VPN-Verbindung : Best Practice
Hallo Zusammen,
sind VPN-Verbindungen zum Windows Servern genauso sicher als zu Router VPN-Servern ?Mitterweile sind in allen System FreeNas, Synology(NAS); Windows Servern, Routern, Switches,Firewall fast überall VPN-Server mit integriert und man fragt sich, sind die alle gut abgesichert ? Welche sind von der Hierarchie nach eurer Erfahrung die besten oder besser gesagt was ist die best practice Lösung?
VG
dece
sind VPN-Verbindungen zum Windows Servern genauso sicher als zu Router VPN-Servern ?Mitterweile sind in allen System FreeNas, Synology(NAS); Windows Servern, Routern, Switches,Firewall fast überall VPN-Server mit integriert und man fragt sich, sind die alle gut abgesichert ? Welche sind von der Hierarchie nach eurer Erfahrung die besten oder besser gesagt was ist die best practice Lösung?
VG
dece
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 448808
Url: https://administrator.de/forum/vpn-verbindung-best-practice-448808.html
Ausgedruckt am: 23.12.2024 um 01:12 Uhr
7 Kommentare
Neuester Kommentar
Nein, das sind sie nicht !
Denke mal selber etwas nach !! In der Regel stehen die Server im internen LAN geschützt hinter einer Firewall. Um VPNs auf solchen Servern und NAS zu terminieren musst du immer ein Loch in die Firewall bohren und den ungeschützten VPN Traffic aus dem Internet in dein lokales LAN lassen.
Schlimmer noch: bricht ein Angreifer aus dem VPN Server dann aus, ist er direkt und ungeschützt in deinem lokalen LAN.
Aus Sicherheitsgründen ist das immer ein absolutes NoGo. Deshalb terminiert man VPNs immer auf der Peripherie oder zumindest auf einem dedizierten Server in einer abgeschotteten DMZ. Nur das ist "Best Practice !"
Das es auf NAS und vielen anderen Geräten implementiert ist liegt zum einen daran das deren OS zu 99% ein unixoides OS ist (Linux, FreeBSD usw.) ist und da ist sowas als "Abfallprodukt" dann dabei. Zum anderen diktiert es der Massenmarkt. Jeder DAU will Oma Grete oder wem auch immer seine Bildersammlung zeigen oder mit dem Kumpel Quake spielen. Wobei es dann noch die geringe Anzahl an guten DAUs sind die wenigstens VPNs nutzen. Die Masse macht sowas schlicht und einfach per gänzlich ungeschütztem Port Forwarding.
Dazu muss es einfach Klicki Bunti sein damit DAU es kauft und um nicht über Sicherheit usw. nachzudenken. Wenn es dann zum GAU kommt sind die aber immer die ersten die nach Staat, Polizei und Armee schreien statt nach gesundem Menschenverstand.
Wie immer ist der menschliche Faktor der Fehler bei sowas. Alles simple Binsenweisheiten die du aber eigentlich als Admin auch kennen solltest.
Denke mal selber etwas nach !! In der Regel stehen die Server im internen LAN geschützt hinter einer Firewall. Um VPNs auf solchen Servern und NAS zu terminieren musst du immer ein Loch in die Firewall bohren und den ungeschützten VPN Traffic aus dem Internet in dein lokales LAN lassen.
Schlimmer noch: bricht ein Angreifer aus dem VPN Server dann aus, ist er direkt und ungeschützt in deinem lokalen LAN.
Aus Sicherheitsgründen ist das immer ein absolutes NoGo. Deshalb terminiert man VPNs immer auf der Peripherie oder zumindest auf einem dedizierten Server in einer abgeschotteten DMZ. Nur das ist "Best Practice !"
Das es auf NAS und vielen anderen Geräten implementiert ist liegt zum einen daran das deren OS zu 99% ein unixoides OS ist (Linux, FreeBSD usw.) ist und da ist sowas als "Abfallprodukt" dann dabei. Zum anderen diktiert es der Massenmarkt. Jeder DAU will Oma Grete oder wem auch immer seine Bildersammlung zeigen oder mit dem Kumpel Quake spielen. Wobei es dann noch die geringe Anzahl an guten DAUs sind die wenigstens VPNs nutzen. Die Masse macht sowas schlicht und einfach per gänzlich ungeschütztem Port Forwarding.
Dazu muss es einfach Klicki Bunti sein damit DAU es kauft und um nicht über Sicherheit usw. nachzudenken. Wenn es dann zum GAU kommt sind die aber immer die ersten die nach Staat, Polizei und Armee schreien statt nach gesundem Menschenverstand.
Wie immer ist der menschliche Faktor der Fehler bei sowas. Alles simple Binsenweisheiten die du aber eigentlich als Admin auch kennen solltest.
Moin,
und als Admin solltest du doch eigentlich auch lesen können, oder?
a) geht es hier nicht um die Frage ob der SERVER sicher ist sondern ob das VPN genauso sicher ist. Und hier kann man guten Gewissens sagen: Hängt davon ab was für eine VPN-Geschmacksrichtung man wählt.... Man kann auf Windows ja ebenfalls so ziemlich alles raufhauen - OpenVPN,...
b) Glaubst du wirklich das es einen Unterschied macht ob du jetzt die tolle Cisco-Hardware kaufst (oder andere) oder ob du dein eigenes Linux betreibst? Auch hier hängt das eher von den Fähigkeiten ab - Cisco hat genauso oft Sicherheitslücken drin (die ohne Support-Vertrag dann nur nicht gefixt werden)....
Also - bevor du gleich lostobst von wegen das es ja in ne DMZ gehört, das es ja nich aufn Server gehört - einfach mal die Frage lesen. Es geht darum ob ein Windows-VPN genauso sicher ist, es steht nichts davon drin das man das auf nem DC mit draufhauen will, es kann genauso gut auch ein einzelner Win-Server eben IN der DMZ sein der NUR VPN macht. Die Umgebung steht nirgends, nur die Frage ob das VPN an sich Sicher ist. Und da ist Windows nix anderes als jeder Router, jedes Linux-OS,... -> alle davon bekomm ich so durchlöchtert das man das VPN auch gleich sein lassen kann.
und als Admin solltest du doch eigentlich auch lesen können, oder?
a) geht es hier nicht um die Frage ob der SERVER sicher ist sondern ob das VPN genauso sicher ist. Und hier kann man guten Gewissens sagen: Hängt davon ab was für eine VPN-Geschmacksrichtung man wählt.... Man kann auf Windows ja ebenfalls so ziemlich alles raufhauen - OpenVPN,...
b) Glaubst du wirklich das es einen Unterschied macht ob du jetzt die tolle Cisco-Hardware kaufst (oder andere) oder ob du dein eigenes Linux betreibst? Auch hier hängt das eher von den Fähigkeiten ab - Cisco hat genauso oft Sicherheitslücken drin (die ohne Support-Vertrag dann nur nicht gefixt werden)....
Also - bevor du gleich lostobst von wegen das es ja in ne DMZ gehört, das es ja nich aufn Server gehört - einfach mal die Frage lesen. Es geht darum ob ein Windows-VPN genauso sicher ist, es steht nichts davon drin das man das auf nem DC mit draufhauen will, es kann genauso gut auch ein einzelner Win-Server eben IN der DMZ sein der NUR VPN macht. Die Umgebung steht nirgends, nur die Frage ob das VPN an sich Sicher ist. Und da ist Windows nix anderes als jeder Router, jedes Linux-OS,... -> alle davon bekomm ich so durchlöchtert das man das VPN auch gleich sein lassen kann.
Das ist wenn man sich den Punkt anschaut aber den Satz nicht und wie viele Lücken kennst du in Windows? So außerdem musst du für jedes VPN hinter! Der firewall wieder Lücken reisen die du eigentlich direkt wieder fixen darfst (und die Angriffs Oberfläche direkt mit vergrößerst) was aber selten gemacht wird. Da kann die VPN ähnlich sicher sein { macht aber nix) der Gesamtaufbau ist es aber nicht. Ein Porsche ist toll, doof aber wenn die Aufgabe darin besteht 40t zu ziehen. Da hilft es auch nix, wenn der chef vom Porsche schwärmt, wenn seine Aufgabe mit dieser Betrachtung nicht lösbar ist.