Erhöhung der Sicherheit des VPN Zugriffs
Hallo Zusammen
Ich habe auf meiner pfsense einen VPN Zugang gemäss der Anleitung von aqui eingerichtet.
Funktioniert soweit alles problemlos. Vielen Dank für die gute Anleitung. Ich kann von meinem Laptop mit dem und dem Handy (Samsung S20) mit den bordeigenen VPN Clients zugreifen.
Auf derpfsense habe ich eine eigene CA erstellt.
Ich habe mich gefragt, ob die Sicherheit erhöhen könnte, wenn ich die Key length zum Beispiel auvh 8192 Bit erhöhen und Digest Algorithm auf SHA384 stelle.
Kann ich das einfach so machen? Was muss ich alles auf der pfsense und auf Client Seite dann anpassen?
Und erhöhe ich damit überhaupt die Sicherheit? Hat das auch etwas mit der DH Group zu tun?
Vielen Dank für Euren Feedback
Viele Grüsse René
Ich habe auf meiner pfsense einen VPN Zugang gemäss der Anleitung von aqui eingerichtet.
Funktioniert soweit alles problemlos. Vielen Dank für die gute Anleitung. Ich kann von meinem Laptop mit dem und dem Handy (Samsung S20) mit den bordeigenen VPN Clients zugreifen.
Auf derpfsense habe ich eine eigene CA erstellt.
Ich habe mich gefragt, ob die Sicherheit erhöhen könnte, wenn ich die Key length zum Beispiel auvh 8192 Bit erhöhen und Digest Algorithm auf SHA384 stelle.
Kann ich das einfach so machen? Was muss ich alles auf der pfsense und auf Client Seite dann anpassen?
Und erhöhe ich damit überhaupt die Sicherheit? Hat das auch etwas mit der DH Group zu tun?
Vielen Dank für Euren Feedback
Viele Grüsse René
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6876942404
Url: https://administrator.de/contentid/6876942404
Ausgedruckt am: 19.12.2024 um 10:12 Uhr
3 Kommentare
Neuester Kommentar
Moin,
Bzgl. Crypto sage ich nichts, bevor ich etwas falsches erzähle.
Bezüglich key length: (alles ohne Gewähr):
Key Länge beeinträchtigt wie lang der Schlüssel ist um etwas zu verschlüsselm und zu entschlüsseln. Das geht auf Kosten der CPU.
Wenn du bspw. Mit 10gbit etwas lädst muss jedes Paket verschlüsselt und entschlüsselt werden.
Sender verschlüsselt mit public key. Client entschlüsselt mit private key.
Da die Daten schnell rein und raus fließen erhöht das den workload auf der CPU.
Daher ist immer die Frage, ob sich die längere keylength mit der extra last lohnt oder nicht.
Wenn ich falsch liege gerne korrigieren!
Vg
Celiko
Bzgl. Crypto sage ich nichts, bevor ich etwas falsches erzähle.
Bezüglich key length: (alles ohne Gewähr):
Key Länge beeinträchtigt wie lang der Schlüssel ist um etwas zu verschlüsselm und zu entschlüsseln. Das geht auf Kosten der CPU.
Wenn du bspw. Mit 10gbit etwas lädst muss jedes Paket verschlüsselt und entschlüsselt werden.
Sender verschlüsselt mit public key. Client entschlüsselt mit private key.
Da die Daten schnell rein und raus fließen erhöht das den workload auf der CPU.
Daher ist immer die Frage, ob sich die längere keylength mit der extra last lohnt oder nicht.
Wenn ich falsch liege gerne korrigieren!
Vg
Celiko
Naja Sicherheit ist nicht gleich Sicherheit.
Was du mit einer größeren Schlüssellänge erreichst ist, das wenn jemand deinen Traffic aufzeichnet, er sehr viel länger braucht um deinen Key zu bruteforcen und im Nachgang den Traffic entschlüsseln zu können.
Das macht aber eh niemand.
2048 ist für den normalo OK, wer meint er braucht mehr macht halt 4k.
Mehr erhöht heute einfach nur unverhältnismäßig die CPU Last
Die akute Sicherheit der VPN ist davon erst Mal nicht betroffen, im Sinne von "Man kann sie schwerer von aussen knacken und in das Netz eindringen.
EDIT
Alles Quatsch. Geht ja nur um das CA certificate. Das wird gar nicht verwendet außer zum signieren des eigentlichen Zertifikats, das dann vom Dienst genutzt wird.
Was oben geschrieben ist gilt für die Schlüssellänge der VPN selbst, nicht für das Zertifikat. Auch das vom Dienst genutzte Zertifikat ist nur für den Handshake verantwortlich. Die VPN danach handelt neue Keys aus
Dein CA Zertifikat kannst du gerne auf 4 oder 8k stellen. Das ändert gar nichts
Was du mit einer größeren Schlüssellänge erreichst ist, das wenn jemand deinen Traffic aufzeichnet, er sehr viel länger braucht um deinen Key zu bruteforcen und im Nachgang den Traffic entschlüsseln zu können.
Das macht aber eh niemand.
2048 ist für den normalo OK, wer meint er braucht mehr macht halt 4k.
Mehr erhöht heute einfach nur unverhältnismäßig die CPU Last
Die akute Sicherheit der VPN ist davon erst Mal nicht betroffen, im Sinne von "Man kann sie schwerer von aussen knacken und in das Netz eindringen.
EDIT
Alles Quatsch. Geht ja nur um das CA certificate. Das wird gar nicht verwendet außer zum signieren des eigentlichen Zertifikats, das dann vom Dienst genutzt wird.
Was oben geschrieben ist gilt für die Schlüssellänge der VPN selbst, nicht für das Zertifikat. Auch das vom Dienst genutzte Zertifikat ist nur für den Handshake verantwortlich. Die VPN danach handelt neue Keys aus
Dein CA Zertifikat kannst du gerne auf 4 oder 8k stellen. Das ändert gar nichts