Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Vergleich Sicherheit feste IP vs. dynamische IP vom ISP.

Mitglied: 48829

48829 (Level 1)

04.10.2007, aktualisiert 09.01.2009, 15119 Aufrufe, 6 Kommentare

Sicherheitsaspekt feste IP- Adresse

Hallo Forum,

wir spielen mit dem Gedanken uns eine feste IP- Adresse für unseren T-DSL Business Anschluss zuweisen zu lassen.
Grund dafür ist, dass wir zwei Außenstellen über VPN an uns angebunden haben. Bisher hatten wir dafür in den Außenstellen und der Hauptzentrale Draytek Vigor Router genutzt.

Da wir unsere Hauptstelle mit einer Application Firewall besser sichern wollten haben wir seit kurzem eine GateProtect GPA400- Firewall.
http://www.gateprotect.de/gpa_400.html

Seitdem wir aber die neue Firewall im Betrieb haben gibt es jedoch immer wieder Probleme mit dem Verbindungsaufbau der IPSec (mit PSK) VPN- Verbindung.
Der Support teilte uns mit, dass dies vermutlich an den Dynamischen IP- Adressen liegt. Es ist zwar möglich darüber IPSec VPN Verbindungen aufzubauen (haben wir ja auch eine zeitlang so mit den Draytek- Router gemacht), aber es kommt dadurch halt immer wieder zu Problemen.
Gateprotect empfahl uns dann die VPN- Verbindungen mit Zertifikaten einzurichten. Die Draytek Vigor 2700 können das wohl auch. Diese haben wir auf den Außenstellen.

Der Draytek- Support empfahl uns aber, dass wir uns für die Hauptstelle eine Feste IP vom ISP zuweisen lassen sollen. Das würde dann ausreichen, wenn die VPN- Verbindung zu den Außenstellen von Hauptstelle aus aufgebaut wird.

Außerdem hat es den Vorteil, dass es sicherer ist. So wie ich das verstanden habe, reagiert der VPN- Server dann nicht mehr alle Anfragen.
Ein Angreife könnte zum Beispiel mit einem IKE- Scanner herausfinden, hinter welche IP- Adresse ein VPN- Server sitzt. Somit ist ja schon mal der erste Schritt für den Angreifer gemacht.

Meine Frage ist jetzt, welche Vor- und Nachteile es für die feste/ dynamische IP- Adressen gibt. Speziell bezgl. der Sicherheit.
Vielleicht hat dazu jemand auch einen Link wo man noch was nachlesen kann. Über die technischen Vorteile im Hinblick auf Webserver, FTP- Server etc. habe ich einiges gefunden. Aber nicht im Bereich der Sichereit.

Danke im Voraus!
Mitglied: ElSnoopy
04.10.2007 um 09:35 Uhr
Aus meiner Sicht macht es keinen Unterschied ob Du feste oder dynamische IP verwendest.
Wenn ein potenz. angreifer Absichten hegt findet er sicher auch wieder deine neue dynamische adresse heraus.
Bitte warten ..
Mitglied: 48829
04.10.2007 um 09:45 Uhr
Hallo ElSnoopy,

mich würde interessieren, wie das möglich ist. Wenn er die Dyndns- Adresse kennt ist das kein Problem. Aber wenn er sie nicht hat. Wie will er an die neue IP- Adresse kommen? Dann muss er ja schon einen Rechner kompromitiert haben, der ihm dann z.b. die aktuelle IP zuschickt.


Gibt es Möglichkeiten mit dem man IP- Adressen zu Dyndns- Adressen auflösen kann, wenn für diese IP eine Dyndns- Adresse existiert?
Bitte warten ..
Mitglied: ElSnoopy
04.10.2007 um 09:54 Uhr
nu trauste deinem draytec router nicht.
besorgst dir ne dolle firewall gateprotect und traust der auch nicht?????

ok ich kenne keine möglichkeiten IPs in dyndns adressen aufzulösen.
Wer aber genug kriminelle Energie besitzt nach löchern in deiner Firewall zu suchen wird auch wege finden sie auch nach einem IP wechsel wieder zu finden.
Bitte warten ..
Mitglied: aqui
04.10.2007 um 10:10 Uhr
Mmmhhh, die Argumentation von dem Firewall Hersteller ist ja etwas fadenscheinig. Wenn es vorher monatelang mit dynamischen IP Adressen fehlerfrei funktioniert hat kann es ja wohl daran nicht liegen !
Da würde ich die Stabilität des VPN Servers auf der neuen Firewall erstmal etwas auf Herz und Nieren prüfen...
Auch das Argument in puncto IKE Scanner (..wenn es denn sowas überhaupt gibt ?!) ist ja unsinning. So ein Scanner findet beim abklappern der IPs den Server ja auch mit einer festen IP genauso wie mit einer dynamischen IP. Besser noch....die dynamische IP ändert sich ja ständig, da muss man immer wieder aufs Neue suchen. Bei einer festen IP entfällt das...einmal entdeckt findet man den Server immer wieder. Das hat also eher kosmetische Gründe aber ist nie sicherheitsrelevant...

Du machst auch einen großen Denkfehler wenn du die Hauptstelle die VPN Verbindung aufbauen lässt. Das wäre ja vollkommener Unsinn wenn du dort eine feste IP hast aber weiterhin auf den Außenstellen dynmaische IPs. Du müsstest dann wieder mit Diensten wie DynDNS arbeiten um die VPN Endpoints zu finden, genau das was du ja eigentlich NICHT willst, oder !?
Richtigerweise bauen ja auch die Aussenstellen den VPN Link auf und niemals umgekehrt ! Denn DIE benötigen ja eine fixe IP Adresse für den VPN Tunnel Endpoint und nur dann macht auch eine fixe IP Adresse Sinn am Hauptstandort, damit du nicht mit DynDNS oder solchen Krücken arbeiten musst. Ausserdem machst du eine Authentifizierung des VPN Tunnels dann sinnvollerweise ja auch zentral am Hauptstandort und nicht auf kleinen Endroutern in den Außenstellen.
Andersrum, wie du es schilderst, ist der VPN Aufbau vollkommen unsinning wie du sicher zugeben musst !

Eine feste IP ist folglich genauso sicher oder unsicher wie eine dynamische ! Es ist ja auch ein Trugschluss davon auszugehen das die Sicherheit eines Unternehmensnetzes einzig und allein von der Art der IP Adresse abhängig ist. Port Scannern und Angriffsprogrammen ist es herzlich egal ob deine IP Adresse fest oder dynamisch ist, angegriffen wird alles wohinter sich was verbirgt was antwortet.
Die Sicherheit liegt also auf einen korrekt customizten (und stabil arbeitenden) Firewall niemals aber auf der IP selber. Das kann ein fataler Trugschluss sein !!!
Bitte warten ..
Mitglied: 48829
04.10.2007 um 11:27 Uhr
Die Sicherheit mit dem VPN- Tunnel und der festen IP liegt wohl darin, dass in den VPN- Einstellungen die IP- Adresse fest eingetragen ist und somit der VPN- Server gar nicht mehr auf Verbindungsanfragen von anderen IP- Adressen eingeht, weil er weiß, dass nur die eine IP- Adresse dafür freigegeben ist.
Bei einer dynamischen Adresse geht das nicht. Hier muss er bei jeder Anfrage eine Antwort gesendet werden.

Der Aufbau von der Außenstelle zur Haupstelle wäre schon sinnvoller. Dann bräuchten wir aber überall feste IP`s. Aber das mit dem Dyndns ist soweit auch kein Problem.
Mit der festen IP soll wohl hier auch nur den Sinn haben, dass der Client, der die Verbindung initierirt bei IPSec seine IP- Adresse mitsendet und dadurch irgendwelche Werte berechnet werden, die dann beim VPN- Server nicht immer genau übereinstimmen.

Ich versuche das gerade selber irgendwie genau zu erarbeiten, wie der Verbindungsaufbau bei VPN mit IPSec funktioniert.





Die IKE Scanner gibt es wirklich. Habe nachdem ich davon erfahren habe auch mal danach gesucht.

http://www.google.de/search?hl=de&q=IKE+scanner&meta=
Bitte warten ..
Mitglied: aqui
04.10.2007 um 11:41 Uhr
Normalerweise ist die Quell IP Adresse nicht relevant für einen VPN Verbindungsaufbau so das man in den Außenstellen problemlos mit dynamischen arbeiten kann. Es mag aber sein das deine FW spezifisch das abfragen oder filtern kann. Sicher macht dich das aber auch nicht.
Was hindert mich denn daran mit jedem belibigen Packet Generator im Internet Packete mit dieser Quelladresse zu senden und deine VPN FW damit anzugreifen... Da besagt also auch eine feste IP nichts.... Wie gesagt wichtig ist die richtige Einstellung der Firewall. Wenn alles über die Art der IP Adresse regelbar wäre benötigst du ja gar keine Firewall, oder ?!
Sniffer dir mal einen lokalen IPsec Verbindungsaufbau mit einem Packet Sniffer wie dem Wireshark (www.wireshark.org) da siehst du dann ganz genau wie der Verbindungsaufbau zustandekommt....
Bitte warten ..
Ähnliche Inhalte
Windows 7

Sicherheit: Administratorrechte vs. Benutzerrechte

Frage von Achimxyz4Windows 76 Kommentare

Ich benutze Windows 7 64 pro und habe ein einziges Konto (abgesehen vom deaktivierten "Administrator"- und Gast-Konto), was natürlich ...

Router & Routing

Vergleich Mikrotik RB2011UiAS vs RB750Gr3, hEX - welcher besser ?

gelöst Frage von schmiroRouter & Routing7 Kommentare

Hallo Kollegen, ich habe in den letzten Wochen - nach anfänglichen Schwierigkeiten - grossen Gefallen an den Mikrotik Routern ...

Router & Routing

Fortigate Routing auf andere IP im ISP Subnetz

gelöst Frage von plexxusRouter & Routing1 Kommentar

Hallo, ich habe eine Fortigate und vom Anbieter ein /29er Subnetz bekommen. ich hab auf wan1 das komplette netz ...

Router & Routing

Gateway ISP

gelöst Frage von MickiRouter & Routing3 Kommentare

Ich habe heute folgendes festgestellt: Konfiguration auf meinem Router nach Zuweisung der IP durch den ISP: Status: Connected ...

Neue Wissensbeiträge
iOS
WatchChat für Whatsapp
Tipp von Criemo vor 1 TagiOS3 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor !!!
Tipp von Criemo vor 2 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Off Topic
Avengers 4: Endgame - Erster Trailer
Information von Frank vor 4 TagenOff Topic2 Kommentare

Ich weiß es ist Off Topic, aber ich freue mich auf diesen Film und vielleicht geht es anderen hier ...

Webbrowser
Microsoft bestätigt Edge mit Chromium-Kern
Information von Frank vor 4 TagenWebbrowser5 Kommentare

Microsoft hat nun in seinem Blog bestätigt, dass die nächste Edge Version kein EdgeHTML mehr für die Darstellung benutzen ...

Heiß diskutierte Inhalte
Windows Netzwerk
Kerio. Kann keine Mails empfangen aber senden. Wer ist schuld. Kerio oder Windows domäne?
gelöst Frage von frosch2Windows Netzwerk33 Kommentare

Hallo, es existiert ein Problem bei uns mit dem mailen. Alle bestehenden Nutzer können mailen. Raus wie rein. Neuen ...

LAN, WAN, Wireless
WLAN und Ausmessung - Eine Glaubensfrage?
Frage von ptr2brainLAN, WAN, Wireless23 Kommentare

Liebe Experten, als Sys-Admin habe ich mir schon öfter die Frage gestellt, ob es sich beim Thema WLAN und ...

Hosting & Housing
VMware VM mit über 1TB RAM für S4HANA
Frage von Leo-leHosting & Housing22 Kommentare

Hallo zusammen, wer hat Erfahrng und kann mir einen Tipp zum sizing von S4HANA Systemen geben? Wir möchten, zunächst ...

Virtualisierung
Gebrauchte Server Hardware als Virtualisierungs-"Spielwiese"?
Frage von NixVerstehenVirtualisierung19 Kommentare

Einen wunderschönen guten Morgen zusammen, ich möchte mich gerne etwas tiefer mit dem Thema Virtualisierung beschäftigen und dazu ein ...