4
Was ist von der Sicherheit von Open-Source VPN-Softwareroutern zu halten?
Ich kenne eine Firma die zur Vernetzung Ihrer Standorte den Open-Source Softwarerouter fli4L (www.fli4l.de) verwendet.
Der Router ist jeweils auf einem PC installiert und führt über ein DSL-Modem eine Direkteinwahl ins Internet durch. Die Software kann dann VPN-Tunnel aufbauen.
Ich frage mich nun, wie man eine solche Lösung bezüglich der Sicherheit bewerten kann. Nach meinem Ermessen ist das ein Risiko, da fli4L ja keine explizite Firewall ist und damit ein potentielles Risiko darstellt. Zudem kann ich nicht greifen, was so ein Open-Source-Produkt im Vergleich zu den Lösungen etablierter Hersteller bezüglich Verfügbarkeit, Zuverlässigkeit und Sicherheit bedeutet.
Hat von Euch jemand Erfahrunge wie man sowas beurteilen Kann?
Ich freu mich über jeden konstruktiven Beitrag!
Danke im Voraus für Eure nette Hilfe!
Der Router ist jeweils auf einem PC installiert und führt über ein DSL-Modem eine Direkteinwahl ins Internet durch. Die Software kann dann VPN-Tunnel aufbauen.
Ich frage mich nun, wie man eine solche Lösung bezüglich der Sicherheit bewerten kann. Nach meinem Ermessen ist das ein Risiko, da fli4L ja keine explizite Firewall ist und damit ein potentielles Risiko darstellt. Zudem kann ich nicht greifen, was so ein Open-Source-Produkt im Vergleich zu den Lösungen etablierter Hersteller bezüglich Verfügbarkeit, Zuverlässigkeit und Sicherheit bedeutet.
Hat von Euch jemand Erfahrunge wie man sowas beurteilen Kann?
Ich freu mich über jeden konstruktiven Beitrag!
Danke im Voraus für Eure nette Hilfe!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 153331
Url: https://administrator.de/contentid/153331
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
4 Kommentare
Neuester Kommentar
Eine qualifizierte Antwort auf deine Frage ist schwer mit den oberflächlichen Informationen die du lieferst. Relevant wäre zu wissen welches VPN Protokoll dieses Produkt verwendet.
In der Regel ist das meist IPsec im ESP Modus, kann aber auch PPTP oder L2TP sein.
Letztlich resultiert deine Frage doch generell in der Sicherheit der Protokolle und nichts weiterem. Kommerzielle Anwenden nutzen nichts anderes sondern bewegen sich auch immer innerhalb dieser verfügbaren VPN Protokolle, da sie weltweiter Standard sind. Etwas Proprietäres würde eine heterogene VPN Vernetzung verhindern und den Benutzer auf eine feste Plattform und auch Hersteller bzw. dessen Support festnageln. Kein Anwender macht sowas heutzutage noch !
Die o.a. Frage reduziert sich also allein auf die Protokollsicherheit, nichts weiter.
IPsec gilt als hinreichend sicher sofern man sichere Passwörter verwendet. PPTP hat früher Probleme gehabt mit dem relativ unsicheren RC4 Algorythmus der leicht knackbar war. Mittlerweil nutzt es aber MSCHAP-v2 das diese Lücke nicht mehr hat. Es steht und fällt aber mit sicheren Passwörtern. Banalpasswörter machen PPTP angreifbar mit sog. Dictionary Attacks. Wegen dieser Diskussion gilt PPTP als weniger sicher, was aber nicht der Fall ist wenn man entsprechede Passwörter nutzt.
L2TP nutzt als Basis auch IPsec mit ESP Tunneln. SSL die Standard Cryptomethoden dieses Protokolls.
Das könnte man hier endlos so weiterspinnen mt allen Möglichkeiten, da du keinerlei Informationen zu deinen verwendeten VPN Protokollen lieferst
sprengt also somit den Rahmen eines Forums.
FLI4L ist als OS nicht das schlechteste, da weniger angreifbar bietet aber in der Tat weniger FW Möglichkeiten als andere Lösungen. Wer damit leben kann... kein Problem !
Die Installation auf einem PC ist aber weniger ökonomisch, da sie sehr viel sinnlose Energie verbraucht und nicht ganz verschleissfrei ist (z.B. Lüfter etc.) für den Dauerbetrieb.
Es gibt dort erheblich bessere Lösungen. Viel sinnvoller ist deshalb eine kleine direkte freie Firewall Appliance. Nichts anderes nutzen professionelle Hersteller auch. So gut wie alle VPN Firewalls basierem auf einem gehärteten Linux oder BSD Unix bei dem der Nutzer nur ein Webinterface nutzt. Sie bieten mehrere VPN Protokolle meist PPTP / L2TP und IPsec zur Auswahl an.
Die Sicherheit dieser Geräte steht professionellen FW in nichts nach, auch nicht featureseitig. Kein Wunder, denn sie basieren auf dem gleichen OS bzw. Protokollen !
Wie man sowas installiert sagt dir im Detail dieses Tutorial bei Admin.de:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
In der Regel ist das meist IPsec im ESP Modus, kann aber auch PPTP oder L2TP sein.
Letztlich resultiert deine Frage doch generell in der Sicherheit der Protokolle und nichts weiterem. Kommerzielle Anwenden nutzen nichts anderes sondern bewegen sich auch immer innerhalb dieser verfügbaren VPN Protokolle, da sie weltweiter Standard sind. Etwas Proprietäres würde eine heterogene VPN Vernetzung verhindern und den Benutzer auf eine feste Plattform und auch Hersteller bzw. dessen Support festnageln. Kein Anwender macht sowas heutzutage noch !
Die o.a. Frage reduziert sich also allein auf die Protokollsicherheit, nichts weiter.
IPsec gilt als hinreichend sicher sofern man sichere Passwörter verwendet. PPTP hat früher Probleme gehabt mit dem relativ unsicheren RC4 Algorythmus der leicht knackbar war. Mittlerweil nutzt es aber MSCHAP-v2 das diese Lücke nicht mehr hat. Es steht und fällt aber mit sicheren Passwörtern. Banalpasswörter machen PPTP angreifbar mit sog. Dictionary Attacks. Wegen dieser Diskussion gilt PPTP als weniger sicher, was aber nicht der Fall ist wenn man entsprechede Passwörter nutzt.
L2TP nutzt als Basis auch IPsec mit ESP Tunneln. SSL die Standard Cryptomethoden dieses Protokolls.
Das könnte man hier endlos so weiterspinnen mt allen Möglichkeiten, da du keinerlei Informationen zu deinen verwendeten VPN Protokollen lieferst
sprengt also somit den Rahmen eines Forums.FLI4L ist als OS nicht das schlechteste, da weniger angreifbar bietet aber in der Tat weniger FW Möglichkeiten als andere Lösungen. Wer damit leben kann... kein Problem !
Die Installation auf einem PC ist aber weniger ökonomisch, da sie sehr viel sinnlose Energie verbraucht und nicht ganz verschleissfrei ist (z.B. Lüfter etc.) für den Dauerbetrieb.
Es gibt dort erheblich bessere Lösungen. Viel sinnvoller ist deshalb eine kleine direkte freie Firewall Appliance. Nichts anderes nutzen professionelle Hersteller auch. So gut wie alle VPN Firewalls basierem auf einem gehärteten Linux oder BSD Unix bei dem der Nutzer nur ein Webinterface nutzt. Sie bieten mehrere VPN Protokolle meist PPTP / L2TP und IPsec zur Auswahl an.
Die Sicherheit dieser Geräte steht professionellen FW in nichts nach, auch nicht featureseitig. Kein Wunder, denn sie basieren auf dem gleichen OS bzw. Protokollen !
Wie man sowas installiert sagt dir im Detail dieses Tutorial bei Admin.de:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Hallo aqui,
vielen Dank für Deine kompetente und umfassende Antwort.
Soweit ich weiss, wird dort IPsec für die VPN-Verbindungen eingesetzt. Bei der Frage nach der Sicherheit habe ich aber eher den Datenverkehr gemeint, der nicht durch den VPN-Tunnel bewegt wird. Selbst wenn der Tunnel an sich als gut abgesichert zu betrachten ist, so ist doch die direkte Verbindung der fli4L-Router mit dem Internet ohne Firewall davor ein Problem das ich zu bewerten versuche.
Mir geht es da weniger um die Detaills, sondern um die grundsätzliche Diskussion für und wieder solcher Lösungen.
Vielen Dank nochmal!
vielen Dank für Deine kompetente und umfassende Antwort.
Soweit ich weiss, wird dort IPsec für die VPN-Verbindungen eingesetzt. Bei der Frage nach der Sicherheit habe ich aber eher den Datenverkehr gemeint, der nicht durch den VPN-Tunnel bewegt wird. Selbst wenn der Tunnel an sich als gut abgesichert zu betrachten ist, so ist doch die direkte Verbindung der fli4L-Router mit dem Internet ohne Firewall davor ein Problem das ich zu bewerten versuche.
Mir geht es da weniger um die Detaills, sondern um die grundsätzliche Diskussion für und wieder solcher Lösungen.
Vielen Dank nochmal!
Hallo,
neben den verwendeten Protokollen spielt bei einer Implemtierung von VPN das KnowHow des Einrichters eine grosse Rolle. Eine Fli4L-Einrichtung kann genauso sicher sein wie eine Appliancelösung von einem der "grossen" Hersteller. Die Lösung von einem großen Hersteller kann aber genausogut komplett unsicher sein, wenn der einrichtende Techniker kein Plan hat und sich nur auf den Namen der Lösung verlässt.
Es gibt also keine grundsätzliche Antwort auf Deine Frage. Zumal Du auf die Firewall ansprichst die Fli4L genauso mit an Bord hat (haben kann) wie andere Lösungen auch.
Gruß,
Andreas
neben den verwendeten Protokollen spielt bei einer Implemtierung von VPN das KnowHow des Einrichters eine grosse Rolle. Eine Fli4L-Einrichtung kann genauso sicher sein wie eine Appliancelösung von einem der "grossen" Hersteller. Die Lösung von einem großen Hersteller kann aber genausogut komplett unsicher sein, wenn der einrichtende Techniker kein Plan hat und sich nur auf den Namen der Lösung verlässt.
Es gibt also keine grundsätzliche Antwort auf Deine Frage. Zumal Du auf die Firewall ansprichst die Fli4L genauso mit an Bord hat (haben kann) wie andere Lösungen auch.
Gruß,
Andreas
Na ja Fli4L besitzt eine simple NAT Firewall. Steht also damit auf einer Stufe wie alle am Markt befindlichen Consumer DSL Router. NAT bietet schon eine gewisse Sicherheit aber nicht umfassend.
Wenn du das Quäntchen noch dazunehmen willst nimmst du sowas wie pFsense, Monowall, IPCop Endian und wie sie alle heissen. Die Kommerziellen sind da gleich denn es werkelt dasselbe OS im Hintergrund. Bei den kommerziellen ist der einzige Punkt das sie dedizierten Support liefern zu den Produkten. Der Rest ist mehr oder weniger gleich.
Musst also entscheiden ob dir eine SPI Firewall on Top zu NAT dich sicherer macht. Einige Midrange Router wie Draytek, Lancom, DD-WRT bieten auch SPIs wie die o.a. Firewall Router. Für eine erhöhte Sicherheit ist die Wahl eines solchen Systemes als generell etwas besser in puncto Sicherheit !
Wenn du das Quäntchen noch dazunehmen willst nimmst du sowas wie pFsense, Monowall, IPCop Endian und wie sie alle heissen. Die Kommerziellen sind da gleich denn es werkelt dasselbe OS im Hintergrund. Bei den kommerziellen ist der einzige Punkt das sie dedizierten Support liefern zu den Produkten. Der Rest ist mehr oder weniger gleich.
Musst also entscheiden ob dir eine SPI Firewall on Top zu NAT dich sicherer macht. Einige Midrange Router wie Draytek, Lancom, DD-WRT bieten auch SPIs wie die o.a. Firewall Router. Für eine erhöhte Sicherheit ist die Wahl eines solchen Systemes als generell etwas besser in puncto Sicherheit !
