lopes 10 Posted November 8, 2006 Report Share Posted November 8, 2006 Hallo erst mal, ich wollte mal nachfragen. Mit welchen Protokollen ihr eure VPN Verbindung einrichtet(pptp,IPsec,L2TP, mit Zertifikat, MS-CHAP, usw...) bzw was am sichersten ist. Ich möchte im Prinziep das maximale an sicherheit erreichen ohne eine zusätzliche Hardware (z.B. Kartenlesegerät) verwenden zu müssen. Genutz wird Win 2003 mit ras, zertifikatserver ist auch bereits installiert Client ist Win xp prof. Quote Link to comment
nouseforaname 10 Posted November 8, 2006 Report Share Posted November 8, 2006 Hi, das höchste Maß an Sicherheit würde wohl ein l2tp+ipsec tunnel, mit einer EAP-Variante zur Authentifizierung bieten. Aber das Zertifikat im lokalen Zertifikatsspeicher ist nicht optimal! hier ein guter Überblick Virtual Private Networks mfg kai Quote Link to comment
lopes 10 Posted November 8, 2006 Author Report Share Posted November 8, 2006 vielen dank für die schnelle Antwort! ""Aber das Zertifikat im lokalen Zertifikatsspeicher ist nicht optimal!"" Aus welchem Grund? Ich dachte mit Zertifikat ist es noch einmal eine Sicherheitsstufe höher. Quote Link to comment
nouseforaname 10 Posted November 8, 2006 Report Share Posted November 8, 2006 Hi, Zertifikate sind eine der sichersten Möglichkeiten zur Authentifizierung. das Zertifikat sollte wenn möglich auf einem geschützten Medium abgelegt werden. z. B. einer SmartCard. Übertrieben gesagt: zu vergleichen mit Menschen die sich ihr Passwort zur Anmeldung mit einem Post-It ans TFT kleben! mfg kai Quote Link to comment
lopes 10 Posted November 8, 2006 Author Report Share Posted November 8, 2006 hi, sind den Zertifikate so einfach von einem PC zu exportieren? Ich dachte immer ein Zertifikat ist fest auf dem PC "zugeschnitten" und nur mit dem PC nutzbar. Was kosten denn solche Smartcards? Würde ein einfacher USB Stick auch reichen um das Zertifikat zu Speichern, er müsste eben bei jeder VPN Verbindung eingesteckt werden... Nur mal angenommen jemand würde den PC stehlen auf dem das Zertifikat drauf gespeichert ist. --> Dann hat er zugriff auf die VPN Verbindung bzw. ist Autorisiert denn bei vpn mit Zertifikat wird nicht mehr nach einem PW gefragt. Aber er hat keinen Zugriff auf Daten Inerhalb der Domäne, da er ja keinen gültigen AD account bzw. PW hat. Was ist nun anderst wenn das Zertifikat auf einer Smartcard ist? Und das Gerät wird auch gestohlen? Quote Link to comment
nerd 28 Posted November 8, 2006 Report Share Posted November 8, 2006 Hi, sicherer Systeme sollten immer etwas voraussetzten was man weiß, was man hat und etwas was man bekomme - um das mal ganz frei aus dem englischen zu übersetzten. Soll heißen. Verwendest du ein Zertifikat welches auf dem Client abgespeichert ist und dort nicht geschützt ist verminderst du die Sicherheit da jemand der im "Besitz" des Rechners ist auch die Authentifizierung vornehmen kann. Die Sicherheit der Kommunikation der beiden VPN Punkte betrifft das aber nicht. In unserem CMS gibts auch ein gutes HowTo von unserem MVP zu dem Thema: Windows Server How-To Guides: Einrichten einer L2TP/IPSec Verbindung mit Zertifikaten - ServerHowTo.de Liebe Grüße Quote Link to comment
nerd 28 Posted November 8, 2006 Report Share Posted November 8, 2006 hi, sind den Zertifikate so einfach von einem PC zu exportieren? Ich dachte immer ein Zertifikat ist fest auf dem PC "zugeschnitten" und nur mit dem PC nutzbar. Was kosten denn solche Smartcards? Würde ein einfacher USB Stick auch reichen um das Zertifikat zu Speichern, er müsste eben bei jeder VPN Verbindung eingesteckt werden... Hi, nein Zertifikate sind nicht an Rechner gebunden. Mit TPM Chips soll das mal möglich sein bzw. ist das möglich. Dann werden die Certs aber auf dem Chip gespeichert. Smartcard lösungen werden sehr unterschiedlich bepreist. Das kommt auch darauf an wie groß der Aufbau sein soll. USB Stick "reicht" an sich auch. Der Vorteil von Smartcards ist, dass diese das Cert erst nach Eingabe eines Passwortes frei geben - das kann ein USB Stick so nicht leisten. Gruß Quote Link to comment
lopes 10 Posted November 8, 2006 Author Report Share Posted November 8, 2006 Hey klasse :-) vielen dank das war echt schnell. Den Link werde ich mir gleich mal anschauen. Du würdest also auch die L2TP-IPsec ->EAP Zertifikats sache mit Smartkart nutzen? Quote Link to comment
nerd 28 Posted November 8, 2006 Report Share Posted November 8, 2006 Hey klasse :-) vielen dank das war echt schnell. Den Link werde ich mir gleich mal anschauen. Du würdest also auch die L2TP-IPsec ->EAP Zertifikats sache mit Smartkart nutzen? Hi, das kommt auf deine Sicherheitsanforderungen an. Wenn du eine Bank hast dann würde ich auch jede Fall ja sagen ;) Bei allem anderen muss man Kosten gegen Nutzen abgleichen. Gruß Quote Link to comment
lopes 10 Posted November 8, 2006 Author Report Share Posted November 8, 2006 Es soll eine Außenstelle angebunden werden mit 1 oder 2 Clients. Eigentlich nichts großartiges. Da aber User Bezogene Daten übertragen werden sollte es schon sicher sein. Wie überall ist soll es am besten nichts kosten... Das Problem ist das es meine Projektarbeit wird. Und ich nicht weis wie hoch die anforderungen der Prüfer sind. Ich denke eine normalen pptp VPN Verbindung wird da nicht ausreichen. mfg Lopes Quote Link to comment
nerd 28 Posted November 8, 2006 Report Share Posted November 8, 2006 Hi, also wie gesagt die Verschlüsselung der Übertragung hängt nicht davon ab ob die Certs auf einer Smartcard liegen oder nicht. Technisch "schöner" für eine solche Arbeit ist natürlich der Einsatz von SmarCards. Wobei natürlich die Zweckmäßigkeit dabei auch oft eine Rolle spielt. Du wirst also vermutlich nciht darum kommen die beiden Lösungen zu evaluieren und Angebote einzuholen. Gruß Quote Link to comment
lopes 10 Posted November 8, 2006 Author Report Share Posted November 8, 2006 """also wie gesagt die Verschlüsselung der Übertragung hängt nicht davon ab ob die Certs auf einer Smartcard liegen oder nicht.""" Es ging mir allgemein um "Sicherheit" nicht nur VPN Verbindung an sich. Wie gesagt falls der PC gestohlen wird usw.... Zum abschluss noch mal vielen vielen dank für die tollen Infos Quote Link to comment
grizzly999 11 Posted November 8, 2006 Report Share Posted November 8, 2006 Ich denke eine normalen pptp VPN Verbindung wird da nicht ausreichen. Das weiss ich nicht, und niemand hier. Genau da liegt in den meisten Fällen das eigentliche Problem, dass keine oder nur mangelhafte Anforderungen spezifiziert sind. Tue das als erstes, so detailiert wie möglich, und dann können wir auf dieser Basis faqchlich-sachlich weiter diskutieren ;) grizzly999 Quote Link to comment
lopes 10 Posted November 8, 2006 Author Report Share Posted November 8, 2006 Tolle Anleitung grizzly999 --> Windows Server How-To Guides: Home - ServerHowTo.de.... Die erklärt nun auch warum mein VPN+Zertifikat nicht geklappt hat :-D Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.