Wie sicher ist welches Protokoll für VPN?

[lopes 10]

Hallo erst mal,

 

ich wollte mal nachfragen. Mit welchen Protokollen ihr eure VPN Verbindung einrichtet(pptp,IPsec,L2TP, mit Zertifikat, MS-CHAP, usw...) bzw was am sichersten ist.

 

Ich möchte im Prinziep das maximale an sicherheit erreichen ohne eine zusätzliche Hardware (z.B. Kartenlesegerät) verwenden zu müssen.

 

Genutz wird Win 2003 mit ras, zertifikatserver ist auch bereits installiert Client ist Win xp prof.

[nouseforaname 10]

Hi,

 

das höchste Maß an Sicherheit würde wohl ein l2tp+ipsec tunnel, mit einer EAP-Variante zur Authentifizierung bieten. Aber das Zertifikat im lokalen Zertifikatsspeicher ist nicht optimal!

 

hier ein guter Überblick

 

Virtual Private Networks

 

mfg

kai

[lopes 10]

vielen dank für die schnelle Antwort!

 

 

 

""Aber das Zertifikat im lokalen Zertifikatsspeicher ist nicht optimal!""

 

Aus welchem Grund? Ich dachte mit Zertifikat ist es noch einmal eine Sicherheitsstufe höher.

[nouseforaname 10]

Hi,

 

Zertifikate sind eine der sichersten Möglichkeiten zur Authentifizierung.

 

das Zertifikat sollte wenn möglich auf einem geschützten Medium abgelegt werden.

z. B. einer SmartCard.

 

Übertrieben gesagt:

 

zu vergleichen mit Menschen die sich ihr Passwort zur Anmeldung mit einem Post-It ans TFT kleben!

 

mfg

kai

[lopes 10]

hi,

 

sind den Zertifikate so einfach von einem PC zu exportieren? Ich dachte immer ein Zertifikat ist fest auf dem PC "zugeschnitten" und nur mit dem PC nutzbar.

 

 

Was kosten denn solche Smartcards?

Würde ein einfacher USB Stick auch reichen um das Zertifikat zu Speichern, er müsste eben bei jeder VPN Verbindung eingesteckt werden...

 

Nur mal angenommen jemand würde den PC stehlen auf dem das Zertifikat drauf gespeichert ist. --> Dann hat er zugriff auf die VPN Verbindung bzw. ist Autorisiert denn bei vpn mit Zertifikat wird nicht mehr nach einem PW gefragt. Aber er hat keinen Zugriff auf Daten Inerhalb der Domäne, da er ja keinen gültigen AD account bzw. PW hat.

 

Was ist nun anderst wenn das Zertifikat auf einer Smartcard ist? Und das Gerät wird auch gestohlen?

[nerd 28]

Hi,

 

sicherer Systeme sollten immer etwas voraussetzten was man weiß, was man hat und etwas was man bekomme - um das mal ganz frei aus dem englischen zu übersetzten.

 

Soll heißen. Verwendest du ein Zertifikat welches auf dem Client abgespeichert ist und dort nicht geschützt ist verminderst du die Sicherheit da jemand der im "Besitz" des Rechners ist auch die Authentifizierung vornehmen kann. Die Sicherheit der Kommunikation der beiden VPN Punkte betrifft das aber nicht.

 

In unserem CMS gibts auch ein gutes HowTo von unserem MVP zu dem Thema: Windows Server How-To Guides: Einrichten einer L2TP/IPSec Verbindung mit Zertifikaten - ServerHowTo.de

 

Liebe Grüße

[nerd 28]

hi,

 

sind den Zertifikate so einfach von einem PC zu exportieren? Ich dachte immer ein Zertifikat ist fest auf dem PC "zugeschnitten" und nur mit dem PC nutzbar.

 

 

Was kosten denn solche Smartcards?

Würde ein einfacher USB Stick auch reichen um das Zertifikat zu Speichern, er müsste eben bei jeder VPN Verbindung eingesteckt werden...

 

Hi,

 

nein Zertifikate sind nicht an Rechner gebunden. Mit TPM Chips soll das mal möglich sein bzw. ist das möglich. Dann werden die Certs aber auf dem Chip gespeichert.

 

Smartcard lösungen werden sehr unterschiedlich bepreist. Das kommt auch darauf an wie groß der Aufbau sein soll.

 

USB Stick "reicht" an sich auch. Der Vorteil von Smartcards ist, dass diese das Cert erst nach Eingabe eines Passwortes frei geben - das kann ein USB Stick so nicht leisten.

 

Gruß

[lopes 10]

Hey klasse :-) vielen dank das war echt schnell.

 

Den Link werde ich mir gleich mal anschauen.

 

Du würdest also auch die L2TP-IPsec ->EAP Zertifikats sache mit Smartkart nutzen?

[nerd 28]

Hey klasse :-) vielen dank das war echt schnell.

 

Den Link werde ich mir gleich mal anschauen.

 

Du würdest also auch die L2TP-IPsec ->EAP Zertifikats sache mit Smartkart nutzen?

 

Hi,

 

das kommt auf deine Sicherheitsanforderungen an. Wenn du eine Bank hast dann würde ich auch jede Fall ja sagen ;) Bei allem anderen muss man Kosten gegen Nutzen abgleichen.

 

Gruß

[lopes 10]

Es soll eine Außenstelle angebunden werden mit 1 oder 2 Clients. Eigentlich nichts großartiges. Da aber User Bezogene Daten übertragen werden sollte es schon sicher sein. Wie überall ist soll es am besten nichts kosten...

 

Das Problem ist das es meine Projektarbeit wird. Und ich nicht weis wie hoch die anforderungen der Prüfer sind. Ich denke eine normalen pptp VPN Verbindung wird da nicht ausreichen.

 

mfg

 

Lopes

[nerd 28]

Hi,

 

also wie gesagt die Verschlüsselung der Übertragung hängt nicht davon ab ob die Certs auf einer Smartcard liegen oder nicht.

 

Technisch "schöner" für eine solche Arbeit ist natürlich der Einsatz von SmarCards. Wobei natürlich die Zweckmäßigkeit dabei auch oft eine Rolle spielt. Du wirst also vermutlich nciht darum kommen die beiden Lösungen zu evaluieren und Angebote einzuholen.

 

Gruß

[lopes 10]

"""also wie gesagt die Verschlüsselung der Übertragung hängt nicht davon ab ob die Certs auf einer Smartcard liegen oder nicht."""

 

Es ging mir allgemein um "Sicherheit" nicht nur VPN Verbindung an sich. Wie gesagt falls der PC gestohlen wird usw....

 

Zum abschluss noch mal vielen vielen dank für die tollen Infos

[grizzly999 11]

Ich denke eine normalen pptp VPN Verbindung wird da nicht ausreichen.

Das weiss ich nicht, und niemand hier. Genau da liegt in den meisten Fällen das eigentliche Problem, dass keine oder nur mangelhafte Anforderungen spezifiziert sind.

Tue das als erstes, so detailiert wie möglich, und dann können wir auf dieser Basis faqchlich-sachlich weiter diskutieren ;)

 

grizzly999

[lopes 10]

Tolle Anleitung grizzly999 --> Windows Server How-To Guides: Home - ServerHowTo.de....

 

Die erklärt nun auch warum mein VPN+Zertifikat nicht geklappt hat :-D