porfavor
Goto Top

Wie sicher ist EAP-MSChapv2?

Hallo,

kann man guten Gewissens diesen VPN-Typ in einem privaten Netzwerk benutzen? Angenommen, die VPN-Verbindung wird allgemein selten und dann zu 90 % nur in nicht öffentlichen WLANs und zu 10 % in öffentlichen WLANs hergestellt.

Die Problematik mit den Man-in-the-middle-Angriffen ist mir bekannt. Allerdings bekomme ich OpenVPN nicht richtig konfiguriert (Routing, Firewall, was auch immer) und denke darüber nach, bei EAP-MSChapv2 zu bleiben.

Wie wahrscheinlich wäre ein (erfolgreicher) Angriff in dem geschilderten Szenario?

Vielen Dank vorab für eure Einschätzungen.

Content-Key: 560786

Url: https://administrator.de/contentid/560786

Printed on: April 21, 2024 at 18:04 o'clock

Member: tomolpi
tomolpi Mar 25, 2020 updated at 09:14:42 (UTC)
Goto Top
Hallo,

bitte nicht verwechseln: EAP-MSChapv2 ist KEIN VPN-Typ (das wären SSTP, L2TP/IPsec, IKEv2, PPTP), sondern ein Authentifizierungsprotokoll: https://en.wikipedia.org/wiki/MS-CHAP

Also: welchen VPN-Typ verwendest du wirklich?

Grüße

tomolpi
Member: Kraemer
Kraemer Mar 25, 2020 updated at 09:21:07 (UTC)
Goto Top
Zitat von @Porfavor:
Wie wahrscheinlich wäre ein (erfolgreicher) Angriff in dem geschilderten Szenario?
Naja - ich würde sagen extrem, weil selbst Microsoft schon vor 8 Jahren davor gewarnt hat, dieses zu benutzen: https://www.heise.de/security/meldung/Microsoft-warnt-vor-PPTP-und-MS-CH ...

Gruß

PS:

Zitat von @tomolpi:
Also: welchen VPN-Typ verwendest du wirklich?
höchst wahrscheinlich PPTP
Member: tikayevent
tikayevent Mar 25, 2020 at 09:28:08 (UTC)
Goto Top
Es wurde vor MS-CHAPv2 alleine gewarnt, die Frage war aber EAP/MS-CHAPv2, wobei es korrekt PEAP/MS-CHAPv2 heißen müsste.
Durch das PEAP wird mitgeteilt, dass die Authentifierung über einen TLS-Tunnel zwischen Client und Server läuft.

Wichtiger wäre hier der verwendete VPN-Typ, da PPTP definitiv nicht mehr verwendet werden sollte. Es können jedoch auch andere VPN-Typen mit PEAP/MS-CHAPv2 verwendet werden, u.a. auch ein IKEv2.
Member: aqui
aqui Mar 25, 2020 updated at 09:53:39 (UTC)
Goto Top
PEAP gilt als hinreichend sicher, da es einen TLS Tunnel verwendet der derzeit als sicher gilt.
Aber wie Kollege @tomolpi oben schon richtig sagt sind die VPN Kenntnisse des TO wohl nur sehr rudimentär bis gar nicht vorhanden, denn EAP-MSChapv2 hat mit einem VPN Protokoll so viel zu tun wie ein Fisch mit einem Fahrrad.
Es dient lediglich zur Nutzer Authentisierung und nichts anderem.
Siehe auch hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

OpenVPN nutzt wenn man sicher gehen will, immer nur Zertifikate die mit EAP-MSChapv2 nix am Hut haben und es zudem gar nicht supporten.
Die entsprechenden Zertifikate generiert man mit mit dem Easy-RSA Tool was jeder OVPN Installation beigepackt ist oder nimmt das einfach XCA Tool was da ruckzuck für die Klicki Bunti Fraktion erledigt:
Siehe auch:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
https://hohnstaedt.de/xca/

Wie man daraus eine laufende OVPN Konfig bastelt steht hier:
OpenVPN - Erreiche Netzwerk hinter Client nicht
bzw.
OpenVPN einrichten um NAS zugänglich zu machen - Kein Ping
Der letztere Thread zeigt auch welche Port Forwarding und Routing Einträge bei einem internen Server zu machen sind.
Member: Porfavor
Porfavor Mar 25, 2020 at 09:55:01 (UTC)
Goto Top
Ich nutze SSTP, sorry. PPTP nutze ich natürlich nicht.
Member: Porfavor
Porfavor Mar 25, 2020 at 09:57:23 (UTC)
Goto Top
OpenVPN ist bereits eingerichtet, die Verbindungsherstellung funktioniert auch, nur der Zugriff aufs LAN nicht. Daran bin ich parallel. Wenn ich aber SSTP mit (P)EAP/MSCHAPv2 ohne Sorgen nutzen kann, würde ich das eher tun wollen, weil das für mich weniger Probleme in der Konfiguration aufwirft.
Member: Porfavor
Porfavor Mar 25, 2020 at 17:53:15 (UTC)
Goto Top
Wie wäre in diesem Fall (SSTP mit (P)EAP/MSCHAPv2) die Beurteilung?