radimobil
Goto Top

VPN PPTP Sicher? (DI-804 HV)

Privates Netzwerk mit 1 Server und 3 Clients

Hallo zusammen,

ich habe vor kurzem eine VPN-Verbindung über meinen Router eingerichet
(D-Link DI 804 HV).
Das ganze funktioniert wunderbar über den Routereigenen PPTP-Server.

Wenn ich nun einen Portscann mache zeigt es mir den Port 1723 VPN als offen an.
Ich denke das ist normal ?!?

Meine Frage nun: Ist dieses Verfahren sicher oder bestehen erhebliche Sicherheitslücken?

Im Vorraus vielen Dank für eure Antworten.

Content-ID: 54963

Url: https://administrator.de/contentid/54963

Ausgedruckt am: 21.11.2024 um 23:11 Uhr

Dani
Dani 24.03.2007 um 22:28:49 Uhr
Goto Top
G' Abend,
dieser Port wird für PPTP nun mal gebraucht. Sicher ist immer so eine Definition. *gg*
Also höheren Sicherheitsstandard würde L2TP mit IPSec mit sich bringen.

Hier ein kl. Zitat:
Zur Vergößerung der Sicherheit im verwendeten Tunnels wird dieser von PPTP (Point-to-
Point-Tunneling Protocol) auf einen L2TP (Layer-Two Tunneling Protocol) umgestellt. 
Mit L2TP ist es erst möglich innerhalb der Verbindung IPSec zu tunneln. Diese Möglichkeit ist
im PPTP nicht gegeben. PPTP verschlüsselt die Pakete nach einem RC4 Verfahren mit 40, 56
oder 128 Bit (welches wir eingestellt hatten), aber hat keine Integritätsprüfung der Pakete
implemetiert und kann nicht zusammen mit IPSec verwendet werden. 
Quelle: http://www.gruppenrichtlinien.de

Hier noch ein Hinweis für WindowsXP mit SP2:
.... der von einer Änderung von IPSec bei Windows XP mit SP2 über NAT-T und Problemen
 damit berichtet... schau Dir das mal an
http://support.microsoft.com/default.aspx?scid=kb;en-us;885348
Funktioniert wunderbar!! Muss auch am Server umgestellt werden danach den
Routingdienst neustarten.

L2TP benötigt folgende Ports: UDP 1701, UDP 500, UDP 5500, UDP 4500


Grüße
Dani
radimobil
radimobil 24.03.2007 um 22:36:03 Uhr
Goto Top
Hallo Dani,

vielen Dank für die schnelle Antwort!
Ratest du mir dringend auf L2TP umzustellen oder kann ich
es unter PPTP weiter laufen lassen?

Ich bin ein ganz normaler Privat-Anwender, es sind also keine
hochsensibele Daten auf dem System gespeichert.

Grüße
radimobil
Dani
Dani 25.03.2007 um 00:25:22 Uhr
Goto Top
In diesem Fall würde ich nicht umstellen. Nur sicherstellen, dass die Kennwört nicht zu einfach sind!


Grüße
Dani
Ickmus
Ickmus 25.03.2007 um 00:53:06 Uhr
Goto Top
Hallo,

Meine Frage nun: Ist dieses Verfahren
sicher oder bestehen erhebliche
Sicherheitslücken?

PPTP ist schon seit 2001 nicht mehr sicher:
http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/195 ...

Versuch lieber IPSEC...

Karsten
spacyfreak
spacyfreak 25.03.2007 um 08:22:47 Uhr
Goto Top
PPTP ist für den genannten Einsatzzweck mehr als ausreichend - doch das Passwort sollte möglichst komplex und lang sein. Knacken kann man alles - die Frage ist nur mit welchem Aufwand und wie lange es dauert den Schlüssel zu knacken. PPTP hat eine kleine Designschwäche, diese auszunutzen ist aber recht schwierig - und würde auch in keinem Verhältnis zum "Ertrag" (sensible Daten, die Geld bringen könnten) stehen.

Ein Hacker der es echt auf DEIN Netz abgesehen hat würde garnicht den Tunnel knacken wollen - viel leichter wäre es dir emails mit keylogger-anhang zu senden, und wenn du den installierst, hat er dein passwort. Da wärest du bei Einsatz von IPSEC auch nicht davor geschützt.
Der Weg des leichtesten Widerstandes ist meist der effektivste.

Der CIA oder NSA könnte wohl deinen PPTP Tunnel knacken, oder paar chinesische Studenten, die grade nichts besseres zu tun haben. Aber auch nur unter bestimmten Umständen, die recht unwahrscheinlich sind.
Ickmus
Ickmus 25.03.2007 um 12:08:18 Uhr
Goto Top
Rehallo,

dieser artikel ist nur das was ich auf die schnelle gefunden habe.
Es gab mal einen Artikel in der CT der besagte, dass man wenn man die ersten beiden Pakete der PPTP Kommunikation mitschneidet daraus das Passwort errechnen kann.
Und damals hat das ein Student mit einem 8 Zeichen Passwort und einem Celeron800 in etwas über 12 Stunden gemacht. Heute mit 3GHz DualCore Rechnern, preiswerten Clustern lässt sich das eheblich verkürzen.
Es geht aber auch noch einfacher:
http://www.securityfocus.com/tools/5

Ausserdem empfiehlt das Bundesamt für Sicherheit in der Informationstechnik ausdrücklich PPTP nicht zu verwenden:
http://www.bsi.de/fachthem/sinet/loesungen_transport/VPN.pdf

Karsten
Dani
Dani 25.03.2007 um 12:25:39 Uhr
Goto Top
G' Morgen,
also ich schließe mich "einfach-mal-die-klappe-halten" an. Wie schon gesagt, wenn einer eindringen möchte, gibt es vorher noch andere Möglichkeiten. Es ist auch immer noch eine Frage, wie gut der Router konfiguriert ist bzw. was das Gerät kann!
Von dem her, würde ich bei PPTP bleiben. Angriffspunkte findet ein guter Hacker immer. Und da der Benutzer nichts macht, was nicht für die Öffentlichkeit gedacht ist (Daten, E-Mails) würde der Aufwand sich nicht lohnen. Des weiteren muss der Router erstmal L2TP können. Das ist bei Billig-Routern selten der Fall!!!


Grüße
Dani
spacyfreak
spacyfreak 25.03.2007 um 14:25:35 Uhr
Goto Top
Yo - ich kenne die Knacktools recht gut.

Wie gesagt KANN man alles knacken.
Cain wird für nen komplexen Hash auf nem aktuellen Heim-Rechner jedoch paar Jahre brauchen.

Es gibt Firmen, die finden sogar RDP Zugriff aufs Intranet ok - alles ne Frage der paranoia.
Dort wird auch regelmässig kontrolliert, von wo wer zugegriffen hat, und die letzten jahre gab es meines Wissens keinen Einbruchsversuch, obwohl RDP ne verhältnismässig schwache Verschlüsselung benutzt.

Das Email-Anhang klicken oder surfen mit Adminrechten auf zwielichten Webseiten bringt viel mehr Risiko als PPTP zu verwenden.
Ickmus
Ickmus 25.03.2007 um 14:29:21 Uhr
Goto Top
Hacker immer. Und da der Benutzer nichts
macht, was nicht für die
Öffentlichkeit gedacht ist (Daten,
E-Mails) würde der Aufwand sich nicht
lohnen. Des weiteren muss der Router erstmal
Wozu dann VPN??

L2TP können. Das ist bei Billig-Routern
selten der Fall!!!
Der Router kann IPSec (lt. http://www.dlink.de/?go=gNTyP9CgrdFOIC4AStFCF834mptYKO9ZTdvhLPG3yV3oV4F ... ). Das ist erheblich sicherer als PPTP.
Wenn VPN, dann lieber sicher, antelle nur so einer halbgaren Lösung.

Karsten
radimobil
radimobil 25.03.2007 um 14:34:22 Uhr
Goto Top
Hallo zusammen und vielen Dank für die
zahlreichen Beiträge!

Mein Router kann IPSec! Auf dem Router den LP2TP einzurichten ist
auch kein Problem.
Schwierigkeiten gibt es nur bei der Einwahl. Was mache ich falsch? Ich gehe genau so vor wie bei PPTP
Er fragt nach einem Sicherheitszertifikat oder so...?!?

Grüße
radimobil
spacyfreak
spacyfreak 25.03.2007 um 17:58:25 Uhr
Goto Top
IPSEC braucht ein zertifikat, oder ein PSK.
spacyfreak
spacyfreak 25.03.2007 um 17:58:41 Uhr
Goto Top
IPSEC braucht ein zertifikat, oder ein PSK.
radimobil
radimobil 25.03.2007 um 18:08:53 Uhr
Goto Top
ok, wie muß ich vorgehen?
spacyfreak
spacyfreak 25.03.2007 um 19:23:52 Uhr
Goto Top
Das erklärt dir am besten der, der dir zu IPSEC geraten hat. face-wink
Aber klar - wenn das Gerät schon IPSEC kann, dann kann man auch IPSEC verwenden - falls man es zum Laufen kriegt.

Wenn es NUR mit Zertifikat geht, musst du eine CA (Zertifizierungsstelle) aufsetzen und dir ein Zertfikat ausstellen. Oder du kaufst ein Zertifikat bei Verisign für paar hundert Euro.
Oder ein Blick in die Anleitung könnte nicht schaden, falls PSK auch funktioniert - doch ein PSK ist auch nix anderes als ein Passwort übrigens. face-wink

Ferner braucht IPSEC mehrere Ports (je nachdem wie das D-Link macht Ports 50, 51, 500, 4500, 10000). Ob du von ÜBERALL den IPSEC Tunnel aufbauen können wirst hängt also davon ab, ob DORT wo du dich aufhälst diese Port freigeschaltet sind.
PPTP braucht meines Wissens nur Port 1723 und ist wahrscheinlich einfacher zu konfigurieren.
Hatte ich erwähnt, dass du für IPSEC auch einen passenden VPN Ipsec Client brauchst?
PPTP kann Windows von Haus aus.