wsammy
Goto Top

VPN - Remote

Sicherheitsunterschied bei WinXP, VPN immer ein Tunnel?

Hallo

Nach einem exrem langen Thread und anschliessendem Verlust, versuche ich mich auf wenige wesentliche Unklarheiten zu beschränken.

Was ist der Sicherheitsunterschied zwischen einer einfachen VPN Einrichtung (WinXP) mit der Weiterleitung von Port 1723 und danach einer Remote-Verbindung (WinXP) UND einer direkten Remote Verbindung (zusätzliche Öffnung Port 3389)?

Ist es nur die zustäzliche Öffnung des Ports?

Denn bei beiden Varianten hat man vollen Zugriff mit der Öffentlichen IP (bzw. Domain, über dyndns) und des Benutzernamen und Passwort.

Zudem ist mir nicht klar, was der Unterschied ist zwischen einem einfachen VPN (WinXP) ohne jegliche Verschlüsselung und den weiteren VPN Möglichkeiten. Router-Router, Firewall-Firewall, Verschlüssel durch IPsec.

Warum müssen die Daten überhaupt verschlüsselt werden, wenn ein Tunnel besteht? (Bzw. Besteht überhaupt immer ein Tunnel bei VPN?)

Gibt es primär zwei Verschiedene VPN-Sicherheitsebenen:
1. Direkte Verbindung (Router-Router, oder WinXP Einrichtung)
2. Verhsclüsselung der Dateien

Mein Ziel ist es, dass ich von zu Hause und dem Studiumplatz (zwei verschiedene Router) auf den Geschäftsserver zugreifen kann und mit einer Workstation im Geschäft (über Remote) arbeiten kann.

Zudem wäre es noch besser, wenn eine Verbindung auch zwischen zu Hause und dem Studiumplatz besteht.

Besten Dank für eure Infos!

Content-ID: 81405

Url: https://administrator.de/forum/vpn-remote-81405.html

Ausgedruckt am: 25.12.2024 um 07:12 Uhr

Arch-Stanton
Arch-Stanton 22.02.2008 um 13:59:50 Uhr
Goto Top
Moin,
VPN ist immer verschlüsselt und einen direkten Zugriff in ein LAN per rdp, nur mit Portweiterleitung, sollte man tunlichst vermeiden.

Gruß,
Arch Stanton
51705
51705 22.02.2008 um 21:41:07 Uhr
Goto Top
Moin,
VPN ist immer verschlüsselt und einen
direkten Zugriff in ein LAN per rdp, nur mit
Portweiterleitung, sollte man tunlichst
vermeiden.

Gruß,
Arch Stanton

Nicht per Definition (selbst IPSec kann ohne Verschlüsselung arbeiten, privat ist das dann zugegeben nicht mehr). RDP kann auch selbst verschlüsseln, und in entsprechenden Szenarios (aber auch nur dann) ist das mit dem Portforwarding durchaus sinnvoll.

Grüße, Steffen
wsammy
wsammy 22.02.2008 um 22:56:02 Uhr
Goto Top
1. Was mir nicht klar ist, wenn ich eine VPN Verbindung über XP einrichte, ist die Sicherheit "nur" über ein Passwort gewährleistet? (Im Nachhinein, frage ich mich, wie soll die Sicherheit noch gewährleistet werden, ausser mit einem Passwort... face-smile) Aber ist es auch wirklich so? 1. Passwort? 2. Verschlüsselung?

1b. Nochmals.. wieso braucht es eine Verschlüsselung, wenn Tunnels vorhanden sind?

2. Was ist der Unterschied zwischen folgenden Einstellungen:
A. WinXP VPN Server <-> WinXP VPN Client (habe ich heute eingerichtet als Test)

B. Zudem haben wir folgende VPN Einrichtung:
- IPSec Client (zu Hause) <-> Geschäft ?? Irgendwie läuft der VPN Server auf der Firewall kann das sein ? (dann hätte ich schon wieder etwas begriffen face-smile)

3. Was mir jetzt nicht ganz klar ist, ob eine XP VPN Verbindung reicht oder ob ich IPsec benutzen sollte.

4. Zudem ist mir nicht klar, ob ich richtig informiert bin, dass es möglich ist, eine direkte VPN Verbindung
zw. PC's,
zw. Routern bzw. Firewalls
zw. PC und Routern bzw. Firewalls
herzustellen.

Besten Dank für eure Hilfe!
Arch-Stanton
Arch-Stanton 23.02.2008 um 12:19:46 Uhr
Goto Top
He, He,

ich denke, Deine Fragen schießen ein wenig über das Ziel hinaus. Was Du hier erwartest, ist ein Grundkurs in Sachen Vernetzung und VPN. Da mußt Du ein wenig nach Grundlagenartikeln suchen, vielleicht auch bei Microsoft.

Gruß,
Arch Stanton
wsammy
wsammy 23.02.2008 um 12:33:44 Uhr
Goto Top
Wenn ich auf auf meine Fragen bzw. "falschen Feststellungen" nur eine grobe Antwort bekomme, würde mir das schon sehr viel helfen ! Sonst weiss ich schon gar nicht wo anzufangen/weiterzufahren.

Aber du hast recht, ich weiss natürlich auch, dass diese Fragen grundsätzlich mit Grund-Know-How zu tun haben.

Gruss
Sammy
aqui
aqui 23.02.2008 um 12:36:36 Uhr
Goto Top
@wsammy

1. Was mir nicht klar ist, wenn ich eine VPN Verbindung über XP einrichte, ist die Sicherheit "nur" über ein Passwort gewährleistet? (Im Nachhinein, frage ich mich, wie soll die Sicherheit noch gewährleistet werden, ausser mit einem Passwort... face-smile) Aber ist es auch wirklich so? 1. Passwort? 2. Verschlüsselung?...

A.: Du pauschalisierst hier ziemlich !! VPN ist sehr unterschiedlich, denn es gibt mehrere verschiedene VPN Protokolle als da sind: IPsecAH, IPsecESP, PPTP, L2TP, SSL, SSH und alle haben unterschiedliche Verschlüsselungs und Übertragungsmechanismen. Eigentlich müsstest du dein Verfahren spezifizieren was du aber nicht machst face-sad , deshalb hat Arch Recht, sollte man dir alles erklären ist das ein Grundkurs in VPNs.....
Klar wenn du ein Passwort ala Pre shared Keys verwendest hängt die gesamte Sicherheit an deinem Passwort, das ist klar.
Das ist auch ein Grund warum Profis sowas mit Zertifikaten erledigen und niemals mit PSKs !

1b. Nochmals.. wieso braucht es eine Verschlüsselung, wenn Tunnels vorhanden sind?...

A.: Etwas zu tunneln bedeutet ja per se noch lange nicht etwas auch zu verschlüsseln ! Du kannst z.B. IP in IP tunneln mit einem GRE Tunnel. Nativ ist das nicht verschlüsselt. Snifferst du sowas mit dem Wireshark mit, ist es ein Leichtes an die Daten zu kommen, da sie ja wie bereits gesagt nicht verschlüsselt sind !!

2. Was ist der Unterschied zwischen folgenden Einstellungen:
A. WinXP VPN Server <-> WinXP VPN Client (habe ich heute eingerichtet als Test)

B. - IPSec Client (zu Hause) <-> Geschäft ??


A.: Da ist gar kein Unterschied nur das du vermutlich 2 unterschiedliche VPN Protokolle und Verfahren benutzt: A benutzt PPTP und B benutzt sehr wahrscheinlich IPsec ESP.
Das Ergebnis ist das gleiche nur das die Daten über 2 unterschiedliche Arten von VPN Protokollen übertragen werden. IPsec gilt gemeinhin als sicherer als PPTP.

3. Was mir jetzt nicht ganz klar ist, ob eine XP VPN Verbindung reicht oder ob ich IPsec benutzen sollte.

A.: Wie oben bemerkt gilt IPsec als sicherer als PPTP (XP Bordmittel). Der Rest ist abhängig von deinem eigenen Bauchgefühl !!

4. Zudem ist mir nicht klar, ob ich richtig informiert bin, dass es möglich ist, eine direkte VPN Verbindung
zw. PC's,

Ungünstige technische Lösung , es sei denn es ist eine Point to Point Verbindung und nicht mehr..

zw. Routern bzw. Firewalls
Technisch immer die beste VPN Lösung, da so Netze direkt verbunden werden ohne an Servern oder Endgeräten rumfrickeln zu müssen. NAT Probleme an Routern (Port Forwarding) entfallen ebenfalls.

zw. PC und Routern bzw. Firewalls
Technisch auch das Beste wenn man remote Mitarbeiter anbinden muss, denn auch hier handelt die FW oder Router das VPN geschäft ab direkt ohne das ein Server oder PC permanent glühen muss (Kosten) und das man sich mit NAT Problematiken (Adress translation) auf Routern abplagen muss !
wsammy
wsammy 23.02.2008 um 13:06:42 Uhr
Goto Top
Besten Dank aqui !

A.: Du pauschalisierst hier ziemlich !! VPN ist sehr unterschiedlich, denn es gibt mehrere verschiedene VPN Protokolle als da sind: IPsecAH, IPsecESP, PPTP, L2TP, SSL, SSH und alle haben unterschiedliche Verschlüsselungs und Übertragungsmechanismen. Eigentlich müsstest du dein Verfahren spezifizieren was du aber nicht machst , deshalb hat Arch Recht, sollte man dir alles erklären ist das ein Grundkurs in VPNs.....
Klar wenn du ein Passwort ala Pre shared Keys verwendest hängt die gesamte Sicherheit an deinem Passwort, das ist klar.
Das ist auch ein Grund warum Profis sowas mit Zertifikaten erledigen und niemals mit PSKs !


Ich stelle fest, dass es kompliziert geht (für Profis einfach face-smile) oder relativ einfach (für mich schon ein Erfolg)

Wenn ich die VPN Verbindung mit WinXP erstelle (Server + Client) sprich über ein PPTP Protokoll, dann ist dies zwar verschlüsselt aber es hängt von nur einem Passwort ab. Welche Möglichkeiten gibt es die Sicherheit zu erhöhen bei der WinXP Variante ? Oder muss ich da generell eine andere Variante wählen?

Wie schon erwähnt dient im Geschäft, so wie es scheint, die Firewall als VPN-Server. Ich muss beim Client nur PSsec Dial Client installieren und einige Einstellungen vornehmen. Aber auch da braucht es nur ein Pre Shared Key (Passwort) und ich frage mich, warum soll diese Verbindung sicherer sein als die einfache von WinXP. (Vermutlich weil die Firewall als VPN-Server dient, aber nehmen wir mal an, dass der PC direkt als Server dient. (Wie bei der 1sten Variante)
- IPsec soll allg. sicherer sein als PPTP (ist die Verschlüsselung sicherer? oder was gilt als sicherer)
- sonst noch ein Unterschied?

4. Zudem ist mir nicht klar, ob ich richtig informiert bin, dass es möglich ist, eine direkte VPN Verbindung
zw. PC's,
Ungünstige technische Lösung , es sei denn es ist eine Point to Point Verbindung und nicht mehr..


1. Warum genau ist diese Lösung ungünstig ?
- Sicherheit - (da z.B. die Ports geöffnet werden müssen)
- Kosten - PC permanent glühen
- Aufwand - "NAT Problematiken"


2. Ist das eine Site - to - End Anwendung?
3. Sind alle angegebenen Varaitnen Site - to-End Anwendungen ? (PC-PC, Router-Router, PC-Router?)


Besten Dank !

Noch nebenbei:
Gibt es eine Lösung, welche Garantiert, dass ein Remote zugriff jederzeit möglich ist. Z.B. zwischen zwei Personen welche in den Ferien sind und keinen Zugriff auf den Router, oder sonst was haben?
aqui
aqui 23.02.2008 um 16:12:56 Uhr
Goto Top
Welche Möglichkeiten gibt es die Sicherheit zu erhöhen bei der WinXP Variante ? ....

A.: Das man statt Passwörtern Zertifikate verwendet. Am VPN Verfahren (PPTP) selber kannst du nichts ändern, da dies festgeschrieben ist.

...ich frage mich, warum soll diese Verbindung sicherer sein als die einfache von WinXP..

A.: Auf PPTP hat es einige erfolgreiche Angriffe gegeben so das PPTP nicht mehr als hinreichend sicher gilt. Allerdings geschah das mit einem erheblichen Aufwand den Privatpersonen niemals betreiben können. Deshalb kann man PPTP gemeinhin für nicht allzu wichtige VPN Verbindungen problemlos nutzen zumal MS beim Passwort tausch im Protokoll nachgelegt hat in puncto Sicherheit.
IPsec hat aber einen erheblich sichereren Verschlüsselungsalgorhytmus auf den derzeit keine Attacken bekannt sind, gilt somit also als sicherer.

Zu 4.1.) Ja, genau ! Alle diese Punkte spielen eine Rolle zumal gute VPN Router wie z.B. die von DRAYTEK nicht viel mehr kosten als normale aber erheblich flexibler sind was den VPN Protokollsupport anbetrifft. Das sie die Stromkosten z.B. eines MS Servers in ein paar Monaten wieder einspielen liegt auf der Hand !

Zu 4.2.) Ja, richtig meist wird dieses Szenario nur genutzt wenn man eine Standort zu Standort (also LAN zu LAN) Kopplung realisiert !
VPN Router supporten aber nebenbei natürlich auch noch die VPN Anbindung von remoten Usern.

Zu 4.3.) Mehr oder weniger ja, denn sie verwenden ja alle das selbe Protokoll. Für einen VPN Server spielt es mehr oder weniger keine Rolle ob auf der einen Seite nur ein PC ist oder ein anderer Router oder FW mit einem LAN dahinter. Das Durchtunneln von Packeten durch einen Cryptotunnel ist immer das gleiche Verfahren !

Hier mal ein Beispiel wie das an einem Linksys Consumer Router funktioniert:
wsammy
wsammy 23.02.2008 um 17:04:11 Uhr
Goto Top
Vielen Dank für die Erklärungen, Richtigstellungen und natürlich deine Zeit !

Gibt es eine Lösung, welche Garantiert, dass ein Remote zugriff jederzeit möglich ist. Z.B. zwischen zwei Personen welche in den Ferien sind und keinen Zugriff auf den Router, oder sonst was haben? Also z.B. mit UltraVNC, oder so? (Muss nicht wirklich sicher sein)
wsammy
wsammy 23.02.2008 um 23:43:48 Uhr
Goto Top
Ich habe noch eine vermutlich dumme Frage... aber irgendwie ist mir etwas nicht klar..

ohne das ein Server oder PC permanent glühen muss (Kosten)

Was bringt die Verbindung, wenn kein Server oder PC "glüht" ?
aqui
aqui 25.02.2008 um 00:20:56 Uhr
Goto Top
Dumme Fragen gibts nicht, nur dumme Antworten.... face-wink
Die Aussage eines gluehenden Servers bezog sich auf die Verfuegbarkeit eines VPN Servers sofern das auf einem PC realisiert ist und nicht auf einem Router.
Die Strom- und Wartungskosten eines PC sind natuerlich erheblich hoeher als die eines kleinen Routers mit Steckernetzteil. Wie gesagt nur VPN...hast du kein VPN ist das irrelevant !

Was die Frage deines remoten Zugangs anbetrifft. es es schon sowas wie RDP oder VNC oder eines seiner Derivate. Allerdings hast du hier immer noch das Problem des Port Forwardings auf dem Router. Ist das nicht eingerichtet und du kommst an den Router nicht ran wirds nix mit remoten Sessions.
Abhilfe schafft dann nur ein Programm was ohne Port Forwarding auskommt wie z.B. Teamviewer. Allerdings ist da wie bei Skype immer ein PC eines Anbieters in der Mitte der das Sessionhandling macht.
Aus Sicht der Vertraulichkeit und Sicherheit hat aber sowas immer ein "Geschmaeckle..." und ist fragwuerdig...
wsammy
wsammy 25.02.2008 um 11:35:46 Uhr
Goto Top
Die Aussage eines gluehenden Servers
bezog sich auf die Verfuegbarkeit eines VPN
Servers sofern das auf einem PC realisiert
ist und nicht auf einem Router.
Die Strom- und Wartungskosten eines PC sind
natuerlich erheblich hoeher als die eines
kleinen Routers mit Steckernetzteil. Wie
gesagt nur VPN...hast du kein VPN ist das
irrelevant !

Ich muss leider nochmals nachfragen... was bringt mir ein glühender Router, wenn kein PC glüht? Ich glaube, dass ich etwas grundsätzliches nicht verstanden habe.
aqui
aqui 26.02.2008 um 00:01:10 Uhr
Goto Top
Ja, das ist zu vermuten, das du da ein Verständnisproblem hast... !
Ein VPN fähiger Router ist immer auch ein kompletter und vollkommen autarker VPN Server und Client in Einem, der zum Betrieb bzw. Aufbau des VPN Tunnels keinerlei PCs benötigt. Allein der kleine Router mit seinem 5 V Steckernetzteil stellt einen vollständigen VPN Server/Client dar der auch mehrere VPN Protokolle und zig VPN Sessions (Tunnel) gleichzeitig supportet. Bei 5V kann man dann nicht von glühen reden im Gegensatz zu einem PC Boliden....

Im Vergleich dazu verbraucht ein AMD Athlon oder Intel Rechner mit einem 450 Watt Netzteil (oder mehr) ja erheblich mehr ! Abgesehen von dem überflüssigen Ballast an Betriebssystem was man nicht benötigt was er mit sich rumträgt.....

Ist der Unterschied dir nun klar ???
51705
51705 26.02.2008 um 09:59:30 Uhr
Goto Top
Hallo aqui,

ich glaube, die Frage ist, was ich mit einem VPN machen soll, wenn nicht darüber auf einen PC oder Server zuzugreifen...

Grüße, Steffen
wsammy
wsammy 26.02.2008 um 11:05:13 Uhr
Goto Top
Hallo Aqui

Deine Erklärung war mir schon klar face-smile

Steffen hat mich verstanden. Sorry für die unklare Frage !
aqui
aqui 26.02.2008 um 11:09:42 Uhr
Goto Top
Ok, dann hat Steffen Recht. Ohne auf einen Server zuzugreifen könnte man zum Beispiel ein nettes Ballerspiel über die VPN Verbindung gegeneinander spielen.... face-wink
Wenns das war bitte Wie kann ich einen Beitrag als gelöst markieren? nicht vergessen.
wsammy
wsammy 26.02.2008 um 11:17:37 Uhr
Goto Top
Dann GLÜHT aber wieder ein PC !?

Deshalb nochmals meine Frage:

zw. PC und Routern bzw. Firewalls
Technisch auch das Beste wenn man remote Mitarbeiter anbinden muss, denn auch hier handelt die FW oder Router das VPN geschäft ab direkt ohne das ein Server oder PC permanent glühen muss (Kosten) und das man sich mit NAT Problematiken (Adress translation) auf Routern abplagen muss !


Wie muss ich diesen Vorteil vom Glühen demnach verstehen ?

Dem Mitarbeiter bringt die Verbindung nichts, wenn er nicht auf die Daten zugreifen kann, oder eben doch? (und was wäre das?)
aqui
aqui 26.02.2008 um 11:23:57 Uhr
Goto Top
OK, nochmals: Ein VPN Router kann natürlich auch ein einzelner VPN Server zur Einwahl von remoten Mitarbeitern/Benutzern sein. D.h. der Router terminiert dann diese remoten VPN Sessions der Clients und nicht ein PC im Netz.
Das kann er natürlich viel effizienter umsetzen als ein ganzer Server der als VPN Server dient und permanent laufen muss aus den eben genannten Gründen (Stromverbrauch, Verschleiss etc.).

Es ist klar, wenn du in deinem Netzwerk keine Daten hast die du den remoten Benutzern zur Verfügung stellen musst oder sonst irgendwelche Anwendungen die diese Benutzer benötigen, dann ist ein VPN Konzept natürlich per se Unsinn, das ist ja logisch !
Ein VPN dient dazu remote Benutzer (oder LANs) so anzubinden als ob sie im lokalen Netz arbeiten würden. Der Datenstrom über den VPN Tunnel ist dann verschlüsselt und sicher.

Wenn du natürlich nur ein bischen mit remote Desktop (RDP) oder VNC auf deinem HeimPC rumfummeln willst oder Bekannten deine Photosammlung per FTP ins Netz stellen willst und sonst keinerlei sinnvolle Anwendungen hast die ein VPN rechtfertigen, reicht natürlich auch ein dummes Port Forwarding auf dem Router was heutzutage jeder Router kann, das ist klar !
wsammy
wsammy 26.02.2008 um 11:40:59 Uhr
Goto Top
Danke Aqui !

Ich glaube, ich weiss, wo das Problem bei mir war.

Da ich mir unsere VPN Verbindung im Geschäft als Beispiel nehme, sehe ich natürlich nur einen Nutzen dabei. (Der Server soll immer an sein, damit man immer und überall auf die Daten vom Server zugreifen kann)

Ein VPN Server kann natürlich auch "nur" dazu genutzt werden, dass zwei oder mehrere PC's über diesen Router ins selbe Netz gelangen und somit Zugang, wie in einem normalen Netzwerk zueinander haben.

Stimmt es demnach, dass folgende Verbindungen nur Sinn machen, wenn jeweils 2 oder mehrere PC's dahinter sind?

zw. (PC-) Routern bzw. Firewalls (-PC)
zw. PC und Routern bzw. Firewalls (-PC)

Egal was die Antwort sein wird, ich werde mich noch länger und tiefer mit dieser Thematik beschäftigen müssen face-smile Trotzdem Besten Dank !
Arch-Stanton
Arch-Stanton 26.02.2008 um 12:41:45 Uhr
Goto Top
Es macht wahrscheinlich Sinn, diesen Beitrag jetzt zu schließen.

Gruß,
Arch Stanton
aqui
aqui 26.02.2008 um 15:22:45 Uhr
Goto Top
Ja, das stimmt face-wink

Du brauchst auch gar keine PCs die in einem VPN gekoppelten Netz sind oder auf dem sich remote User per VPN eingewählt haben. Auch das ist technisch ja machbar und die VPN Verbindungen realisiert ja der Router.

Nur das wäre ja doof denn wer soll dann in dem Netz Daten austauschen wenn keiner (kein PC oder Endgerät) in diesem Netz ist.

Das ist so vergleichbar mit der Situation deines Netzes zuhause wenn du abends ins Bett gehst.
Du hast dann alles abgeschaltet ausser deinem Router und Accesspoint. Die funktionieren trotzdem weiter und könnten eine Verbindung aufmachen....es ist nur halt keiner mehr da im Netz...

Genau so ist es mit 2 Routern die einen VPN Tunnel aufgebaut haben oder einem remote User der eine VPN Verbindung auf einen Router hat... ist keiner da können auch keine Daten fliessen...

So nun aber....
Wie kann ich einen Beitrag als gelöst markieren?
face-wink
wsammy
wsammy 26.02.2008 um 18:30:53 Uhr
Goto Top
Besten Dank ! Deine Hilfe war wirklich sehr hilfreich!
aqui
aqui 26.02.2008 um 18:36:13 Uhr
Goto Top
Keine Ursache, dafür ist ein Forum wie dieses ja da face-wink