48829
Goto Top

Vergleich Sicherheit feste IP vs. dynamische IP vom ISP.

Sicherheitsaspekt feste IP- Adresse

Hallo Forum,

wir spielen mit dem Gedanken uns eine feste IP- Adresse für unseren T-DSL Business Anschluss zuweisen zu lassen.
Grund dafür ist, dass wir zwei Außenstellen über VPN an uns angebunden haben. Bisher hatten wir dafür in den Außenstellen und der Hauptzentrale Draytek Vigor Router genutzt.

Da wir unsere Hauptstelle mit einer Application Firewall besser sichern wollten haben wir seit kurzem eine GateProtect GPA400- Firewall.
http://www.gateprotect.de/gpa_400.html

Seitdem wir aber die neue Firewall im Betrieb haben gibt es jedoch immer wieder Probleme mit dem Verbindungsaufbau der IPSec (mit PSK) VPN- Verbindung.
Der Support teilte uns mit, dass dies vermutlich an den Dynamischen IP- Adressen liegt. Es ist zwar möglich darüber IPSec VPN Verbindungen aufzubauen (haben wir ja auch eine zeitlang so mit den Draytek- Router gemacht), aber es kommt dadurch halt immer wieder zu Problemen.
Gateprotect empfahl uns dann die VPN- Verbindungen mit Zertifikaten einzurichten. Die Draytek Vigor 2700 können das wohl auch. Diese haben wir auf den Außenstellen.

Der Draytek- Support empfahl uns aber, dass wir uns für die Hauptstelle eine Feste IP vom ISP zuweisen lassen sollen. Das würde dann ausreichen, wenn die VPN- Verbindung zu den Außenstellen von Hauptstelle aus aufgebaut wird.

Außerdem hat es den Vorteil, dass es sicherer ist. So wie ich das verstanden habe, reagiert der VPN- Server dann nicht mehr alle Anfragen.
Ein Angreife könnte zum Beispiel mit einem IKE- Scanner herausfinden, hinter welche IP- Adresse ein VPN- Server sitzt. Somit ist ja schon mal der erste Schritt für den Angreifer gemacht.

Meine Frage ist jetzt, welche Vor- und Nachteile es für die feste/ dynamische IP- Adressen gibt. Speziell bezgl. der Sicherheit.
Vielleicht hat dazu jemand auch einen Link wo man noch was nachlesen kann. Über die technischen Vorteile im Hinblick auf Webserver, FTP- Server etc. habe ich einiges gefunden. Aber nicht im Bereich der Sichereit.

Danke im Voraus!

Content-ID: 70097

Url: https://administrator.de/contentid/70097

Ausgedruckt am: 22.11.2024 um 18:11 Uhr

ElSnoopy
ElSnoopy 04.10.2007 um 09:35:39 Uhr
Goto Top
Aus meiner Sicht macht es keinen Unterschied ob Du feste oder dynamische IP verwendest.
Wenn ein potenz. angreifer Absichten hegt findet er sicher auch wieder deine neue dynamische adresse heraus.
48829
48829 04.10.2007 um 09:45:24 Uhr
Goto Top
Hallo ElSnoopy,

mich würde interessieren, wie das möglich ist. Wenn er die Dyndns- Adresse kennt ist das kein Problem. Aber wenn er sie nicht hat. Wie will er an die neue IP- Adresse kommen? Dann muss er ja schon einen Rechner kompromitiert haben, der ihm dann z.b. die aktuelle IP zuschickt.


Gibt es Möglichkeiten mit dem man IP- Adressen zu Dyndns- Adressen auflösen kann, wenn für diese IP eine Dyndns- Adresse existiert?
ElSnoopy
ElSnoopy 04.10.2007 um 09:54:38 Uhr
Goto Top
nu trauste deinem draytec router nicht.
besorgst dir ne dolle firewall gateprotect und traust der auch nicht?????

ok ich kenne keine möglichkeiten IPs in dyndns adressen aufzulösen.
Wer aber genug kriminelle Energie besitzt nach löchern in deiner Firewall zu suchen wird auch wege finden sie auch nach einem IP wechsel wieder zu finden.
aqui
aqui 04.10.2007 um 10:10:26 Uhr
Goto Top
Mmmhhh, die Argumentation von dem Firewall Hersteller ist ja etwas fadenscheinig. Wenn es vorher monatelang mit dynamischen IP Adressen fehlerfrei funktioniert hat kann es ja wohl daran nicht liegen !
Da würde ich die Stabilität des VPN Servers auf der neuen Firewall erstmal etwas auf Herz und Nieren prüfen...
Auch das Argument in puncto IKE Scanner (..wenn es denn sowas überhaupt gibt ?!) ist ja unsinning. So ein Scanner findet beim abklappern der IPs den Server ja auch mit einer festen IP genauso wie mit einer dynamischen IP. Besser noch....die dynamische IP ändert sich ja ständig, da muss man immer wieder aufs Neue suchen. Bei einer festen IP entfällt das...einmal entdeckt findet man den Server immer wieder. Das hat also eher kosmetische Gründe aber ist nie sicherheitsrelevant...

Du machst auch einen großen Denkfehler wenn du die Hauptstelle die VPN Verbindung aufbauen lässt. Das wäre ja vollkommener Unsinn wenn du dort eine feste IP hast aber weiterhin auf den Außenstellen dynmaische IPs. Du müsstest dann wieder mit Diensten wie DynDNS arbeiten um die VPN Endpoints zu finden, genau das was du ja eigentlich NICHT willst, oder !?
Richtigerweise bauen ja auch die Aussenstellen den VPN Link auf und niemals umgekehrt ! Denn DIE benötigen ja eine fixe IP Adresse für den VPN Tunnel Endpoint und nur dann macht auch eine fixe IP Adresse Sinn am Hauptstandort, damit du nicht mit DynDNS oder solchen Krücken arbeiten musst. Ausserdem machst du eine Authentifizierung des VPN Tunnels dann sinnvollerweise ja auch zentral am Hauptstandort und nicht auf kleinen Endroutern in den Außenstellen.
Andersrum, wie du es schilderst, ist der VPN Aufbau vollkommen unsinning wie du sicher zugeben musst !

Eine feste IP ist folglich genauso sicher oder unsicher wie eine dynamische ! Es ist ja auch ein Trugschluss davon auszugehen das die Sicherheit eines Unternehmensnetzes einzig und allein von der Art der IP Adresse abhängig ist. Port Scannern und Angriffsprogrammen ist es herzlich egal ob deine IP Adresse fest oder dynamisch ist, angegriffen wird alles wohinter sich was verbirgt was antwortet.
Die Sicherheit liegt also auf einen korrekt customizten (und stabil arbeitenden) Firewall niemals aber auf der IP selber. Das kann ein fataler Trugschluss sein !!!
48829
48829 04.10.2007 um 11:27:06 Uhr
Goto Top
Die Sicherheit mit dem VPN- Tunnel und der festen IP liegt wohl darin, dass in den VPN- Einstellungen die IP- Adresse fest eingetragen ist und somit der VPN- Server gar nicht mehr auf Verbindungsanfragen von anderen IP- Adressen eingeht, weil er weiß, dass nur die eine IP- Adresse dafür freigegeben ist.
Bei einer dynamischen Adresse geht das nicht. Hier muss er bei jeder Anfrage eine Antwort gesendet werden.

Der Aufbau von der Außenstelle zur Haupstelle wäre schon sinnvoller. Dann bräuchten wir aber überall feste IP`s. Aber das mit dem Dyndns ist soweit auch kein Problem.
Mit der festen IP soll wohl hier auch nur den Sinn haben, dass der Client, der die Verbindung initierirt bei IPSec seine IP- Adresse mitsendet und dadurch irgendwelche Werte berechnet werden, die dann beim VPN- Server nicht immer genau übereinstimmen.

Ich versuche das gerade selber irgendwie genau zu erarbeiten, wie der Verbindungsaufbau bei VPN mit IPSec funktioniert.


Die IKE Scanner gibt es wirklich. Habe nachdem ich davon erfahren habe auch mal danach gesucht.

http://www.google.de/search?hl=de&q=IKE+scanner&meta=
aqui
aqui 04.10.2007 um 11:41:21 Uhr
Goto Top
Normalerweise ist die Quell IP Adresse nicht relevant für einen VPN Verbindungsaufbau so das man in den Außenstellen problemlos mit dynamischen arbeiten kann. Es mag aber sein das deine FW spezifisch das abfragen oder filtern kann. Sicher macht dich das aber auch nicht.
Was hindert mich denn daran mit jedem belibigen Packet Generator im Internet Packete mit dieser Quelladresse zu senden und deine VPN FW damit anzugreifen... Da besagt also auch eine feste IP nichts.... Wie gesagt wichtig ist die richtige Einstellung der Firewall. Wenn alles über die Art der IP Adresse regelbar wäre benötigst du ja gar keine Firewall, oder ?!
Sniffer dir mal einen lokalen IPsec Verbindungsaufbau mit einem Packet Sniffer wie dem Wireshark (www.wireshark.org) da siehst du dann ganz genau wie der Verbindungsaufbau zustandekommt....