28 Antworten in diesem Thema

[xtragood]

Hi Leutz,

da ich meinem Vorstand beibringen möchte, warum der Einsatz eines VPN-Routers mit IPSec sinvoll wäre, bräuchte ich noch ein paar Argumente.

Weiß jemand von euch den genauen Unterschied bzw. Vorteil von IPSec gegenüber PPTP.

Ich wäre auch sehr erfreut über ein paar Links mit denen ich das auch gleich noch hinterlegen kann.


Gruß, xtra.

[FrEaK_@CH]

pptp gilt prinzipiell nicht mehr als sicher, ausser mit eap (zertifikaten).

wichtig ist noch, was für eine "art" von vpn du überhautp einsetzen willst... ist es ein site-to-site vpn, remote access vpn??

[xtragood]

Ist Remote Access VPN...

Aber "PPPTP gilt nicht mehr als sicher" reicht vorm Vorstand halt nicht, da brauch ich schon Beweise für, also vielleicht nen Link auf ne renomierte Seite, oder sowas...


Gruß, xtra.

[macabros]

hi,

es heißt point to point tunneling protokoll und demnach ist in deiner Beschreibung ein p zu viel...

ok hier mal ne Seite die ich mir mal dazu abgespeichert habe... dort steht kurz und knapp beschrieben was für Aufgaben die einzelnen Protokolle übernehmen... Es stimmt zwar das PPTP unsicherer ist, aber seh ich das etwas relativ bei einer 128bit Verschlüsselung...

http://www.tcp-ip-in..._protokolle.htm

greez

MacabroS

[Duffman]

Ich würde dir auch L2TP mit IPSEC empfehlen.
Und dann ist das Mistding dicht

[xtragood]

es heißt point to point tunneling protokoll und demnach ist in deiner Beschreibung ein p zu viel...

Schon geändert...

Zur Zeit ist unsere VPN-Lösung so, daß wir uns über PPTP und RAS-Server (ISA-Server) über Internet einwählen.

Würde es uns denn überhaupt irgendwelche Vorteile bringen, wenn wir auf einen VPN-Router mit IPSec-Funktionalität umsteigen würden?

Ausser sicherheitstechnischen Aspekten kann ich dem neuen Protokoll bisher also nichts abgewinnen...


Gruß, xtra.


PS: Bietet PPTP denn viel Angriffsfläche für Angriffe?

[Velius]

Hier etwas genauer:

L2TP vs. PPTP

One of the choices to make when deploying Windows 2000-based VPNs is whether to use L2TP/IPSec or PPTP. Windows XP VPN client computers and Windows 2000 VPN client and server computers support both L2TP/IPSec and PPTP by default. However, you still must decide whether one or both are supported on your network.

L2TP/IPSec and PPTP are similar in the following ways:
• They provide a logical transport mechanism to send PPP payloads.
• They provide tunneling or encapsulation so that PPP payloads based on any protocol can be sent across an IP network.
• They rely on the PPP connection process to perform user authentication and protocol configuration.

L2TP/IPSec and PPTP are different in the following ways:
• With PPTP, data encryption begins after the PPP connection process (and, therefore, PPP authentication) is completed. With L2TP/IPSec, data encryption begins before the PPP connection process.
• PPTP connections use MPPE, a stream cipher that is based on the Rivest-Shamir-Aldeman RC-4 encryption algorithm and provides 40, 56, or 128-bit encryption keys. Stream ciphers encrypt data as a bit stream. L2TP/IPSec connections use the Data Encryption Standard (DES), which is a block cipher that uses either a 56-bit key for DES or three 56-bit keys for 3-DES. Block ciphers encrypt data in discrete blocks (64-bit blocks, in the case of DES).
• PPTP connections require only user-level authentication through a PPP-based authentication protocol. L2TP/IPSec connections require the same user-level authentication and, in addition, computer-level authentication through a computer certificate.

http://www.microsoft...g0801.mspx#EDAA


Gruss
Velius


Das Hauptproblem von PPTP, neben einer kleineren Schwachstelle im Algorythmus, ist das Passwort. L2TP braucht, wenn man es ohne Pre-shared Key einsetzt, ein User und ein Computer Zertifikat.

[xtragood]

Ok...

langsam wird mir alles klarer. Also reicht bei uns der Auwand noch nicht auf IPSec umzustellen, da sich der Kosten-Effekt-Faktor noch nicht rentiert.

Danke für die Entscheidungshilfe trotzdem.


Gruß, xtra.

[FrEaK_@CH]

achja, ürbigens wird bei PPTP (mit MS-CHAP und so weiter, nicht aber EAP), der Username im Cleartext übertragen...womit natürlich ein Angriff noch einfacher ist.

Eben, der verwendete RC4 Algo gilt ja nicht mehr als wirklich sicher und in der Implementierung von PPTP ist dieser genauso einfach zu knacken wie beim NTLM / LM-HASH.

Aber achtung: auch ipsec ist nicht sicher bei einer falschen implentierung!!!

[xtragood]

achja, ürbigens wird bei PPTP (mit MS-CHAP und so weiter, nicht aber EAP), der Username im Cleartext übertragen...womit natürlich ein Angriff noch einfacher ist.

Hast du dafür nen Link für mich? Das würde die Sache nämlich wieder kippen...


Gruß, xtra.

[Velius]

Aber achtung: auch ipsec ist nicht sicher bei einer falschen implentierung!!!

Nichts ist sicher bei falscher Implementierung

[xtragood]

Hallo nochmal,

es wäre wichtig, dass ich ne renomierte Quelle hätte, die hinterlegen könnte, dass bei PPTP das Passwort im Klartext gesendet wird.

Hat da jemand was von euch?


Gruß, xtra.

[Velius]

Nicht das Passwort, der Username....

Ach Gott, ist das lange her....wart ma, ich kuck rasch bei MS.

[Velius]

Da bin ich wieder....


Es kommt auf den Authentifizierungsmechanismus an, der bei PPTP verwendet wird:

Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2)

Choosing EAP-TLS or MS-CHAP v2 for User-Level Authentication


So eng wie FrEaK_@CH würde ich das nicht sehen, dass PPTP nicht sicher sei. Ich denke es kommt auf den Anwendugszweck an, und wie stark die Daten, die übermittelt werden, einer Gefahr ausgesetzt sind.


Gruss
Velius

[Data1701]

@ Velius

Nicht das Passwort, der Username....

Sicher ?

Ich meine nämlich (Auszug aus meiner Diplomarbeit - Falls das als Quelle genügt ):

IPSec stellt nicht die einzige Möglichkeit der sicheren Kommunikation in
einem VPN dar, einige Unternehmen nutzen auch das Point-to-Point Tunneling
Protocol (PPTP). Bei diesem Protokoll handelt es um eine Erweiterung
des älteren Point-to-Point Protocol (PPP).
Das Point-to-Point Protocol ist ein Schicht 2 Protokoll (vgl. Abb. 3). Es
wurde von einem Firmenkonsortium, zu dem auch Microsoft gehörte, entwickeltet
und hat daher in der „Microsoft-Welt“ einen hohen Stellenwert. (Fußnote 25)
Wie IPSec ist es auch mit PPTP möglich einen sicheren Tunnel durch das
Internet aufzubauen. Von Vorteil ist hier die Möglichkeit Netzwerke, welche
verschiedene Netzwerkprotokolle verwenden, z.B. IP und IPX basierte
Netzwerke, miteinander zu verbinden, da die Kommunikation auf Ebene 2
unterhalb des eigentlichen Vermittlungsprotokolls stattfindet. Diesem Vorteil
steht aber der Nachteil der unzureichenden Datenverschlüsselung
entgegen. Die Authentifikation geschieht über das Password Authentification
Protocol (PAP), hier wird das Passwort des Benutzers im Klartext an
die annehmende Stelle übermittelt, bis es quittiert oder verweigert wird. (Fußnote 26)
Zwar wurden Verbesserungen an diesen Mechanismen vorgenommen,
diese konnten jedoch nie die Sicherheit von IPSec erreichen.

25 Vgl.: Microsoft (Hrsg): Virtuell Private Netzwerke (VPN): Eine Übersicht (Whitepaper),
S. 12, (Internetquelle).
26 Vgl.: a Campo, M. / Pohlmann, N.: Virtual private Networks, S. 165.

Wurde mir in Dipl-Arbeit nicht als falsch angekreidet, das mag aber auch Prof. gelegen haben

Gruß Data