lang, nicht aktualisierte, "Sicherheitssoftware" einzusetzen?
Viele Grüße
im Zusammenhang der DSGVO kam zur Sprache, wie es um die Sicherheit des Shrew VPN Client steht.
Hintergrund ist, dass dieser seit 2013 nicht weiterentwickelt wird, bzw., es keine Updates mehr gibt.
Und da ist nun die Frage, ob dieser noch bedenkenlos eingesetzt werden kann...
Beim Recherchieren findet man zu dem Thema leider überhaupt nichts, weder positiv noch negativ.
Habe also nichts zu bekannt gewordenen Schwachstellen oder Sicherheitslücken gefunden.
Wie seht Ihr das Ganze?
Setzt von Euch jemand den Shrew im geschäftlichem Umfeld noch ein?
Ist es vielleicht sogar schon grob fahrlässig, eine so lang, nicht aktualisierte, "Sicherheitssoftware" einzusetzen?
Viele Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 427426
Url: https://administrator.de/contentid/427426
Printed on: April 26, 2024 at 18:04 o'clock
10 Comments
Latest comment
Moin,
der Client baut eine IPSEC Verbindung nach den gebräuchlichen Standards auf. Solang sich die nicht ändern bzw. als unsicher gelten, ist mEn kein Update notwendig.
Wenn dir der (kostenlose!) Client zu alt ist, musst du dir eben einen neuen, vermeintlich sichereren kaufen
lg,
Slainte
der Client baut eine IPSEC Verbindung nach den gebräuchlichen Standards auf. Solang sich die nicht ändern bzw. als unsicher gelten, ist mEn kein Update notwendig.
Wenn dir der (kostenlose!) Client zu alt ist, musst du dir eben einen neuen, vermeintlich sichereren kaufen
lg,
Slainte
oder ein exploit bekannt wird,
ist mEn kein Update notwendig.
lks
Hallo,
Gruß,
Peter
Zitat von @Cramit:
im Zusammenhang der DSGVO kam zur Sprache, wie es um die Sicherheit des Shrew VPN Client steht.
Was hat jetzt der VPN Client mit DSGVO zu tun? Erkläre das mal. Wenn die Verbunden (VPN) Gerätschaften und Software die DSGVO erfüllen...im Zusammenhang der DSGVO kam zur Sprache, wie es um die Sicherheit des Shrew VPN Client steht.
Gruß,
Peter
ob dieser noch bedenkenlos eingesetzt werden kann...
Ja, kann er. Was sollte daran denn auch nicht konform sein, denn er nutzt IKEv1 was millionenfach genutzt wird und einem weltweiten Standard entspricht.Der Grund das er nicht aktiv weiter entwickelt wird ist wohl der Tatsache geschuldet das das IPsec Protokoll mit IKEv1 schlicht ausentwickelt ist. Superbenzin an der Tankstelle ist auch seit 30 Jahren nicht weiterentwickelt worden...
Abgesehen davon haben heutzutage so gut wie alle am Markt befindlichen Betriebssysteme und mobile Endgeräte einen IPsec VPN Client von sich aus gleich mit an Bord. Da ist es schlicht und einfach völlig überflüssig noch zusätzliche Software zu installieren.
Guckst du hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Es stellt sich zu Recht oben auch die Frage was ein VPN Client mit der DSGVO zu tun hat. Rein gar nichts.....
1
Super, ich danke euch, das leuchtet ein.
Das stimmt, allerdings ist die Verteilung der Konfiguration super einfach, export, import - zum Glück, super schnell gemacht.
So im ersten Moment natürlich nichts. Aber wenn es im allgemeinen um die Bewertung der Netzwerksicherheit geht, kommt dann halt doch die Frage, ungeachtet dessen, was ihr jetzt schon geschrieben habt, ob dann halt nicht doch Schwachstellen vorhanden sind.
Die Erklärung und das Beispiel von aqui finde ich aber sehr passend und treffend, von daher, vielen Dank an alle!
Abgesehen davon haben heutzutage so gut wie alle am Markt befindlichen Betriebssysteme und mobile Endgeräte einen IPsec VPN Client von sich aus gleich mit an Bord. Da ist es schlicht und einfach völlig überflüssig noch zusätzliche Software zu installieren.
Das stimmt, allerdings ist die Verteilung der Konfiguration super einfach, export, import - zum Glück, super schnell gemacht.
Es stellt sich zu Recht oben auch die Frage was ein VPN Client mit der DSGVO zu tun hat. Rein gar nichts.....
So im ersten Moment natürlich nichts. Aber wenn es im allgemeinen um die Bewertung der Netzwerksicherheit geht, kommt dann halt doch die Frage, ungeachtet dessen, was ihr jetzt schon geschrieben habt, ob dann halt nicht doch Schwachstellen vorhanden sind.
Die Erklärung und das Beispiel von aqui finde ich aber sehr passend und treffend, von daher, vielen Dank an alle!
die Verteilung der Konfiguration super einfach, export, import - zum Glück, super schnell gemacht.
Ist bei allen onboad Clients auch so. Speziell Winblows und Linux, da ist es eine simple Power Shell Text Datei. Cut and Paste...fertisch !um die Bewertung der Netzwerksicherheit geht, kommt dann halt doch die Frage
Nein, denn WO sollten deiner Meinung nach Schwachstellen sein ??DU als derjenige der es verantwortlich einrichtest bestimmst doch wie sicher es ist. Wenn du mindestens AES256 mit SHA256 oder höher als Verschlüsselung verwendest gilt es derzeit als absolut sicher.
Die DSGVO kann kein menschliches Versagen regeln wenn jemand aus Unkenntniss DES oder 3DES mit MD5 verwendet ober eben die Firewall nicht richtig absichert.
Da helfen dann keine noch so tollen Gesetze und Vorschriften mehr.
Moin,
irgendwie lustig das jetzt überall "DSGVO" reingeworfen wird - hauptsache man hat was reingestellt... Auch deine Netzwerksicherheit hat erst mal so nicht viel damit zu tun. Solang du eben keine "schützenswerten Daten" darin hast ist das erst mal egal. Stell dir mal vor es würde ein "per definition" unsicheres Netzwerk geben (nennen wir es mal "Internet"). Alle Seiten unverschlüsselt, das meiste in Plain-Text übertragen. Darfst du in Zeiten von DSGVO noch das Internet nutzen? Hmm.... Eher nicht, also - husch, raus hier!
Deine DSGVO kommt erst ins Spiel wenn es um schützenswerte Daten geht. Das ist aber ja deinem VPN-Client egal ob du da jetzt grad die Baupläne für deinen Nuklearsprengkopf überträgst oder nur nen Porno von zuhause lädst. Der sagt ja nicht "och, die Daten sind recht egal, die lasse ich mal nur nen bisserl verschlüsselt.... aber das andere Paket ist geheim, das verschlüssele ich mal mehr".
irgendwie lustig das jetzt überall "DSGVO" reingeworfen wird - hauptsache man hat was reingestellt... Auch deine Netzwerksicherheit hat erst mal so nicht viel damit zu tun. Solang du eben keine "schützenswerten Daten" darin hast ist das erst mal egal. Stell dir mal vor es würde ein "per definition" unsicheres Netzwerk geben (nennen wir es mal "Internet"). Alle Seiten unverschlüsselt, das meiste in Plain-Text übertragen. Darfst du in Zeiten von DSGVO noch das Internet nutzen? Hmm.... Eher nicht, also - husch, raus hier!
Deine DSGVO kommt erst ins Spiel wenn es um schützenswerte Daten geht. Das ist aber ja deinem VPN-Client egal ob du da jetzt grad die Baupläne für deinen Nuklearsprengkopf überträgst oder nur nen Porno von zuhause lädst. Der sagt ja nicht "och, die Daten sind recht egal, die lasse ich mal nur nen bisserl verschlüsselt.... aber das andere Paket ist geheim, das verschlüssele ich mal mehr".
1
Die Frage ist schon berechtigt und auch im Hinblick auf DSGVO sinnvoll.
Mit einem VPN wird im Regelfall der Zugang zu Daten geschützt und man sollte davon ausgehen das diese Daten regelmässig schützenswert sind.
Man ist gut beraten wenn man sich davon überzeugt das die gewählten Sicherheitsmaßnahmen auch in einer Art und Weise umgesetzt wurden die als sicher gelten kann.
Ich denke nicht das man jetzt unbedingt Penetrationstests durchführen muss, aber wenn es allgemein bekannt ist das das gewählte Protokoll UND/ODER die Implementierung Schwachstellen haben, dann ist man in der Pflicht den Schutz nachzubessern.
Daher ist die Frage nachvollziehbar.
Ein plumpes Beispiel zur Veranschaulichung:
Wenn man Daten mit einem Kennwort gesichert hat ist erstmal alles gut.
Aber sobald man Kenntnis darüber hat, dass das Kennwort am Schwarzen Brett aushängt und man keine Maßnahmen wie z.B. Kennwortänderung trifft, handelt man grob fahrlässig.
Mit einem VPN wird im Regelfall der Zugang zu Daten geschützt und man sollte davon ausgehen das diese Daten regelmässig schützenswert sind.
Man ist gut beraten wenn man sich davon überzeugt das die gewählten Sicherheitsmaßnahmen auch in einer Art und Weise umgesetzt wurden die als sicher gelten kann.
Ich denke nicht das man jetzt unbedingt Penetrationstests durchführen muss, aber wenn es allgemein bekannt ist das das gewählte Protokoll UND/ODER die Implementierung Schwachstellen haben, dann ist man in der Pflicht den Schutz nachzubessern.
Daher ist die Frage nachvollziehbar.
Ein plumpes Beispiel zur Veranschaulichung:
Wenn man Daten mit einem Kennwort gesichert hat ist erstmal alles gut.
Aber sobald man Kenntnis darüber hat, dass das Kennwort am Schwarzen Brett aushängt und man keine Maßnahmen wie z.B. Kennwortänderung trifft, handelt man grob fahrlässig.
Das hat aber mit dem Thema per se nichts zu tun. Dann wäre auch IPsec mit AES512 und EllipticCurve unsicher wenn du das PSK Passwort allen verätst. In sofern hinkt dein Vergleich doch ziemlich....
So oder so sind keinerlei Problem bei IPsec AH oder ESP bekannt solange das verwendete kryptographischer Verfahren (Chiffre) sicher ist.
Und da kommt dann wieder der Mensch ins Spiel...!!
Kann der Arzt jetzt beurteilen ob AES sicherer ist als 3DES ?? Oder der FiSi im ersten Lehrjahr.
So oder so sind keinerlei Problem bei IPsec AH oder ESP bekannt solange das verwendete kryptographischer Verfahren (Chiffre) sicher ist.
Und da kommt dann wieder der Mensch ins Spiel...!!
Kann der Arzt jetzt beurteilen ob AES sicherer ist als 3DES ?? Oder der FiSi im ersten Lehrjahr.
Hier geht es doch gar nicht um das Protokoll, sondern um die Umsetzung..
Natürlich ist ein Protokoll nicht unsicher wenn ein PSK öffentlich bekannt wird.
Es gibt keine bekannten Probleme mit dem aktuellen Client, also ist er als sicher zu betrachten.
https://www.cvedetails.com/product-list/vendor_id-11164/Shrew.html
Natürlich ist ein Protokoll nicht unsicher wenn ein PSK öffentlich bekannt wird.
Es gibt keine bekannten Probleme mit dem aktuellen Client, also ist er als sicher zu betrachten.
https://www.cvedetails.com/product-list/vendor_id-11164/Shrew.html