48829
04.10.2007, aktualisiert am 09.01.2009
18422
6
0
Vergleich Sicherheit feste IP vs. dynamische IP vom ISP.
Sicherheitsaspekt feste IP- Adresse
Hallo Forum,
wir spielen mit dem Gedanken uns eine feste IP- Adresse für unseren T-DSL Business Anschluss zuweisen zu lassen.
Grund dafür ist, dass wir zwei Außenstellen über VPN an uns angebunden haben. Bisher hatten wir dafür in den Außenstellen und der Hauptzentrale Draytek Vigor Router genutzt.
Da wir unsere Hauptstelle mit einer Application Firewall besser sichern wollten haben wir seit kurzem eine GateProtect GPA400- Firewall.
http://www.gateprotect.de/gpa_400.html
Seitdem wir aber die neue Firewall im Betrieb haben gibt es jedoch immer wieder Probleme mit dem Verbindungsaufbau der IPSec (mit PSK) VPN- Verbindung.
Der Support teilte uns mit, dass dies vermutlich an den Dynamischen IP- Adressen liegt. Es ist zwar möglich darüber IPSec VPN Verbindungen aufzubauen (haben wir ja auch eine zeitlang so mit den Draytek- Router gemacht), aber es kommt dadurch halt immer wieder zu Problemen.
Gateprotect empfahl uns dann die VPN- Verbindungen mit Zertifikaten einzurichten. Die Draytek Vigor 2700 können das wohl auch. Diese haben wir auf den Außenstellen.
Der Draytek- Support empfahl uns aber, dass wir uns für die Hauptstelle eine Feste IP vom ISP zuweisen lassen sollen. Das würde dann ausreichen, wenn die VPN- Verbindung zu den Außenstellen von Hauptstelle aus aufgebaut wird.
Außerdem hat es den Vorteil, dass es sicherer ist. So wie ich das verstanden habe, reagiert der VPN- Server dann nicht mehr alle Anfragen.
Ein Angreife könnte zum Beispiel mit einem IKE- Scanner herausfinden, hinter welche IP- Adresse ein VPN- Server sitzt. Somit ist ja schon mal der erste Schritt für den Angreifer gemacht.
Meine Frage ist jetzt, welche Vor- und Nachteile es für die feste/ dynamische IP- Adressen gibt. Speziell bezgl. der Sicherheit.
Vielleicht hat dazu jemand auch einen Link wo man noch was nachlesen kann. Über die technischen Vorteile im Hinblick auf Webserver, FTP- Server etc. habe ich einiges gefunden. Aber nicht im Bereich der Sichereit.
Danke im Voraus!
Hallo Forum,
wir spielen mit dem Gedanken uns eine feste IP- Adresse für unseren T-DSL Business Anschluss zuweisen zu lassen.
Grund dafür ist, dass wir zwei Außenstellen über VPN an uns angebunden haben. Bisher hatten wir dafür in den Außenstellen und der Hauptzentrale Draytek Vigor Router genutzt.
Da wir unsere Hauptstelle mit einer Application Firewall besser sichern wollten haben wir seit kurzem eine GateProtect GPA400- Firewall.
http://www.gateprotect.de/gpa_400.html
Seitdem wir aber die neue Firewall im Betrieb haben gibt es jedoch immer wieder Probleme mit dem Verbindungsaufbau der IPSec (mit PSK) VPN- Verbindung.
Der Support teilte uns mit, dass dies vermutlich an den Dynamischen IP- Adressen liegt. Es ist zwar möglich darüber IPSec VPN Verbindungen aufzubauen (haben wir ja auch eine zeitlang so mit den Draytek- Router gemacht), aber es kommt dadurch halt immer wieder zu Problemen.
Gateprotect empfahl uns dann die VPN- Verbindungen mit Zertifikaten einzurichten. Die Draytek Vigor 2700 können das wohl auch. Diese haben wir auf den Außenstellen.
Der Draytek- Support empfahl uns aber, dass wir uns für die Hauptstelle eine Feste IP vom ISP zuweisen lassen sollen. Das würde dann ausreichen, wenn die VPN- Verbindung zu den Außenstellen von Hauptstelle aus aufgebaut wird.
Außerdem hat es den Vorteil, dass es sicherer ist. So wie ich das verstanden habe, reagiert der VPN- Server dann nicht mehr alle Anfragen.
Ein Angreife könnte zum Beispiel mit einem IKE- Scanner herausfinden, hinter welche IP- Adresse ein VPN- Server sitzt. Somit ist ja schon mal der erste Schritt für den Angreifer gemacht.
Meine Frage ist jetzt, welche Vor- und Nachteile es für die feste/ dynamische IP- Adressen gibt. Speziell bezgl. der Sicherheit.
Vielleicht hat dazu jemand auch einen Link wo man noch was nachlesen kann. Über die technischen Vorteile im Hinblick auf Webserver, FTP- Server etc. habe ich einiges gefunden. Aber nicht im Bereich der Sichereit.
Danke im Voraus!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 70097
Url: https://administrator.de/contentid/70097
Ausgedruckt am: 05.11.2024 um 19:11 Uhr
6 Kommentare
Neuester Kommentar
nu trauste deinem draytec router nicht.
besorgst dir ne dolle firewall gateprotect und traust der auch nicht?????
ok ich kenne keine möglichkeiten IPs in dyndns adressen aufzulösen.
Wer aber genug kriminelle Energie besitzt nach löchern in deiner Firewall zu suchen wird auch wege finden sie auch nach einem IP wechsel wieder zu finden.
besorgst dir ne dolle firewall gateprotect und traust der auch nicht?????
ok ich kenne keine möglichkeiten IPs in dyndns adressen aufzulösen.
Wer aber genug kriminelle Energie besitzt nach löchern in deiner Firewall zu suchen wird auch wege finden sie auch nach einem IP wechsel wieder zu finden.
Mmmhhh, die Argumentation von dem Firewall Hersteller ist ja etwas fadenscheinig. Wenn es vorher monatelang mit dynamischen IP Adressen fehlerfrei funktioniert hat kann es ja wohl daran nicht liegen !
Da würde ich die Stabilität des VPN Servers auf der neuen Firewall erstmal etwas auf Herz und Nieren prüfen...
Auch das Argument in puncto IKE Scanner (..wenn es denn sowas überhaupt gibt ?!) ist ja unsinning. So ein Scanner findet beim abklappern der IPs den Server ja auch mit einer festen IP genauso wie mit einer dynamischen IP. Besser noch....die dynamische IP ändert sich ja ständig, da muss man immer wieder aufs Neue suchen. Bei einer festen IP entfällt das...einmal entdeckt findet man den Server immer wieder. Das hat also eher kosmetische Gründe aber ist nie sicherheitsrelevant...
Du machst auch einen großen Denkfehler wenn du die Hauptstelle die VPN Verbindung aufbauen lässt. Das wäre ja vollkommener Unsinn wenn du dort eine feste IP hast aber weiterhin auf den Außenstellen dynmaische IPs. Du müsstest dann wieder mit Diensten wie DynDNS arbeiten um die VPN Endpoints zu finden, genau das was du ja eigentlich NICHT willst, oder !?
Richtigerweise bauen ja auch die Aussenstellen den VPN Link auf und niemals umgekehrt ! Denn DIE benötigen ja eine fixe IP Adresse für den VPN Tunnel Endpoint und nur dann macht auch eine fixe IP Adresse Sinn am Hauptstandort, damit du nicht mit DynDNS oder solchen Krücken arbeiten musst. Ausserdem machst du eine Authentifizierung des VPN Tunnels dann sinnvollerweise ja auch zentral am Hauptstandort und nicht auf kleinen Endroutern in den Außenstellen.
Andersrum, wie du es schilderst, ist der VPN Aufbau vollkommen unsinning wie du sicher zugeben musst !
Eine feste IP ist folglich genauso sicher oder unsicher wie eine dynamische ! Es ist ja auch ein Trugschluss davon auszugehen das die Sicherheit eines Unternehmensnetzes einzig und allein von der Art der IP Adresse abhängig ist. Port Scannern und Angriffsprogrammen ist es herzlich egal ob deine IP Adresse fest oder dynamisch ist, angegriffen wird alles wohinter sich was verbirgt was antwortet.
Die Sicherheit liegt also auf einen korrekt customizten (und stabil arbeitenden) Firewall niemals aber auf der IP selber. Das kann ein fataler Trugschluss sein !!!
Da würde ich die Stabilität des VPN Servers auf der neuen Firewall erstmal etwas auf Herz und Nieren prüfen...
Auch das Argument in puncto IKE Scanner (..wenn es denn sowas überhaupt gibt ?!) ist ja unsinning. So ein Scanner findet beim abklappern der IPs den Server ja auch mit einer festen IP genauso wie mit einer dynamischen IP. Besser noch....die dynamische IP ändert sich ja ständig, da muss man immer wieder aufs Neue suchen. Bei einer festen IP entfällt das...einmal entdeckt findet man den Server immer wieder. Das hat also eher kosmetische Gründe aber ist nie sicherheitsrelevant...
Du machst auch einen großen Denkfehler wenn du die Hauptstelle die VPN Verbindung aufbauen lässt. Das wäre ja vollkommener Unsinn wenn du dort eine feste IP hast aber weiterhin auf den Außenstellen dynmaische IPs. Du müsstest dann wieder mit Diensten wie DynDNS arbeiten um die VPN Endpoints zu finden, genau das was du ja eigentlich NICHT willst, oder !?
Richtigerweise bauen ja auch die Aussenstellen den VPN Link auf und niemals umgekehrt ! Denn DIE benötigen ja eine fixe IP Adresse für den VPN Tunnel Endpoint und nur dann macht auch eine fixe IP Adresse Sinn am Hauptstandort, damit du nicht mit DynDNS oder solchen Krücken arbeiten musst. Ausserdem machst du eine Authentifizierung des VPN Tunnels dann sinnvollerweise ja auch zentral am Hauptstandort und nicht auf kleinen Endroutern in den Außenstellen.
Andersrum, wie du es schilderst, ist der VPN Aufbau vollkommen unsinning wie du sicher zugeben musst !
Eine feste IP ist folglich genauso sicher oder unsicher wie eine dynamische ! Es ist ja auch ein Trugschluss davon auszugehen das die Sicherheit eines Unternehmensnetzes einzig und allein von der Art der IP Adresse abhängig ist. Port Scannern und Angriffsprogrammen ist es herzlich egal ob deine IP Adresse fest oder dynamisch ist, angegriffen wird alles wohinter sich was verbirgt was antwortet.
Die Sicherheit liegt also auf einen korrekt customizten (und stabil arbeitenden) Firewall niemals aber auf der IP selber. Das kann ein fataler Trugschluss sein !!!
Normalerweise ist die Quell IP Adresse nicht relevant für einen VPN Verbindungsaufbau so das man in den Außenstellen problemlos mit dynamischen arbeiten kann. Es mag aber sein das deine FW spezifisch das abfragen oder filtern kann. Sicher macht dich das aber auch nicht.
Was hindert mich denn daran mit jedem belibigen Packet Generator im Internet Packete mit dieser Quelladresse zu senden und deine VPN FW damit anzugreifen... Da besagt also auch eine feste IP nichts.... Wie gesagt wichtig ist die richtige Einstellung der Firewall. Wenn alles über die Art der IP Adresse regelbar wäre benötigst du ja gar keine Firewall, oder ?!
Sniffer dir mal einen lokalen IPsec Verbindungsaufbau mit einem Packet Sniffer wie dem Wireshark (www.wireshark.org) da siehst du dann ganz genau wie der Verbindungsaufbau zustandekommt....
Was hindert mich denn daran mit jedem belibigen Packet Generator im Internet Packete mit dieser Quelladresse zu senden und deine VPN FW damit anzugreifen... Da besagt also auch eine feste IP nichts.... Wie gesagt wichtig ist die richtige Einstellung der Firewall. Wenn alles über die Art der IP Adresse regelbar wäre benötigst du ja gar keine Firewall, oder ?!
Sniffer dir mal einen lokalen IPsec Verbindungsaufbau mit einem Packet Sniffer wie dem Wireshark (www.wireshark.org) da siehst du dann ganz genau wie der Verbindungsaufbau zustandekommt....