tomtom00
Goto Top

VPN - Sicherheit

Hallo.

Ich habe mir auf meinem SBS 2008 mal mit Hilfe des Windows-Assistenten ein VPN eingerichtet.
Klappt auch soweit wunderbar. Ich kann von zu Hause aus die VPN Verbindung aufbauen um dann z.B. über RemoteDesktop auf irgendeinen PC in dem Netzwerk zuzugreifen.

Da ich allerdings auf dem Gebiet ein totaler Anfänger bin wollte ich euch mal fragen:
Wie sieht es hierbei nun um die Sicherheit aus? Ich glaube kaum das nun von Microsoft Seite aus genug dafür getan ist das meine VPN Verbindung sicher ist?

Muss ich noch irgendwelche Tools zur Verschlüsselung installieren? Einstellungen vornehmen?

Oder ist der Ansatz den ich gewählt habe völlig verkehrt?

Ich bedanke mich schonmal vorweg.

Gruß

Content-ID: 182920

Url: https://administrator.de/contentid/182920

Ausgedruckt am: 22.11.2024 um 09:11 Uhr

transocean
transocean 01.04.2012 um 15:02:04 Uhr
Goto Top
Moin,

völlig verkehrt ist dein Ansatz nicht. Allerdings handelt es sich bei dem von Microsoft verwendeten Protokoll um PPTP, was als nicht so sicher eingestuft wird. Es kommt dabei vor allem auf die Länge des verwendeten Passwortes an. Wenn möglich, solltest Du VPN direkt auf den Router machen.

Gruß

Uwe
tomtom00
tomtom00 01.04.2012 um 15:05:59 Uhr
Goto Top
Doofe Frage vielleicht, aber wie ist das dann zu bewerkstelligen?

Ich nehme an, dass ich dafür in meinem Router die Möglichkeit haben muss irgendwie VPN einzustellen, richtig?
Das ist bei meinem Speedport nicht der Fall, das weiß ich. Folglich: Neuer Router muss her?

Gruß

Edit: Meinst du mit verwendetem Passwort nun das was ich bei der VPN Verbindung eingeben muss? Da habe ich schon drauf geachtet, hat 12 Buchstaben mit Ziffern + Groß/Kleinschreibung
griddi
griddi 01.04.2012 um 15:35:02 Uhr
Goto Top
Hallo tomtom00,

Der Router sollte solch eine VPN-Verbindung unterstützen, richtig.
Neuer Router wäre schon der richtige Ansatz, oder du machst es direkt vernünftig und kaufst dir eine "Hardware-Firewall" die VPN unterstützt.
Dann solltest du dir auch ein Protokoll aussuchen, dass sicherer ist als PPTP - IPSec, SSL o.Ä.

Gruß Marcel
tomtom00
tomtom00 01.04.2012 um 15:40:11 Uhr
Goto Top
Ok danke. Vorerst werde ich wohl erstmal mit dem Speedport klar kommen müssen. Reicht auch vorerst. Bin erstmal froh überhaupt Fernzugriff zu haben.

Aber ich denke auch, dass ich dann über Kurz oder Lang mir einen neuen Router anschaffen brauche.
Pjordorf
Pjordorf 01.04.2012 um 15:47:26 Uhr
Goto Top
Hallo,

Zitat von @tomtom00:
Wie sieht es hierbei nun um die Sicherheit aus?
das vom SBS verwendete VPN ist das PPTP. Das ist sicher.

Ich glaube kaum das nun von Microsoft Seite aus genug dafür getan ist das meine VPN Verbindung sicher ist?
Bitte diese deine Vermutung begründen (nicht mit ich habe gehört....sondern mit Fakten).

Muss ich noch irgendwelche Tools zur Verschlüsselung installieren?
VPN ist schon die verschlüsselung. Und dein PPTP auch.

Oder ist der Ansatz den ich gewählt habe völlig verkehrt?
Nein. nicht völlig verkehrt. Aber achte auf die verwendung von sichere Passwörter wie Uwe schon schrieb.

Falls du oben vermutest das PPTP nicht ganz so sicher sei, suche doch mal nach Berichten über tatsächlich geknackte PPTP Verbindungen. Nicht überTtheoretosche Mögflichkeiten oder per jahrhunderte Jahre lange knacken des schlüssels, sondern echte Einbrüche in ein PPTP VPN. Und bedenke selbst ein Passwort wie "12345678900987653211234567890" gilt als NICHT Sicher. Die Anzahl der stellen eines Passworts alleine ist kein Merkmal für Sichere Passwörter.


Gruß,
Peter
griddi
griddi 01.04.2012 um 15:48:43 Uhr
Goto Top
Hallo,

Du kannst aber auch Teamciewer nutzen. Die Verbindung ist auch verschlüsselt ... Eher sicher als PPTP.
GuentherH
GuentherH 01.04.2012 um 15:51:24 Uhr
Goto Top
Hi.

a) auch W2003 kann IPsec
b) gibt es einen bekannten Fall, bei dem PPTP bei einem SBS 2003 gehackt wurde?
c) das es natürlich State of the Art gibt, ist klar, aber im Normalfall reicht PPTP völlig aus.

Zumal die Schwachstellen meist wo anders liegen. Wie HTTP oder FTP und ähnlichen von extern erreichbar, usw.

LG Günther
tomtom00
tomtom00 01.04.2012 um 15:59:05 Uhr
Goto Top
Das mit Microsoft sollte jetzt wirklich nur eine reine Vermutung sein... Aber danke, ich lasse mich gerne eines besseren belehren! face-smile

TeamViewer fällt momentan leider flach, da die Serverversion kostet.

Das ein Passwort wie 1234....nicht sicher ist weiß ich. Und das man da auf die Kombination aus Länge + Sonderzeichen + Zahlen achten sollte auch.

Vielen Dank euch, habt mir auf jeden Fall geholfen!
Pjordorf
Pjordorf 01.04.2012 um 16:26:50 Uhr
Goto Top
Hallo,

Zitat von @tomtom00:
TeamViewer fällt momentan leider flach, da die Serverversion kostet.
Das ist so nicht richtig. Teamviewer unterscheidet zwischen Privater und Gewerblicher Nutzung. Die Definition bei Teamviewer macht sich daran fest ob du mit der Teamviewer Sitzung in einer Wertschöpfungskette drin bist oder nicht und nicht wo das produkt verwendet wird. Beispiel: Du machst TV mit einem Bäckermeister weil dessen Virenprg. einige EXE Dateine blockiert. Du hilfst und behebst das Problem. Werschopfung = Ja (auch wenn du dazu keine rechnung schreibst oder etwas vom Bäcker erhälst. Er betreibt die Wetschöpfungskette) weil dadurch konnte er wieder seine Sofware zum Überwachen seines Brotbackautomaten starten. Gewerblich = Ja. Ok, es gibt leute die einen SBS im Privaten Haushalt stehen haben und wirklich nichts mit Wertschöpfung zu tun haben (also wirklich privat sind). Aber das sind auch ganz ganz wenige.... Demzufolge kann der Einsatz von TV aus einem Firmennetz A heraus zu einem Firmenrechner B welcher aber nur für private zwecke verwendet wird durchaus Private Nutzung darstellen und somit ist diese Sitzung dann auch Kostenlos. Eine Lizenz für einen bestimmten rechner = EUR XXX und für einen Techniker egal auf welchen Rechner = EUR YYY und für ....

Gruß,
Peter
transocean
transocean 01.04.2012, aktualisiert am 18.10.2012 um 18:50:30 Uhr
Goto Top
Ich nehme an, dass ich dafür in meinem Router die Möglichkeit haben muss irgendwie VPN einzustellen, richtig?


Schau dir mal diese Anleitung von aqui an:

Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät

Vielleicht ist das ja was für dich. Ich habe das Teil hier auch am Laufen und bin sehr zufrieden damit.

Gruß

Uwe
danielfr
danielfr 01.04.2012 um 20:54:49 Uhr
Goto Top
Hi, PPTP ist grundsätzlich schon anfälliger für Angriffe:
http://en.wikipedia.org/wiki/Point-to-Point_Tunneling_Protocol#Security ...
Allerdings sind mir auch keine Tools oder Wege bekannt eventuelle Schwachstellen auszunutzen. Ich habe jedenfalls keine Probleme PPTP für normale Kunden und Installationen zu benutzen, wenn kein IPSec vorhanden ist.
Gruß Daniel
spacyfreak
spacyfreak 02.04.2012 um 06:59:05 Uhr
Goto Top
PPTP hatte vor Jahren mal Schwächen, doch das ist lange her und klebt dem Protokoll immer noch an.
Bei Microsoft hat sich in den letzten Jahren viel getan, wenn man die Kisten regelmässig updatet und professionell einrichtet braucht man sich da keine grossen Sorgen mehr zu machen, so wie bei den meisten anderen Herstellern auch. Der am meisten verbreitete Produkt wird halt potentiell auch am ehesten gehackt, wenn ein System prozentual viel seltener zum Einsatz kommt kriegt man auch von Angriffen und Hack-Horrorszenarien wenig mit weil es einfach keinen interessiert.

Das grundsätzliche Problem ist in der Regel die Authentisierung - jede Lösung bei der nur ein Kennwort zur Anmeldung benutzt wird ist prinzipbedingt suspekt.
PPTP Authentisierung lässt sich mit EAP-TLS hervorragend absichern - doch wer hat schon Lust eine Clientzertifikats CA aufzubauen nur um das VPN sicherer zu machen?
Ausser mir wohl nur wenige - har har har.

Wenn man in der Firma noch die Quell-IPs, die überhaupt VPN in die Firma machen dürfen, einschränkt (falls es nicht für weltweite Erreichbarkeit gebraucht wird) hat man die potentielle "Angriffsfläche" nochmal drastisch reduziert. Eventuell ist es ja nur für eine Handvoll Leute gedacht, da kann man ja darüber nachdenken.
brammer
brammer 02.04.2012 um 06:59:53 Uhr
Goto Top
Hallo,

Teamviewer als sicherer als eine PPTP Verbindung zu bezeichnen halte ich für fahrlässig!
Die Daten einer Teaviewer Verbindung gehen über einen Server des Herstelllers!
Diesen einfach so als sicher einzustufen halte ich für bedenklich!
Insbeosndere da weder Schnittstellen noch Protokolle und Infrastruktur offengelegt sind!

brammer
aqui
aqui 02.04.2012 um 09:23:43 Uhr
Goto Top
@TomTom
Wenns das war und dir geholfen wurde bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
karlmuller
karlmuller 24.09.2019 um 15:12:34 Uhr
Goto Top
Versuchen Sie, den Team Viewer als verschlüsselte Verbindung zu verwenden, oder ich bevorzuge NordVPN als ausgezeichnetenVPN anbieterund unterstütze pptp. Überprüfen Sie diesen Link http://en.wikipedia.org/wiki/Point-to-Point_Tunneling_Protocol#Security ... Vielleicht kann es Ihnen helfen.
aqui
aqui 24.09.2019 aktualisiert um 15:55:31 Uhr
Goto Top
Team Viewer krankt daran das es einen Vermittlungshost nutzt. Sowas ist in Firmenumgebungen ein NoGo.
Von ganz anderen Problematiken damit mal ganz abgesehen:
TeamViewer mal wieder gehackt !
Auch das der Eigner ein US Finanzinvestor ist schafft nicht gerade Sicherheit in Bezug auf die übertragenen Daten und deren Nutzer. Zumal es mit AnyDesk dazu bessere Alternativen gibt:
https://anydesk.com/de

Öffentliche VPN Provider ebenso. Grund ist das diese ja den VPN Schlüssel und damit die Security in den Händen haben. Damit also auch die gesamte Datensicherheit. Besonders wenn diese Provider im nicht EU Ausland liegen ist hier erhöhte Vorsicht geboten.
Besser die Finger davon lassen und ein eigenes VPN mit z.B. OpenVPN oder WireGuard verwenden. So hat man alles in eigener Hand und mit einem kleinen preoswerten Router wie_diesem_hier ist das mit 3 Mausklicks im Handumdrehen selbst eingerichtet !!
markophillips
markophillips 29.03.2020 um 12:02:30 Uhr
Goto Top
Transocean, ich stimme Ihrem PPTP-Protokoll auch zu alt und nicht sicher zu. OpenVPN ist jedoch das neueste und effektivste VPN protocol. Bevor Sie sich für ein VPN entscheiden, stellen Sie sicher, dass das OpenVPN-Protokoll angeboten wird.
aqui
aqui 29.03.2020 aktualisiert um 12:10:00 Uhr
Goto Top
Duzt man sich nicht in der Regel in einem Forum ?!
Das OpenVPN das Effektivste ist sei mal dahingestellt. Es hat aber dadurch das es SSL basierend ist einige Vorteile was Firewall Passthrough und NAT Handling anbetrifft das steht außer Frage.
Vom Durchsatz hat es aber nur minimalste Unterschiede zu IPsec oder dem derzeit noch experimentellen Wireguard.
Das liegt daran das die Tunneltechniken dahinter fast identisch sind.
Wichtig für die Gesamtperformance ist immer das die VPN Hardware Krypto Funktionen in Silizium an Bord hat (CPU mit AES-NI etc.) und das nicht in Software erledigen muss.
Siehe auch: Merkzettel: VPN Installation mit OpenVPN