rodknocker
Goto Top

PPTP: noch zeitgemäß ? zu unsicher ? Alternative IPSec ?

Hallo Leute !

Ist PPTP überhaupt noch ein zeitgemässes Tunnelingprotkoll ? Vor Jahren wurde es doch recht einfach gehackt.
Was ist dran ? Ist IPSec deutlich sicherer ?

Grüße David Burkel

Content-ID: 27896

Url: https://administrator.de/contentid/27896

Ausgedruckt am: 13.11.2024 um 06:11 Uhr

Rayknox
Rayknox 10.03.2006 um 15:53:37 Uhr
Goto Top
Wir verwenden immernoch PPTP, da der Aufwand nicht so hoch ist wie bei einer IPSec Verschlüsselung.

Von der Sicherheit her gesehen würde ich sagen sind beide gleich sicher... :-?
rodknocker
rodknocker 10.03.2006 um 16:04:51 Uhr
Goto Top
Zitat:
"Beispiel PPTP:
PPTP ist ein Protokoll zum Verbinden von mehreren Netzwerken. Microsoft benutzt in ihrem PPTP-Protokoll mehrere Techniken, die kompliziert und unsicher sind. Viele dieser Fehler wurden zwar im Verlauf der Zeit behoben, das gravierendste Problem von allen haben sie aber nicht gelöst. Sie benutzen für die Verschlüsselung immer noch Passwörter, die von Benutzern generiert werden.

Da die meisten Benutzer nicht in der Lage sind ein "gutes" Passwort zu erstellen, ist das eine sehr grosse Schwachstelle, die die Sicherheit von allen miteinander verbundenen Netzwerken gefährdet"

ebenso: http://www.heise.de/newsticker/meldung/19544


Die Schlüssellänge wird anhand der Komplexität eines vom User gesetzten Passworts errechnet. Wenn jmd. natürlich nur "xyz" als Passwort wählt, kann man sich denken wie lange dieser errechnete Schlüssel ist.

Von daher ? ist es wirklich sicher ? IPSec setzt auf viel stärkere Verschlüsselungsmechanismen, hab ich in Erinnerung.
16568
16568 10.03.2006 um 20:12:36 Uhr
Goto Top
Hast Du fein zitiert face-big-smile

Die Aussage, IPSec ist sicherer als PPTP is richtig.

Trotzdem, bei sehr vielen meiner Kudnen muß ich PPTP als Verbindung nutzen, da ein VPN mit ADSL anscheinend nicht mit IPSec zu realisieren ist (wohlgemerkt, auf beiden Seiten...)

Bintec und LANCOM haben sich bei diesen Problemen schon die Zähne ausgebissen...


IPSec ist halt doch ein bissel komplizierter... face-wink


Lonesome Walker
rodknocker
rodknocker 13.03.2006 um 14:36:44 Uhr
Goto Top
du meinst wohl eher "VPN mit ADSL und dynamischer IP-Adresse" oder ? Ob die verbindung nun ADSL ist oder SDSL oder eine 2 Mbit Standleitung ist dürfte, meiner Meinung nach, recht egal sein.
Für dynamische IP-Adressen sollte man dann wohl zu DynDNS greifen, zwar nicht sehr elegant, aber umgeht halt das Problem mit der wechselnden IP-Adresse bei Disconnect.


IPSec nicht realisierbar kann ich mich ebenso nicht vorstellen, eher schwer realisierbar ;)

Vom Datensicherheitsaspekt ist IPSec wohl der bessere Lösungsansatz.
16568
16568 13.03.2006 um 15:44:43 Uhr
Goto Top
Jau, ich meine ADSL und DynDNS.

Laß Dir aber gesagt sein, empfohlen wird von allen 1 Partner mit SDSL oder zumindest statische IP. Das mit DynDNS ist einfach nur kagge... face-wink


Lonesome Walker
wscholz
wscholz 16.03.2006 um 07:17:10 Uhr
Goto Top
pptp verwendet einen 40 bzw. 128 bit rc4 schlüssel. ob das nun sicher ist oder nicht hängt halt davon ab mit welchem passwort der initiale masterkey erzeugt wurde von dem sich die session keys ableiten.

ich persönlich würde für site to site vpns immer ipsec vorziehen. schon eshalb weil sehr viele algorithmen zur verfügung stehen 3DES, AES, u.s.w . mit ike hat man ein wirklich komfortables protokoll zur schlüsselverwaltung und ob ein ipsec vpn schwieriger einzurichten ist als pptp kommt meiner ansicht nach immer darauf an was für geräte man verwendet. ich komme aus der checkpoint welt und da ist ein vpn auf ipsec basis in 5 minuten konfiguriert.

gerade besonder en vogue ist bei remote access vpn´s das thema ssl. dort wird vom client aus mittels ssl ein verschlüsselter tunnel zum unternehmen aufgebaut. der pc braucht hier in der regel noch nicht mal ein stück clientsoftware.
rodknocker
rodknocker 16.03.2006 um 09:21:48 Uhr
Goto Top
Ob man das VPN nun über einen Windows Server laufen lässt, der schon für PPTP konfiguriert ist und eigentlich nur auf IPSec umgestellt werden müsste oder über Gateway direkt ist egal, oder ?

wobei ich in erinnerung habe, dass L2TP/IPSec bei M$ nen Höhlenkonfigurationsaufwand erfordert.

SSL hört sich ja auch interessant an. Hast du dazu Links oder Lösungansätze ?

Wie gesagt, es geht mir eine Remote-Access-Verbindung
wscholz
wscholz 16.03.2006 um 09:52:24 Uhr
Goto Top
also egal ist das nicht. es kommt halt auf dein design, sicherheitsansprüche, performance u.s.w. an.

ich selber habe keine praktische erfahrung mit l2tp/pptp. ich habe bisher immer nur ipsec vpn´s verwendet. im site to site bereich gäbe es bei uns auch keine kunden die was anderes verwenden.

für das thema ssl vpn kannst du dir mal hier was anschauen:

http://www.juniper.net/products/ssl/
http://www.f5.com/
http://openvpn.net/
tizeka
tizeka 22.04.2006 um 09:14:42 Uhr
Goto Top
Ist zwar sehr spät aber ich kann auch noch etwas berichten.
Ich versuche im Rahmen eines Testprojektes PDAs mit Windows Mobile 2003 Se über L2TP/IPSec in ein Firmennetzwerk zu integrieren.

Ich hatte unter anderem mit folgenden Problemen zu kämpfen:

3 von 4 ISP welche GPRS anbieten (also D1, Eplus etc.) setzen NAT ein und man bekommt eine private IP für den Client. Wenn dann noch im Firmennetzwerk mit NAT gearbeitet wird fängt der Spaß erst richtig an! Wenn geht es überhaupt nur mit NAT-Traversal und das muss sowohl vom Client als auch vom Server unterstützt werden.

Nach mehreren Tagen kann ich nur sagen, dass PPTP mit einem sicheren Kennwort für einfache Dinge völlig ausreicht. Der Aufwand für IPSec ist imens hoch!
wscholz
wscholz 25.04.2006 um 06:42:28 Uhr
Goto Top
da hat es gut wer eine checkpoint firewall besitzt. dort gibt es nämlich mit dem secure client einen ipsec vpn client, unter anderem auch für pocket pc 2003. allerdings läuft der nur auf strongarm und pxa250 xscale applications prozessoren. wir setzen secure client schon jahrelang ein und sind mit dem produkt bis auf ein paar kleine macken sehr zufrieden.
tizeka
tizeka 25.04.2006 um 08:20:45 Uhr
Goto Top
Das kann ich bestätigen! Es gibt viele tolle Lösungen für den Bereich. Z.B. den NCP Client für Windows 2003 Mobile Se. Doch wenn man mir der vorhandenen Hardware arbeiten will ohne Neuanschaffungen trift man auf die tollsten Probleme.

Mein Router kann zwar ESP weiterleitet und auch UDP/500 aber anscheinend gibt es da noch andere Störungsfaktoren die event. auch bei ISP liegen können.