smith67
Goto Top

Erhöhung der Sicherheit des VPN Zugriffs

Hallo Zusammen

Ich habe auf meiner pfsense einen VPN Zugang gemäss der Anleitung von aqui eingerichtet.
screenshot 2023-04-22 191200

Funktioniert soweit alles problemlos. Vielen Dank für die gute Anleitung. Ich kann von meinem Laptop mit dem und dem Handy (Samsung S20) mit den bordeigenen VPN Clients zugreifen.

Auf derpfsense habe ich eine eigene CA erstellt.
screenshot 2023-04-22 190942

Ich habe mich gefragt, ob die Sicherheit erhöhen könnte, wenn ich die Key length zum Beispiel auvh 8192 Bit erhöhen und Digest Algorithm auf SHA384 stelle.

Kann ich das einfach so machen? Was muss ich alles auf der pfsense und auf Client Seite dann anpassen?
Und erhöhe ich damit überhaupt die Sicherheit? Hat das auch etwas mit der DH Group zu tun?

Vielen Dank für Euren Feedback

Viele Grüsse René

Content-ID: 6876942404

Url: https://administrator.de/contentid/6876942404

Printed on: October 13, 2024 at 10:10 o'clock

Celiko
Celiko Apr 22, 2023 at 19:33:39 (UTC)
Goto Top
Moin,

Bzgl. Crypto sage ich nichts, bevor ich etwas falsches erzähle.

Bezüglich key length: (alles ohne Gewähr):
Key Länge beeinträchtigt wie lang der Schlüssel ist um etwas zu verschlüsselm und zu entschlüsseln. Das geht auf Kosten der CPU.
Wenn du bspw. Mit 10gbit etwas lädst muss jedes Paket verschlüsselt und entschlüsselt werden.
Sender verschlüsselt mit public key. Client entschlüsselt mit private key.

Da die Daten schnell rein und raus fließen erhöht das den workload auf der CPU.
Daher ist immer die Frage, ob sich die längere keylength mit der extra last lohnt oder nicht.

Wenn ich falsch liege gerne korrigieren!

Vg
Celiko
SeaStorm
SeaStorm Apr 22, 2023 updated at 20:26:57 (UTC)
Goto Top
Naja Sicherheit ist nicht gleich Sicherheit.

Was du mit einer größeren Schlüssellänge erreichst ist, das wenn jemand deinen Traffic aufzeichnet, er sehr viel länger braucht um deinen Key zu bruteforcen und im Nachgang den Traffic entschlüsseln zu können.
Das macht aber eh niemand.
2048 ist für den normalo OK, wer meint er braucht mehr macht halt 4k.
Mehr erhöht heute einfach nur unverhältnismäßig die CPU Last

Die akute Sicherheit der VPN ist davon erst Mal nicht betroffen, im Sinne von "Man kann sie schwerer von aussen knacken und in das Netz eindringen.


EDIT
Alles Quatsch. Geht ja nur um das CA certificate. Das wird gar nicht verwendet außer zum signieren des eigentlichen Zertifikats, das dann vom Dienst genutzt wird.

Was oben geschrieben ist gilt für die Schlüssellänge der VPN selbst, nicht für das Zertifikat. Auch das vom Dienst genutzte Zertifikat ist nur für den Handshake verantwortlich. Die VPN danach handelt neue Keys aus

Dein CA Zertifikat kannst du gerne auf 4 oder 8k stellen. Das ändert gar nichts
tech-flare
tech-flare Apr 23, 2023 at 09:06:25 (UTC)
Goto Top
Hallo,

mehr Sicherheit bekommst du u.a. Mit zusätzlichen MFA beim VPN.