VPN - Remote
Sicherheitsunterschied bei WinXP, VPN immer ein Tunnel?
Hallo
Nach einem exrem langen Thread und anschliessendem Verlust, versuche ich mich auf wenige wesentliche Unklarheiten zu beschränken.
Was ist der Sicherheitsunterschied zwischen einer einfachen VPN Einrichtung (WinXP) mit der Weiterleitung von Port 1723 und danach einer Remote-Verbindung (WinXP) UND einer direkten Remote Verbindung (zusätzliche Öffnung Port 3389)?
Ist es nur die zustäzliche Öffnung des Ports?
Denn bei beiden Varianten hat man vollen Zugriff mit der Öffentlichen IP (bzw. Domain, über dyndns) und des Benutzernamen und Passwort.
Zudem ist mir nicht klar, was der Unterschied ist zwischen einem einfachen VPN (WinXP) ohne jegliche Verschlüsselung und den weiteren VPN Möglichkeiten. Router-Router, Firewall-Firewall, Verschlüssel durch IPsec.
Warum müssen die Daten überhaupt verschlüsselt werden, wenn ein Tunnel besteht? (Bzw. Besteht überhaupt immer ein Tunnel bei VPN?)
Gibt es primär zwei Verschiedene VPN-Sicherheitsebenen:
1. Direkte Verbindung (Router-Router, oder WinXP Einrichtung)
2. Verhsclüsselung der Dateien
Mein Ziel ist es, dass ich von zu Hause und dem Studiumplatz (zwei verschiedene Router) auf den Geschäftsserver zugreifen kann und mit einer Workstation im Geschäft (über Remote) arbeiten kann.
Zudem wäre es noch besser, wenn eine Verbindung auch zwischen zu Hause und dem Studiumplatz besteht.
Besten Dank für eure Infos!
Hallo
Nach einem exrem langen Thread und anschliessendem Verlust, versuche ich mich auf wenige wesentliche Unklarheiten zu beschränken.
Was ist der Sicherheitsunterschied zwischen einer einfachen VPN Einrichtung (WinXP) mit der Weiterleitung von Port 1723 und danach einer Remote-Verbindung (WinXP) UND einer direkten Remote Verbindung (zusätzliche Öffnung Port 3389)?
Ist es nur die zustäzliche Öffnung des Ports?
Denn bei beiden Varianten hat man vollen Zugriff mit der Öffentlichen IP (bzw. Domain, über dyndns) und des Benutzernamen und Passwort.
Zudem ist mir nicht klar, was der Unterschied ist zwischen einem einfachen VPN (WinXP) ohne jegliche Verschlüsselung und den weiteren VPN Möglichkeiten. Router-Router, Firewall-Firewall, Verschlüssel durch IPsec.
Warum müssen die Daten überhaupt verschlüsselt werden, wenn ein Tunnel besteht? (Bzw. Besteht überhaupt immer ein Tunnel bei VPN?)
Gibt es primär zwei Verschiedene VPN-Sicherheitsebenen:
1. Direkte Verbindung (Router-Router, oder WinXP Einrichtung)
2. Verhsclüsselung der Dateien
Mein Ziel ist es, dass ich von zu Hause und dem Studiumplatz (zwei verschiedene Router) auf den Geschäftsserver zugreifen kann und mit einer Workstation im Geschäft (über Remote) arbeiten kann.
Zudem wäre es noch besser, wenn eine Verbindung auch zwischen zu Hause und dem Studiumplatz besteht.
Besten Dank für eure Infos!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 81405
Url: https://administrator.de/forum/vpn-remote-81405.html
Ausgedruckt am: 25.12.2024 um 07:12 Uhr
23 Kommentare
Neuester Kommentar
Moin,
VPN ist immer verschlüsselt und einen
direkten Zugriff in ein LAN per rdp, nur mit
Portweiterleitung, sollte man tunlichst
vermeiden.
Gruß,
Arch Stanton
VPN ist immer verschlüsselt und einen
direkten Zugriff in ein LAN per rdp, nur mit
Portweiterleitung, sollte man tunlichst
vermeiden.
Gruß,
Arch Stanton
Nicht per Definition (selbst IPSec kann ohne Verschlüsselung arbeiten, privat ist das dann zugegeben nicht mehr). RDP kann auch selbst verschlüsseln, und in entsprechenden Szenarios (aber auch nur dann) ist das mit dem Portforwarding durchaus sinnvoll.
Grüße, Steffen
@wsammy
1. Was mir nicht klar ist, wenn ich eine VPN Verbindung über XP einrichte, ist die Sicherheit "nur" über ein Passwort gewährleistet? (Im Nachhinein, frage ich mich, wie soll die Sicherheit noch gewährleistet werden, ausser mit einem Passwort... face-smile) Aber ist es auch wirklich so? 1. Passwort? 2. Verschlüsselung?...
A.: Du pauschalisierst hier ziemlich !! VPN ist sehr unterschiedlich, denn es gibt mehrere verschiedene VPN Protokolle als da sind: IPsecAH, IPsecESP, PPTP, L2TP, SSL, SSH und alle haben unterschiedliche Verschlüsselungs und Übertragungsmechanismen. Eigentlich müsstest du dein Verfahren spezifizieren was du aber nicht machst , deshalb hat Arch Recht, sollte man dir alles erklären ist das ein Grundkurs in VPNs.....
Klar wenn du ein Passwort ala Pre shared Keys verwendest hängt die gesamte Sicherheit an deinem Passwort, das ist klar.
Das ist auch ein Grund warum Profis sowas mit Zertifikaten erledigen und niemals mit PSKs !
1b. Nochmals.. wieso braucht es eine Verschlüsselung, wenn Tunnels vorhanden sind?...
A.: Etwas zu tunneln bedeutet ja per se noch lange nicht etwas auch zu verschlüsseln ! Du kannst z.B. IP in IP tunneln mit einem GRE Tunnel. Nativ ist das nicht verschlüsselt. Snifferst du sowas mit dem Wireshark mit, ist es ein Leichtes an die Daten zu kommen, da sie ja wie bereits gesagt nicht verschlüsselt sind !!
2. Was ist der Unterschied zwischen folgenden Einstellungen:
A. WinXP VPN Server <-> WinXP VPN Client (habe ich heute eingerichtet als Test)
B. - IPSec Client (zu Hause) <-> Geschäft ??
A.: Da ist gar kein Unterschied nur das du vermutlich 2 unterschiedliche VPN Protokolle und Verfahren benutzt: A benutzt PPTP und B benutzt sehr wahrscheinlich IPsec ESP.
Das Ergebnis ist das gleiche nur das die Daten über 2 unterschiedliche Arten von VPN Protokollen übertragen werden. IPsec gilt gemeinhin als sicherer als PPTP.
3. Was mir jetzt nicht ganz klar ist, ob eine XP VPN Verbindung reicht oder ob ich IPsec benutzen sollte.
A.: Wie oben bemerkt gilt IPsec als sicherer als PPTP (XP Bordmittel). Der Rest ist abhängig von deinem eigenen Bauchgefühl !!
4. Zudem ist mir nicht klar, ob ich richtig informiert bin, dass es möglich ist, eine direkte VPN Verbindung
zw. PC's,
Ungünstige technische Lösung , es sei denn es ist eine Point to Point Verbindung und nicht mehr..
zw. Routern bzw. Firewalls
Technisch immer die beste VPN Lösung, da so Netze direkt verbunden werden ohne an Servern oder Endgeräten rumfrickeln zu müssen. NAT Probleme an Routern (Port Forwarding) entfallen ebenfalls.
zw. PC und Routern bzw. Firewalls
Technisch auch das Beste wenn man remote Mitarbeiter anbinden muss, denn auch hier handelt die FW oder Router das VPN geschäft ab direkt ohne das ein Server oder PC permanent glühen muss (Kosten) und das man sich mit NAT Problematiken (Adress translation) auf Routern abplagen muss !
1. Was mir nicht klar ist, wenn ich eine VPN Verbindung über XP einrichte, ist die Sicherheit "nur" über ein Passwort gewährleistet? (Im Nachhinein, frage ich mich, wie soll die Sicherheit noch gewährleistet werden, ausser mit einem Passwort... face-smile) Aber ist es auch wirklich so? 1. Passwort? 2. Verschlüsselung?...
A.: Du pauschalisierst hier ziemlich !! VPN ist sehr unterschiedlich, denn es gibt mehrere verschiedene VPN Protokolle als da sind: IPsecAH, IPsecESP, PPTP, L2TP, SSL, SSH und alle haben unterschiedliche Verschlüsselungs und Übertragungsmechanismen. Eigentlich müsstest du dein Verfahren spezifizieren was du aber nicht machst , deshalb hat Arch Recht, sollte man dir alles erklären ist das ein Grundkurs in VPNs.....
Klar wenn du ein Passwort ala Pre shared Keys verwendest hängt die gesamte Sicherheit an deinem Passwort, das ist klar.
Das ist auch ein Grund warum Profis sowas mit Zertifikaten erledigen und niemals mit PSKs !
1b. Nochmals.. wieso braucht es eine Verschlüsselung, wenn Tunnels vorhanden sind?...
A.: Etwas zu tunneln bedeutet ja per se noch lange nicht etwas auch zu verschlüsseln ! Du kannst z.B. IP in IP tunneln mit einem GRE Tunnel. Nativ ist das nicht verschlüsselt. Snifferst du sowas mit dem Wireshark mit, ist es ein Leichtes an die Daten zu kommen, da sie ja wie bereits gesagt nicht verschlüsselt sind !!
2. Was ist der Unterschied zwischen folgenden Einstellungen:
A. WinXP VPN Server <-> WinXP VPN Client (habe ich heute eingerichtet als Test)
B. - IPSec Client (zu Hause) <-> Geschäft ??
A.: Da ist gar kein Unterschied nur das du vermutlich 2 unterschiedliche VPN Protokolle und Verfahren benutzt: A benutzt PPTP und B benutzt sehr wahrscheinlich IPsec ESP.
Das Ergebnis ist das gleiche nur das die Daten über 2 unterschiedliche Arten von VPN Protokollen übertragen werden. IPsec gilt gemeinhin als sicherer als PPTP.
3. Was mir jetzt nicht ganz klar ist, ob eine XP VPN Verbindung reicht oder ob ich IPsec benutzen sollte.
A.: Wie oben bemerkt gilt IPsec als sicherer als PPTP (XP Bordmittel). Der Rest ist abhängig von deinem eigenen Bauchgefühl !!
4. Zudem ist mir nicht klar, ob ich richtig informiert bin, dass es möglich ist, eine direkte VPN Verbindung
zw. PC's,
Ungünstige technische Lösung , es sei denn es ist eine Point to Point Verbindung und nicht mehr..
zw. Routern bzw. Firewalls
Technisch immer die beste VPN Lösung, da so Netze direkt verbunden werden ohne an Servern oder Endgeräten rumfrickeln zu müssen. NAT Probleme an Routern (Port Forwarding) entfallen ebenfalls.
zw. PC und Routern bzw. Firewalls
Technisch auch das Beste wenn man remote Mitarbeiter anbinden muss, denn auch hier handelt die FW oder Router das VPN geschäft ab direkt ohne das ein Server oder PC permanent glühen muss (Kosten) und das man sich mit NAT Problematiken (Adress translation) auf Routern abplagen muss !
Welche Möglichkeiten gibt es die Sicherheit zu erhöhen bei der WinXP Variante ? ....
A.: Das man statt Passwörtern Zertifikate verwendet. Am VPN Verfahren (PPTP) selber kannst du nichts ändern, da dies festgeschrieben ist.
...ich frage mich, warum soll diese Verbindung sicherer sein als die einfache von WinXP..
A.: Auf PPTP hat es einige erfolgreiche Angriffe gegeben so das PPTP nicht mehr als hinreichend sicher gilt. Allerdings geschah das mit einem erheblichen Aufwand den Privatpersonen niemals betreiben können. Deshalb kann man PPTP gemeinhin für nicht allzu wichtige VPN Verbindungen problemlos nutzen zumal MS beim Passwort tausch im Protokoll nachgelegt hat in puncto Sicherheit.
IPsec hat aber einen erheblich sichereren Verschlüsselungsalgorhytmus auf den derzeit keine Attacken bekannt sind, gilt somit also als sicherer.
Zu 4.1.) Ja, genau ! Alle diese Punkte spielen eine Rolle zumal gute VPN Router wie z.B. die von DRAYTEK nicht viel mehr kosten als normale aber erheblich flexibler sind was den VPN Protokollsupport anbetrifft. Das sie die Stromkosten z.B. eines MS Servers in ein paar Monaten wieder einspielen liegt auf der Hand !
Zu 4.2.) Ja, richtig meist wird dieses Szenario nur genutzt wenn man eine Standort zu Standort (also LAN zu LAN) Kopplung realisiert !
VPN Router supporten aber nebenbei natürlich auch noch die VPN Anbindung von remoten Usern.
Zu 4.3.) Mehr oder weniger ja, denn sie verwenden ja alle das selbe Protokoll. Für einen VPN Server spielt es mehr oder weniger keine Rolle ob auf der einen Seite nur ein PC ist oder ein anderer Router oder FW mit einem LAN dahinter. Das Durchtunneln von Packeten durch einen Cryptotunnel ist immer das gleiche Verfahren !
Hier mal ein Beispiel wie das an einem Linksys Consumer Router funktioniert:
A.: Das man statt Passwörtern Zertifikate verwendet. Am VPN Verfahren (PPTP) selber kannst du nichts ändern, da dies festgeschrieben ist.
...ich frage mich, warum soll diese Verbindung sicherer sein als die einfache von WinXP..
A.: Auf PPTP hat es einige erfolgreiche Angriffe gegeben so das PPTP nicht mehr als hinreichend sicher gilt. Allerdings geschah das mit einem erheblichen Aufwand den Privatpersonen niemals betreiben können. Deshalb kann man PPTP gemeinhin für nicht allzu wichtige VPN Verbindungen problemlos nutzen zumal MS beim Passwort tausch im Protokoll nachgelegt hat in puncto Sicherheit.
IPsec hat aber einen erheblich sichereren Verschlüsselungsalgorhytmus auf den derzeit keine Attacken bekannt sind, gilt somit also als sicherer.
Zu 4.1.) Ja, genau ! Alle diese Punkte spielen eine Rolle zumal gute VPN Router wie z.B. die von DRAYTEK nicht viel mehr kosten als normale aber erheblich flexibler sind was den VPN Protokollsupport anbetrifft. Das sie die Stromkosten z.B. eines MS Servers in ein paar Monaten wieder einspielen liegt auf der Hand !
Zu 4.2.) Ja, richtig meist wird dieses Szenario nur genutzt wenn man eine Standort zu Standort (also LAN zu LAN) Kopplung realisiert !
VPN Router supporten aber nebenbei natürlich auch noch die VPN Anbindung von remoten Usern.
Zu 4.3.) Mehr oder weniger ja, denn sie verwenden ja alle das selbe Protokoll. Für einen VPN Server spielt es mehr oder weniger keine Rolle ob auf der einen Seite nur ein PC ist oder ein anderer Router oder FW mit einem LAN dahinter. Das Durchtunneln von Packeten durch einen Cryptotunnel ist immer das gleiche Verfahren !
Hier mal ein Beispiel wie das an einem Linksys Consumer Router funktioniert:
Dumme Fragen gibts nicht, nur dumme Antworten....
Die Aussage eines gluehenden Servers bezog sich auf die Verfuegbarkeit eines VPN Servers sofern das auf einem PC realisiert ist und nicht auf einem Router.
Die Strom- und Wartungskosten eines PC sind natuerlich erheblich hoeher als die eines kleinen Routers mit Steckernetzteil. Wie gesagt nur VPN...hast du kein VPN ist das irrelevant !
Was die Frage deines remoten Zugangs anbetrifft. es es schon sowas wie RDP oder VNC oder eines seiner Derivate. Allerdings hast du hier immer noch das Problem des Port Forwardings auf dem Router. Ist das nicht eingerichtet und du kommst an den Router nicht ran wirds nix mit remoten Sessions.
Abhilfe schafft dann nur ein Programm was ohne Port Forwarding auskommt wie z.B. Teamviewer. Allerdings ist da wie bei Skype immer ein PC eines Anbieters in der Mitte der das Sessionhandling macht.
Aus Sicht der Vertraulichkeit und Sicherheit hat aber sowas immer ein "Geschmaeckle..." und ist fragwuerdig...
Die Aussage eines gluehenden Servers bezog sich auf die Verfuegbarkeit eines VPN Servers sofern das auf einem PC realisiert ist und nicht auf einem Router.
Die Strom- und Wartungskosten eines PC sind natuerlich erheblich hoeher als die eines kleinen Routers mit Steckernetzteil. Wie gesagt nur VPN...hast du kein VPN ist das irrelevant !
Was die Frage deines remoten Zugangs anbetrifft. es es schon sowas wie RDP oder VNC oder eines seiner Derivate. Allerdings hast du hier immer noch das Problem des Port Forwardings auf dem Router. Ist das nicht eingerichtet und du kommst an den Router nicht ran wirds nix mit remoten Sessions.
Abhilfe schafft dann nur ein Programm was ohne Port Forwarding auskommt wie z.B. Teamviewer. Allerdings ist da wie bei Skype immer ein PC eines Anbieters in der Mitte der das Sessionhandling macht.
Aus Sicht der Vertraulichkeit und Sicherheit hat aber sowas immer ein "Geschmaeckle..." und ist fragwuerdig...
Ja, das ist zu vermuten, das du da ein Verständnisproblem hast... !
Ein VPN fähiger Router ist immer auch ein kompletter und vollkommen autarker VPN Server und Client in Einem, der zum Betrieb bzw. Aufbau des VPN Tunnels keinerlei PCs benötigt. Allein der kleine Router mit seinem 5 V Steckernetzteil stellt einen vollständigen VPN Server/Client dar der auch mehrere VPN Protokolle und zig VPN Sessions (Tunnel) gleichzeitig supportet. Bei 5V kann man dann nicht von glühen reden im Gegensatz zu einem PC Boliden....
Im Vergleich dazu verbraucht ein AMD Athlon oder Intel Rechner mit einem 450 Watt Netzteil (oder mehr) ja erheblich mehr ! Abgesehen von dem überflüssigen Ballast an Betriebssystem was man nicht benötigt was er mit sich rumträgt.....
Ist der Unterschied dir nun klar ???
Ein VPN fähiger Router ist immer auch ein kompletter und vollkommen autarker VPN Server und Client in Einem, der zum Betrieb bzw. Aufbau des VPN Tunnels keinerlei PCs benötigt. Allein der kleine Router mit seinem 5 V Steckernetzteil stellt einen vollständigen VPN Server/Client dar der auch mehrere VPN Protokolle und zig VPN Sessions (Tunnel) gleichzeitig supportet. Bei 5V kann man dann nicht von glühen reden im Gegensatz zu einem PC Boliden....
Im Vergleich dazu verbraucht ein AMD Athlon oder Intel Rechner mit einem 450 Watt Netzteil (oder mehr) ja erheblich mehr ! Abgesehen von dem überflüssigen Ballast an Betriebssystem was man nicht benötigt was er mit sich rumträgt.....
Ist der Unterschied dir nun klar ???
Hallo aqui,
ich glaube, die Frage ist, was ich mit einem VPN machen soll, wenn nicht darüber auf einen PC oder Server zuzugreifen...
Grüße, Steffen
ich glaube, die Frage ist, was ich mit einem VPN machen soll, wenn nicht darüber auf einen PC oder Server zuzugreifen...
Grüße, Steffen
Ok, dann hat Steffen Recht. Ohne auf einen Server zuzugreifen könnte man zum Beispiel ein nettes Ballerspiel über die VPN Verbindung gegeneinander spielen....
Wenns das war bitte Wie kann ich einen Beitrag als gelöst markieren? nicht vergessen.
Wenns das war bitte Wie kann ich einen Beitrag als gelöst markieren? nicht vergessen.
OK, nochmals: Ein VPN Router kann natürlich auch ein einzelner VPN Server zur Einwahl von remoten Mitarbeitern/Benutzern sein. D.h. der Router terminiert dann diese remoten VPN Sessions der Clients und nicht ein PC im Netz.
Das kann er natürlich viel effizienter umsetzen als ein ganzer Server der als VPN Server dient und permanent laufen muss aus den eben genannten Gründen (Stromverbrauch, Verschleiss etc.).
Es ist klar, wenn du in deinem Netzwerk keine Daten hast die du den remoten Benutzern zur Verfügung stellen musst oder sonst irgendwelche Anwendungen die diese Benutzer benötigen, dann ist ein VPN Konzept natürlich per se Unsinn, das ist ja logisch !
Ein VPN dient dazu remote Benutzer (oder LANs) so anzubinden als ob sie im lokalen Netz arbeiten würden. Der Datenstrom über den VPN Tunnel ist dann verschlüsselt und sicher.
Wenn du natürlich nur ein bischen mit remote Desktop (RDP) oder VNC auf deinem HeimPC rumfummeln willst oder Bekannten deine Photosammlung per FTP ins Netz stellen willst und sonst keinerlei sinnvolle Anwendungen hast die ein VPN rechtfertigen, reicht natürlich auch ein dummes Port Forwarding auf dem Router was heutzutage jeder Router kann, das ist klar !
Das kann er natürlich viel effizienter umsetzen als ein ganzer Server der als VPN Server dient und permanent laufen muss aus den eben genannten Gründen (Stromverbrauch, Verschleiss etc.).
Es ist klar, wenn du in deinem Netzwerk keine Daten hast die du den remoten Benutzern zur Verfügung stellen musst oder sonst irgendwelche Anwendungen die diese Benutzer benötigen, dann ist ein VPN Konzept natürlich per se Unsinn, das ist ja logisch !
Ein VPN dient dazu remote Benutzer (oder LANs) so anzubinden als ob sie im lokalen Netz arbeiten würden. Der Datenstrom über den VPN Tunnel ist dann verschlüsselt und sicher.
Wenn du natürlich nur ein bischen mit remote Desktop (RDP) oder VNC auf deinem HeimPC rumfummeln willst oder Bekannten deine Photosammlung per FTP ins Netz stellen willst und sonst keinerlei sinnvolle Anwendungen hast die ein VPN rechtfertigen, reicht natürlich auch ein dummes Port Forwarding auf dem Router was heutzutage jeder Router kann, das ist klar !
Ja, das stimmt
Du brauchst auch gar keine PCs die in einem VPN gekoppelten Netz sind oder auf dem sich remote User per VPN eingewählt haben. Auch das ist technisch ja machbar und die VPN Verbindungen realisiert ja der Router.
Nur das wäre ja doof denn wer soll dann in dem Netz Daten austauschen wenn keiner (kein PC oder Endgerät) in diesem Netz ist.
Das ist so vergleichbar mit der Situation deines Netzes zuhause wenn du abends ins Bett gehst.
Du hast dann alles abgeschaltet ausser deinem Router und Accesspoint. Die funktionieren trotzdem weiter und könnten eine Verbindung aufmachen....es ist nur halt keiner mehr da im Netz...
Genau so ist es mit 2 Routern die einen VPN Tunnel aufgebaut haben oder einem remote User der eine VPN Verbindung auf einen Router hat... ist keiner da können auch keine Daten fliessen...
So nun aber....
Wie kann ich einen Beitrag als gelöst markieren?
Du brauchst auch gar keine PCs die in einem VPN gekoppelten Netz sind oder auf dem sich remote User per VPN eingewählt haben. Auch das ist technisch ja machbar und die VPN Verbindungen realisiert ja der Router.
Nur das wäre ja doof denn wer soll dann in dem Netz Daten austauschen wenn keiner (kein PC oder Endgerät) in diesem Netz ist.
Das ist so vergleichbar mit der Situation deines Netzes zuhause wenn du abends ins Bett gehst.
Du hast dann alles abgeschaltet ausser deinem Router und Accesspoint. Die funktionieren trotzdem weiter und könnten eine Verbindung aufmachen....es ist nur halt keiner mehr da im Netz...
Genau so ist es mit 2 Routern die einen VPN Tunnel aufgebaut haben oder einem remote User der eine VPN Verbindung auf einen Router hat... ist keiner da können auch keine Daten fliessen...
So nun aber....
Wie kann ich einen Beitrag als gelöst markieren?