IPSec VPN, welche Verschlüsselunge - welchen Hash?
Hallo zusammen,
ich habe schon einiges recherchiert, aber mir ist es nun noch nicht ganz klar, auf welche
Konfiguration ich setzen soll.
Es geht darum eine VPN Verbindung von Zuhause / unterwegs ins Büro aufzubauen, um dann per RDP auf dem Terminalserver zu arbeiten. Als VPN Firewall / Router haben wir eine ZyWALL USG 300.
Was ich bis jetzt aus meinen Recherchen als Fazit ziehen kann, auch durch Threads hier im forum ist mein aktueller Kenntnisstand so:
DES - veraltet und nicht mehr sicher, nur aus Kompatibilitätsgründen vorhanden.
3DES - 3x DES, also als Ersatz für das DES
AES - Nachfolger von DES?
AES 128/192/256 Bit
AES ist wohl nicht so schnell wie 3DES aber sicherer durch die Bitlänge?
3DES hat dann wohl 3 x 56Bit (DES) = 168 Bitlänge.
Somit wäre 3DES sicherer als AES 128 aber weniger sicher ab AES 192.
Kann ich davon so ausgehen?
Dann ist die Frage, nehme ich hier 3DES oder AES 192 oder sogar 256.
Wenn ich das richtig verstehe, kommt es einfach darauf an, wie schnell man sich im Tunnel bewegen will?
Gibt es da einen spürbaren Unterschied?
Und dann die gleiche Frage bei dem Hash.
MD5 oder SHA.
Spielt hier auch nur die Bitlänge die entscheidene Rolle?
Je sicherer desto weniger performance?
Vielen Dank für Eure Unterstützung
ich habe schon einiges recherchiert, aber mir ist es nun noch nicht ganz klar, auf welche
Konfiguration ich setzen soll.
Es geht darum eine VPN Verbindung von Zuhause / unterwegs ins Büro aufzubauen, um dann per RDP auf dem Terminalserver zu arbeiten. Als VPN Firewall / Router haben wir eine ZyWALL USG 300.
Was ich bis jetzt aus meinen Recherchen als Fazit ziehen kann, auch durch Threads hier im forum ist mein aktueller Kenntnisstand so:
DES - veraltet und nicht mehr sicher, nur aus Kompatibilitätsgründen vorhanden.
3DES - 3x DES, also als Ersatz für das DES
AES - Nachfolger von DES?
AES 128/192/256 Bit
AES ist wohl nicht so schnell wie 3DES aber sicherer durch die Bitlänge?
3DES hat dann wohl 3 x 56Bit (DES) = 168 Bitlänge.
Somit wäre 3DES sicherer als AES 128 aber weniger sicher ab AES 192.
Kann ich davon so ausgehen?
Dann ist die Frage, nehme ich hier 3DES oder AES 192 oder sogar 256.
Wenn ich das richtig verstehe, kommt es einfach darauf an, wie schnell man sich im Tunnel bewegen will?
Gibt es da einen spürbaren Unterschied?
Und dann die gleiche Frage bei dem Hash.
MD5 oder SHA.
Spielt hier auch nur die Bitlänge die entscheidene Rolle?
Je sicherer desto weniger performance?
Vielen Dank für Eure Unterstützung
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 220907
Url: https://administrator.de/contentid/220907
Ausgedruckt am: 24.11.2024 um 19:11 Uhr
3 Kommentare
Neuester Kommentar
3DES hat dann wohl 3 x 56Bit (DES) = 168 Bitlänge.
Das stimmt nicht, bei 3DES wird einfach dreimal hintereinander mit 56 Bit verschlüsselt. Ich würde zu AES256 raten. Den Durchsatz für die unterschiedlichen Varianten kannst Du ja testen oder evtl. auch vom Hersteller nachlesen (wenns denn dann stimmt). afaik ist sha sicherer, da kann ich mich aber auch täuschen.
Welche VPN Varianten werden von dem Gerät denn sonst noch unterstützt? Evtl. wäre SSL basiertes VPN eine Alternative, Stichwort Aggressive Mode bei IPSec im Road Warrior Szenario?
Hallo,
DES ist nicht nur wegen der Schlüssellänge unsicher, sondern auch weil sich durch eine Schwäche im Algorithmus die Schlüsselanzahl halbiert.
AES gilt hingegen als relativ sicher, wenn die Performance nicht zu sehr leidet sind 256 die beste Wahl. Die Performance dürfte nicht groß leiden, laut Zyxel werden bei AES 130Mbps erreicht, selbst mit AES 256 dürften dann Minimum noch 60Mbps drin sein.
So lange es nur um eine Terminalsession geht macht das aber nicht so viel aus, da ja RDP auch noch mal verschlüsselt ist...
Gruß
win-dozer
DES ist nicht nur wegen der Schlüssellänge unsicher, sondern auch weil sich durch eine Schwäche im Algorithmus die Schlüsselanzahl halbiert.
AES gilt hingegen als relativ sicher, wenn die Performance nicht zu sehr leidet sind 256 die beste Wahl. Die Performance dürfte nicht groß leiden, laut Zyxel werden bei AES 130Mbps erreicht, selbst mit AES 256 dürften dann Minimum noch 60Mbps drin sein.
So lange es nur um eine Terminalsession geht macht das aber nicht so viel aus, da ja RDP auch noch mal verschlüsselt ist...
Gruß
win-dozer
Diese Forumstutorials hast du gelesen ??
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
und für die Praxis:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Dort werden alle deine Fragen beantwortet.
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
und für die Praxis:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Dort werden alle deine Fragen beantwortet.