7
Wie sicher ist EAP-MSChapv2?
Hallo,
kann man guten Gewissens diesen VPN-Typ in einem privaten Netzwerk benutzen? Angenommen, die VPN-Verbindung wird allgemein selten und dann zu 90 % nur in nicht öffentlichen WLANs und zu 10 % in öffentlichen WLANs hergestellt.
Die Problematik mit den Man-in-the-middle-Angriffen ist mir bekannt. Allerdings bekomme ich OpenVPN nicht richtig konfiguriert (Routing, Firewall, was auch immer) und denke darüber nach, bei EAP-MSChapv2 zu bleiben.
Wie wahrscheinlich wäre ein (erfolgreicher) Angriff in dem geschilderten Szenario?
Vielen Dank vorab für eure Einschätzungen.
kann man guten Gewissens diesen VPN-Typ in einem privaten Netzwerk benutzen? Angenommen, die VPN-Verbindung wird allgemein selten und dann zu 90 % nur in nicht öffentlichen WLANs und zu 10 % in öffentlichen WLANs hergestellt.
Die Problematik mit den Man-in-the-middle-Angriffen ist mir bekannt. Allerdings bekomme ich OpenVPN nicht richtig konfiguriert (Routing, Firewall, was auch immer) und denke darüber nach, bei EAP-MSChapv2 zu bleiben.
Wie wahrscheinlich wäre ein (erfolgreicher) Angriff in dem geschilderten Szenario?
Vielen Dank vorab für eure Einschätzungen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 560786
Url: https://administrator.de/contentid/560786
Printed on: April 26, 2024 at 08:04 o'clock
7 Comments
Latest comment
Hallo,
bitte nicht verwechseln: EAP-MSChapv2 ist KEIN VPN-Typ (das wären SSTP, L2TP/IPsec, IKEv2, PPTP), sondern ein Authentifizierungsprotokoll: https://en.wikipedia.org/wiki/MS-CHAP
Also: welchen VPN-Typ verwendest du wirklich?
Grüße
tomolpi
bitte nicht verwechseln: EAP-MSChapv2 ist KEIN VPN-Typ (das wären SSTP, L2TP/IPsec, IKEv2, PPTP), sondern ein Authentifizierungsprotokoll: https://en.wikipedia.org/wiki/MS-CHAP
Also: welchen VPN-Typ verwendest du wirklich?
Grüße
tomolpi
Zitat von @Porfavor:
Wie wahrscheinlich wäre ein (erfolgreicher) Angriff in dem geschilderten Szenario?
Naja - ich würde sagen extrem, weil selbst Microsoft schon vor 8 Jahren davor gewarnt hat, dieses zu benutzen: https://www.heise.de/security/meldung/Microsoft-warnt-vor-PPTP-und-MS-CH ...Wie wahrscheinlich wäre ein (erfolgreicher) Angriff in dem geschilderten Szenario?
Gruß
PS:
höchst wahrscheinlich PPTP
Es wurde vor MS-CHAPv2 alleine gewarnt, die Frage war aber EAP/MS-CHAPv2, wobei es korrekt PEAP/MS-CHAPv2 heißen müsste.
Durch das PEAP wird mitgeteilt, dass die Authentifierung über einen TLS-Tunnel zwischen Client und Server läuft.
Wichtiger wäre hier der verwendete VPN-Typ, da PPTP definitiv nicht mehr verwendet werden sollte. Es können jedoch auch andere VPN-Typen mit PEAP/MS-CHAPv2 verwendet werden, u.a. auch ein IKEv2.
Durch das PEAP wird mitgeteilt, dass die Authentifierung über einen TLS-Tunnel zwischen Client und Server läuft.
Wichtiger wäre hier der verwendete VPN-Typ, da PPTP definitiv nicht mehr verwendet werden sollte. Es können jedoch auch andere VPN-Typen mit PEAP/MS-CHAPv2 verwendet werden, u.a. auch ein IKEv2.
PEAP gilt als hinreichend sicher, da es einen TLS Tunnel verwendet der derzeit als sicher gilt.
Aber wie Kollege @tomolpi oben schon richtig sagt sind die VPN Kenntnisse des TO wohl nur sehr rudimentär bis gar nicht vorhanden, denn EAP-MSChapv2 hat mit einem VPN Protokoll so viel zu tun wie ein Fisch mit einem Fahrrad.
Es dient lediglich zur Nutzer Authentisierung und nichts anderem.
Siehe auch hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
OpenVPN nutzt wenn man sicher gehen will, immer nur Zertifikate die mit EAP-MSChapv2 nix am Hut haben und es zudem gar nicht supporten.
Die entsprechenden Zertifikate generiert man mit mit dem Easy-RSA Tool was jeder OVPN Installation beigepackt ist oder nimmt das einfach XCA Tool was da ruckzuck für die Klicki Bunti Fraktion erledigt:
Siehe auch:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
https://hohnstaedt.de/xca/
Wie man daraus eine laufende OVPN Konfig bastelt steht hier:
OpenVPN - Erreiche Netzwerk hinter Client nicht
bzw.
OpenVPN einrichten um NAS zugänglich zu machen - Kein Ping
Der letztere Thread zeigt auch welche Port Forwarding und Routing Einträge bei einem internen Server zu machen sind.
Aber wie Kollege @tomolpi oben schon richtig sagt sind die VPN Kenntnisse des TO wohl nur sehr rudimentär bis gar nicht vorhanden, denn EAP-MSChapv2 hat mit einem VPN Protokoll so viel zu tun wie ein Fisch mit einem Fahrrad.
Es dient lediglich zur Nutzer Authentisierung und nichts anderem.
Siehe auch hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
OpenVPN nutzt wenn man sicher gehen will, immer nur Zertifikate die mit EAP-MSChapv2 nix am Hut haben und es zudem gar nicht supporten.
Die entsprechenden Zertifikate generiert man mit mit dem Easy-RSA Tool was jeder OVPN Installation beigepackt ist oder nimmt das einfach XCA Tool was da ruckzuck für die Klicki Bunti Fraktion erledigt:
Siehe auch:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
https://hohnstaedt.de/xca/
Wie man daraus eine laufende OVPN Konfig bastelt steht hier:
OpenVPN - Erreiche Netzwerk hinter Client nicht
bzw.
OpenVPN einrichten um NAS zugänglich zu machen - Kein Ping
Der letztere Thread zeigt auch welche Port Forwarding und Routing Einträge bei einem internen Server zu machen sind.
Ich nutze SSTP, sorry. PPTP nutze ich natürlich nicht.
OpenVPN ist bereits eingerichtet, die Verbindungsherstellung funktioniert auch, nur der Zugriff aufs LAN nicht. Daran bin ich parallel. Wenn ich aber SSTP mit (P)EAP/MSCHAPv2 ohne Sorgen nutzen kann, würde ich das eher tun wollen, weil das für mich weniger Probleme in der Konfiguration aufwirft.
Wie wäre in diesem Fall (SSTP mit (P)EAP/MSCHAPv2) die Beurteilung?