VPN - Sicherheit
Hallo.
Ich habe mir auf meinem SBS 2008 mal mit Hilfe des Windows-Assistenten ein VPN eingerichtet.
Klappt auch soweit wunderbar. Ich kann von zu Hause aus die VPN Verbindung aufbauen um dann z.B. über RemoteDesktop auf irgendeinen PC in dem Netzwerk zuzugreifen.
Da ich allerdings auf dem Gebiet ein totaler Anfänger bin wollte ich euch mal fragen:
Wie sieht es hierbei nun um die Sicherheit aus? Ich glaube kaum das nun von Microsoft Seite aus genug dafür getan ist das meine VPN Verbindung sicher ist?
Muss ich noch irgendwelche Tools zur Verschlüsselung installieren? Einstellungen vornehmen?
Oder ist der Ansatz den ich gewählt habe völlig verkehrt?
Ich bedanke mich schonmal vorweg.
Gruß
Ich habe mir auf meinem SBS 2008 mal mit Hilfe des Windows-Assistenten ein VPN eingerichtet.
Klappt auch soweit wunderbar. Ich kann von zu Hause aus die VPN Verbindung aufbauen um dann z.B. über RemoteDesktop auf irgendeinen PC in dem Netzwerk zuzugreifen.
Da ich allerdings auf dem Gebiet ein totaler Anfänger bin wollte ich euch mal fragen:
Wie sieht es hierbei nun um die Sicherheit aus? Ich glaube kaum das nun von Microsoft Seite aus genug dafür getan ist das meine VPN Verbindung sicher ist?
Muss ich noch irgendwelche Tools zur Verschlüsselung installieren? Einstellungen vornehmen?
Oder ist der Ansatz den ich gewählt habe völlig verkehrt?
Ich bedanke mich schonmal vorweg.
Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 182920
Url: https://administrator.de/contentid/182920
Ausgedruckt am: 05.11.2024 um 14:11 Uhr
18 Kommentare
Neuester Kommentar
Moin,
völlig verkehrt ist dein Ansatz nicht. Allerdings handelt es sich bei dem von Microsoft verwendeten Protokoll um PPTP, was als nicht so sicher eingestuft wird. Es kommt dabei vor allem auf die Länge des verwendeten Passwortes an. Wenn möglich, solltest Du VPN direkt auf den Router machen.
Gruß
Uwe
völlig verkehrt ist dein Ansatz nicht. Allerdings handelt es sich bei dem von Microsoft verwendeten Protokoll um PPTP, was als nicht so sicher eingestuft wird. Es kommt dabei vor allem auf die Länge des verwendeten Passwortes an. Wenn möglich, solltest Du VPN direkt auf den Router machen.
Gruß
Uwe
Hallo tomtom00,
Der Router sollte solch eine VPN-Verbindung unterstützen, richtig.
Neuer Router wäre schon der richtige Ansatz, oder du machst es direkt vernünftig und kaufst dir eine "Hardware-Firewall" die VPN unterstützt.
Dann solltest du dir auch ein Protokoll aussuchen, dass sicherer ist als PPTP - IPSec, SSL o.Ä.
Gruß Marcel
Der Router sollte solch eine VPN-Verbindung unterstützen, richtig.
Neuer Router wäre schon der richtige Ansatz, oder du machst es direkt vernünftig und kaufst dir eine "Hardware-Firewall" die VPN unterstützt.
Dann solltest du dir auch ein Protokoll aussuchen, dass sicherer ist als PPTP - IPSec, SSL o.Ä.
Gruß Marcel
Hallo,
das vom SBS verwendete VPN ist das PPTP. Das ist sicher.
Falls du oben vermutest das PPTP nicht ganz so sicher sei, suche doch mal nach Berichten über tatsächlich geknackte PPTP Verbindungen. Nicht überTtheoretosche Mögflichkeiten oder per jahrhunderte Jahre lange knacken des schlüssels, sondern echte Einbrüche in ein PPTP VPN. Und bedenke selbst ein Passwort wie "12345678900987653211234567890" gilt als NICHT Sicher. Die Anzahl der stellen eines Passworts alleine ist kein Merkmal für Sichere Passwörter.
Gruß,
Peter
das vom SBS verwendete VPN ist das PPTP. Das ist sicher.
Ich glaube kaum das nun von Microsoft Seite aus genug dafür getan ist das meine VPN Verbindung sicher ist?
Bitte diese deine Vermutung begründen (nicht mit ich habe gehört....sondern mit Fakten).Muss ich noch irgendwelche Tools zur Verschlüsselung installieren?
VPN ist schon die verschlüsselung. Und dein PPTP auch.Oder ist der Ansatz den ich gewählt habe völlig verkehrt?
Nein. nicht völlig verkehrt. Aber achte auf die verwendung von sichere Passwörter wie Uwe schon schrieb.Falls du oben vermutest das PPTP nicht ganz so sicher sei, suche doch mal nach Berichten über tatsächlich geknackte PPTP Verbindungen. Nicht überTtheoretosche Mögflichkeiten oder per jahrhunderte Jahre lange knacken des schlüssels, sondern echte Einbrüche in ein PPTP VPN. Und bedenke selbst ein Passwort wie "12345678900987653211234567890" gilt als NICHT Sicher. Die Anzahl der stellen eines Passworts alleine ist kein Merkmal für Sichere Passwörter.
Gruß,
Peter
Hi.
a) auch W2003 kann IPsec
b) gibt es einen bekannten Fall, bei dem PPTP bei einem SBS 2003 gehackt wurde?
c) das es natürlich State of the Art gibt, ist klar, aber im Normalfall reicht PPTP völlig aus.
Zumal die Schwachstellen meist wo anders liegen. Wie HTTP oder FTP und ähnlichen von extern erreichbar, usw.
LG Günther
a) auch W2003 kann IPsec
b) gibt es einen bekannten Fall, bei dem PPTP bei einem SBS 2003 gehackt wurde?
c) das es natürlich State of the Art gibt, ist klar, aber im Normalfall reicht PPTP völlig aus.
Zumal die Schwachstellen meist wo anders liegen. Wie HTTP oder FTP und ähnlichen von extern erreichbar, usw.
LG Günther
Hallo,
Das ist so nicht richtig. Teamviewer unterscheidet zwischen Privater und Gewerblicher Nutzung. Die Definition bei Teamviewer macht sich daran fest ob du mit der Teamviewer Sitzung in einer Wertschöpfungskette drin bist oder nicht und nicht wo das produkt verwendet wird. Beispiel: Du machst TV mit einem Bäckermeister weil dessen Virenprg. einige EXE Dateine blockiert. Du hilfst und behebst das Problem. Werschopfung = Ja (auch wenn du dazu keine rechnung schreibst oder etwas vom Bäcker erhälst. Er betreibt die Wetschöpfungskette) weil dadurch konnte er wieder seine Sofware zum Überwachen seines Brotbackautomaten starten. Gewerblich = Ja. Ok, es gibt leute die einen SBS im Privaten Haushalt stehen haben und wirklich nichts mit Wertschöpfung zu tun haben (also wirklich privat sind). Aber das sind auch ganz ganz wenige.... Demzufolge kann der Einsatz von TV aus einem Firmennetz A heraus zu einem Firmenrechner B welcher aber nur für private zwecke verwendet wird durchaus Private Nutzung darstellen und somit ist diese Sitzung dann auch Kostenlos. Eine Lizenz für einen bestimmten rechner = EUR XXX und für einen Techniker egal auf welchen Rechner = EUR YYY und für ....
Gruß,
Peter
Das ist so nicht richtig. Teamviewer unterscheidet zwischen Privater und Gewerblicher Nutzung. Die Definition bei Teamviewer macht sich daran fest ob du mit der Teamviewer Sitzung in einer Wertschöpfungskette drin bist oder nicht und nicht wo das produkt verwendet wird. Beispiel: Du machst TV mit einem Bäckermeister weil dessen Virenprg. einige EXE Dateine blockiert. Du hilfst und behebst das Problem. Werschopfung = Ja (auch wenn du dazu keine rechnung schreibst oder etwas vom Bäcker erhälst. Er betreibt die Wetschöpfungskette) weil dadurch konnte er wieder seine Sofware zum Überwachen seines Brotbackautomaten starten. Gewerblich = Ja. Ok, es gibt leute die einen SBS im Privaten Haushalt stehen haben und wirklich nichts mit Wertschöpfung zu tun haben (also wirklich privat sind). Aber das sind auch ganz ganz wenige.... Demzufolge kann der Einsatz von TV aus einem Firmennetz A heraus zu einem Firmenrechner B welcher aber nur für private zwecke verwendet wird durchaus Private Nutzung darstellen und somit ist diese Sitzung dann auch Kostenlos. Eine Lizenz für einen bestimmten rechner = EUR XXX und für einen Techniker egal auf welchen Rechner = EUR YYY und für ....
Gruß,
Peter
Ich nehme an, dass ich dafür in meinem Router die Möglichkeit haben muss irgendwie VPN einzustellen, richtig?
Schau dir mal diese Anleitung von aqui an:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Vielleicht ist das ja was für dich. Ich habe das Teil hier auch am Laufen und bin sehr zufrieden damit.
Gruß
Uwe
Schau dir mal diese Anleitung von aqui an:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Vielleicht ist das ja was für dich. Ich habe das Teil hier auch am Laufen und bin sehr zufrieden damit.
Gruß
Uwe
Hi, PPTP ist grundsätzlich schon anfälliger für Angriffe:
http://en.wikipedia.org/wiki/Point-to-Point_Tunneling_Protocol#Security ...
Allerdings sind mir auch keine Tools oder Wege bekannt eventuelle Schwachstellen auszunutzen. Ich habe jedenfalls keine Probleme PPTP für normale Kunden und Installationen zu benutzen, wenn kein IPSec vorhanden ist.
Gruß Daniel
http://en.wikipedia.org/wiki/Point-to-Point_Tunneling_Protocol#Security ...
Allerdings sind mir auch keine Tools oder Wege bekannt eventuelle Schwachstellen auszunutzen. Ich habe jedenfalls keine Probleme PPTP für normale Kunden und Installationen zu benutzen, wenn kein IPSec vorhanden ist.
Gruß Daniel
PPTP hatte vor Jahren mal Schwächen, doch das ist lange her und klebt dem Protokoll immer noch an.
Bei Microsoft hat sich in den letzten Jahren viel getan, wenn man die Kisten regelmässig updatet und professionell einrichtet braucht man sich da keine grossen Sorgen mehr zu machen, so wie bei den meisten anderen Herstellern auch. Der am meisten verbreitete Produkt wird halt potentiell auch am ehesten gehackt, wenn ein System prozentual viel seltener zum Einsatz kommt kriegt man auch von Angriffen und Hack-Horrorszenarien wenig mit weil es einfach keinen interessiert.
Das grundsätzliche Problem ist in der Regel die Authentisierung - jede Lösung bei der nur ein Kennwort zur Anmeldung benutzt wird ist prinzipbedingt suspekt.
PPTP Authentisierung lässt sich mit EAP-TLS hervorragend absichern - doch wer hat schon Lust eine Clientzertifikats CA aufzubauen nur um das VPN sicherer zu machen?
Ausser mir wohl nur wenige - har har har.
Wenn man in der Firma noch die Quell-IPs, die überhaupt VPN in die Firma machen dürfen, einschränkt (falls es nicht für weltweite Erreichbarkeit gebraucht wird) hat man die potentielle "Angriffsfläche" nochmal drastisch reduziert. Eventuell ist es ja nur für eine Handvoll Leute gedacht, da kann man ja darüber nachdenken.
Bei Microsoft hat sich in den letzten Jahren viel getan, wenn man die Kisten regelmässig updatet und professionell einrichtet braucht man sich da keine grossen Sorgen mehr zu machen, so wie bei den meisten anderen Herstellern auch. Der am meisten verbreitete Produkt wird halt potentiell auch am ehesten gehackt, wenn ein System prozentual viel seltener zum Einsatz kommt kriegt man auch von Angriffen und Hack-Horrorszenarien wenig mit weil es einfach keinen interessiert.
Das grundsätzliche Problem ist in der Regel die Authentisierung - jede Lösung bei der nur ein Kennwort zur Anmeldung benutzt wird ist prinzipbedingt suspekt.
PPTP Authentisierung lässt sich mit EAP-TLS hervorragend absichern - doch wer hat schon Lust eine Clientzertifikats CA aufzubauen nur um das VPN sicherer zu machen?
Ausser mir wohl nur wenige - har har har.
Wenn man in der Firma noch die Quell-IPs, die überhaupt VPN in die Firma machen dürfen, einschränkt (falls es nicht für weltweite Erreichbarkeit gebraucht wird) hat man die potentielle "Angriffsfläche" nochmal drastisch reduziert. Eventuell ist es ja nur für eine Handvoll Leute gedacht, da kann man ja darüber nachdenken.
Hallo,
Teamviewer als sicherer als eine PPTP Verbindung zu bezeichnen halte ich für fahrlässig!
Die Daten einer Teaviewer Verbindung gehen über einen Server des Herstelllers!
Diesen einfach so als sicher einzustufen halte ich für bedenklich!
Insbeosndere da weder Schnittstellen noch Protokolle und Infrastruktur offengelegt sind!
brammer
Teamviewer als sicherer als eine PPTP Verbindung zu bezeichnen halte ich für fahrlässig!
Die Daten einer Teaviewer Verbindung gehen über einen Server des Herstelllers!
Diesen einfach so als sicher einzustufen halte ich für bedenklich!
Insbeosndere da weder Schnittstellen noch Protokolle und Infrastruktur offengelegt sind!
brammer
@TomTom
Wenns das war und dir geholfen wurde bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Wenns das war und dir geholfen wurde bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Versuchen Sie, den Team Viewer als verschlüsselte Verbindung zu verwenden, oder ich bevorzuge NordVPN als ausgezeichnetenVPN anbieterund unterstütze pptp. Überprüfen Sie diesen Link http://en.wikipedia.org/wiki/Point-to-Point_Tunneling_Protocol#Security ... Vielleicht kann es Ihnen helfen.
Team Viewer krankt daran das es einen Vermittlungshost nutzt. Sowas ist in Firmenumgebungen ein NoGo.
Von ganz anderen Problematiken damit mal ganz abgesehen:
TeamViewer mal wieder gehackt !
Auch das der Eigner ein US Finanzinvestor ist schafft nicht gerade Sicherheit in Bezug auf die übertragenen Daten und deren Nutzer. Zumal es mit AnyDesk dazu bessere Alternativen gibt:
https://anydesk.com/de
Öffentliche VPN Provider ebenso. Grund ist das diese ja den VPN Schlüssel und damit die Security in den Händen haben. Damit also auch die gesamte Datensicherheit. Besonders wenn diese Provider im nicht EU Ausland liegen ist hier erhöhte Vorsicht geboten.
Besser die Finger davon lassen und ein eigenes VPN mit z.B. OpenVPN oder WireGuard verwenden. So hat man alles in eigener Hand und mit einem kleinen preoswerten Router wie_diesem_hier ist das mit 3 Mausklicks im Handumdrehen selbst eingerichtet !!
Von ganz anderen Problematiken damit mal ganz abgesehen:
TeamViewer mal wieder gehackt !
Auch das der Eigner ein US Finanzinvestor ist schafft nicht gerade Sicherheit in Bezug auf die übertragenen Daten und deren Nutzer. Zumal es mit AnyDesk dazu bessere Alternativen gibt:
https://anydesk.com/de
Öffentliche VPN Provider ebenso. Grund ist das diese ja den VPN Schlüssel und damit die Security in den Händen haben. Damit also auch die gesamte Datensicherheit. Besonders wenn diese Provider im nicht EU Ausland liegen ist hier erhöhte Vorsicht geboten.
Besser die Finger davon lassen und ein eigenes VPN mit z.B. OpenVPN oder WireGuard verwenden. So hat man alles in eigener Hand und mit einem kleinen preoswerten Router wie_diesem_hier ist das mit 3 Mausklicks im Handumdrehen selbst eingerichtet !!
Transocean, ich stimme Ihrem PPTP-Protokoll auch zu alt und nicht sicher zu. OpenVPN ist jedoch das neueste und effektivste VPN protocol. Bevor Sie sich für ein VPN entscheiden, stellen Sie sicher, dass das OpenVPN-Protokoll angeboten wird.
Duzt man sich nicht in der Regel in einem Forum ?!
Das OpenVPN das Effektivste ist sei mal dahingestellt. Es hat aber dadurch das es SSL basierend ist einige Vorteile was Firewall Passthrough und NAT Handling anbetrifft das steht außer Frage.
Vom Durchsatz hat es aber nur minimalste Unterschiede zu IPsec oder dem derzeit noch experimentellen Wireguard.
Das liegt daran das die Tunneltechniken dahinter fast identisch sind.
Wichtig für die Gesamtperformance ist immer das die VPN Hardware Krypto Funktionen in Silizium an Bord hat (CPU mit AES-NI etc.) und das nicht in Software erledigen muss.
Siehe auch: Merkzettel: VPN Installation mit OpenVPN
Das OpenVPN das Effektivste ist sei mal dahingestellt. Es hat aber dadurch das es SSL basierend ist einige Vorteile was Firewall Passthrough und NAT Handling anbetrifft das steht außer Frage.
Vom Durchsatz hat es aber nur minimalste Unterschiede zu IPsec oder dem derzeit noch experimentellen Wireguard.
Das liegt daran das die Tunneltechniken dahinter fast identisch sind.
Wichtig für die Gesamtperformance ist immer das die VPN Hardware Krypto Funktionen in Silizium an Bord hat (CPU mit AES-NI etc.) und das nicht in Software erledigen muss.
Siehe auch: Merkzettel: VPN Installation mit OpenVPN