bodegabar
Goto Top

Zugang zum Firmennetz über VPN, wie sicher ist das ?

Unser Wunsch:
Unsere Anwender sollen sich mittles dem Cisco VPN Client übers Internet mit unserem Firmen Netz verbinden können.
Technisch ist dies ja auch kein Problem.
Hab aber da eine sicherheitstechnische Frage: Wie sicher ist das, wenn die User entweder ihr eigenes WLAN zuhause nutzen ( da kann ich als Admin ja sowieso nicht kontrollieren, welche bzw. ob überhaubt eine Verschlüsselung des privaten WLAN Netzes verwendet wird),
oder sie wählen sich über irgendwelche HOTSPOTS ein....
Wie seht ihr das ?
Ich weiß, sobald der Cisco Client aktiv ist, hab ich einen verschlüsselten Tunnel, aber ist dies alles 100% sicher ?
Danke für Eure Beiträge

der bo

Content-ID: 70940

Url: https://administrator.de/contentid/70940

Ausgedruckt am: 22.11.2024 um 16:11 Uhr

Supaman
Supaman 15.10.2007 um 10:27:12 Uhr
Goto Top
vpn ist sehr sicher, aber wie du schon richtig erkannt hast, bezieht sich das nur auf die verbindung. kritisch ist die "abdichtung" des clients, z.b. keine einwahl möglich ohne aktuellen virenscanner, wlan abschalten, keine admin rechte für die user etc.
aqui
aqui 15.10.2007 um 11:45:26 Uhr
Goto Top
Mit solchen Pauschalurteilen sollte man etwas vorsichtig sein denn die Sicherheit hängt in sehr entscheidendem Masse vom verwendeten VPN Protokoll ab und davon gibt es einige. PPTP ist deshalb weniger sicher als IPsec.
Der Cisco VPN Client benutzt aber IPsec für den Zugang und für IPsec sind bis dato keine Einbruchsversuche oder Szenarien bekannt. Ergo gilt IPsec derzeit als das sicherste aller VPN Protokolle, so das du davon ausgehen kannst das egal wo du bist, Hotspot oder was auch immer, du mit IPsec 100%ig auf der sicheren Seite bist !
Liest dir die Schlüssel Spezifikationen von IPsec durch im RFC dann kannst du dies auch selber nochmal verifizieren falls du dennoch Zweifel haben solltest !
gnarff
gnarff 15.10.2007 um 23:03:57 Uhr
Goto Top

Liest dir die Schlüssel Spezifikationen
von IPsec durch im RFC dann kannst du dies
auch selber nochmal verifizieren falls du
dennoch Zweifel haben solltest !

Schön ausgeführt, aqui!
Das betreffende Dokument, der Entwurf zu den Spezifikationen, ist die RFC2411 bzw. RFC2401

Darüberhinaus gibt es in dem Dokument IPSec, Internet Protocol Security protocol suite alles noch einmal leicht verständlich erklärt, mit zahlreichen Querverweisen zu den RFC's die da noch mit hineinspielen...

Allerdings ist es durchaus möglich Ipsec via VPN anzugreifen, wie das Dokument Penetration Testing IPsec VPNs von Rohyt Belani, K. K. Mookhey, 2005-02-09, aufzeigt.

"VPNs are commonly ignored during a vulnerability assessment, due to the myth that they are inherently secure. While VPNs do provide a means for secure communication, if they are incorrectly configured they are still vulnerable, just as any other Internet-facing system."

saludos
gnarff
strunzmeier
strunzmeier 16.10.2007 um 00:18:26 Uhr
Goto Top
Wenn du die Sicherheit erhöhen möchtest, bietet sich die Integration von Network Access Control/Protection an. Dies ist wohl ab W2003 möglich, wird aber mit Windows 2008 wohl eine starke Vereinfachung und eine höhere Priorität von MS bekommen. Desweiteren arbeitet MS mit fast allen großen Hersteller zusammen (Cisco, McAfee, etc) um es besser im Markt etablieren zu können. Als Clientsystem kommen Windows Vista und Windows XP (ab SP3, das erst noch kommt...) bisher in Frage.

NAP/NAC gestattet nur regelkonformen Rechner den kompletten Zugriff auf das Netzwerk. Der Rechner hat, bis er regelkonform ist vereinfacht gesagt nur Zugriff auf die Firmeneigenen Update Server (WSUS/Antivirus).
Microsoft hat seit Anfang des Jahres 2 Webcasts dazu online gestellt.

Momentan kocht jeder große AV Hersteller sein eigenes Süppchen z.B.: McAfee Mobile Security for Enterprise.

Die größte Sicherheit wird man h.w. nur dann haben, wenn statt einer VPN-Verbindung nur ein Webportal/SSL Gateway (wie Citrix Access Essentials oder SSL-Explorer) benutzt wird, da dann nur die Anwendung (ICA/RDP) auf den Serverdienst zugreifen kann und nicht wie bei einer VPN Verbindung der Rechner auf das komplette Netzwerk (falls die Firewall nicht ordentlich konfiguriert wurde).

Über die Sicherheitsunterschiede zwischen SSLVPNs und IPSEC läßt es sich streiten...
... aber es wird schon Gründe dafür geben, das z.B. Firewall Hersteller wie Astaro auch SSLVPNs (auf Basis von OpenVPN) inzwischen als Alternativ parallel zu IPSEC anbieten.

mfg
Strunzmeier
bodegabar
bodegabar 16.10.2007 um 12:19:25 Uhr
Goto Top
erstmal vielen Dank für die vielen antworten.
ich bin zwar nicht der security spezialist, aber ich hoffe doch das ein oder andere einigermaßen verstanden zu haben.
es ist also so, sobald ich über den cisco vpn client einen "tunnel" aufgebaut habe, sollte mein netz so ziemlich dicht sein. ( egal ob ich einen hotspot, wlan, umtskarte.... verbunden bin).
ist das richtig so ?
soviel ich weiss, bringt der cisco vpn client ja auch noch eine firewall mit....

danke,
es grüßt...
der bo
aqui
aqui 16.10.2007 um 15:57:53 Uhr
Goto Top
Mmmmhhh...eigentlich nicht, denn liest du dir die Ausführungen von gnarff und Anderen nochmal genau durch müsste dein Satz lauten:

Wenn ich den VPN Client benutze (Hersteller spielt keine Rolle...) und er IPsec macht und ich ihn sauber und richtig konfiguriert habe und auch das Passwort sicher ist (besser wären Zertifikate !), dann bin ich ziemlich sicher geschützt vor Angriffen egal wo ich mich aufhalte.

Dann könnte man das mit Ja durchgehen lassen. So wie oben klingt der Satz aus Sicherheitssicht etwas naiv...

Wenns das war, dann bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
gnarff
gnarff 16.10.2007 um 19:43:53 Uhr
Goto Top
Um es zusammenzufassen:
1. Ein IPsec VPN ist nur dann sicher, wenn es korrekt konfiguriert wurde.
2. Verbindet sich der externe Mitarbeiter jedoch drahtlos, so wird der WLAN-Router bzw. AP zum Angriffspunkt und zum Einfallstor für einen Angreifer.
Mangelhafte Konfiguration und armselige Verschlüsselung dürften dann der Hauptgrund dafür sein, dass Du dann Dein IPsec VPN bei einem Angriff "in die Tonne treten kannst"...

saludos
gnarff