Jump to content
Sign in to follow this  
Sarek

LAN2LAN-VPN - IPSec im aggessive mode oder PPTP?

Recommended Posts

Hallo zusammen,

 

ich möchte mehrere Standorte einer Kirchengemeinde miteinander vernetzen. An jedem Standort befindet sich ein Draytek-Router, die Standorte sind über normales DSL (also keine festen IP-Adressen) ans Internet angebunden.

 

Zur Verbindung der Standorte schwebt mir ein LAN2LAN-VPN auf Routerebene vor, was mir den Draytek-Routern ja eigentlich kein Problem ist. Da wir aber keine festen IP-Adressen haben, können wir IPSec mit einer "main mode"-Authentifizierung leider nicht verwenden. Auf der Draytek-WebSite steht jedenfalls, daß man bei Verwendung von DynDNS nur über den "aggressive mode" authentifizieren kann. Über diesen "aggressive mode" habe ich im Internet folgendes gelesen:

 

> Die Identitäten sind im Gegensatz zum Main Mode aber nicht geschützt,

> weil keine Verschlüsselung erfolgt. Somit ist der Aggressive Mode

> unsicherer, da man beispielsweise den Pre-Shared-Key-Hashwert sniffen

> und diesen danach offline knacken kann

 

Wirklich sicher ist diese Methode also offenbar nicht :(

 

Die andere Alternative wäre ein VPN über das PPTP-Protokoll. Auch dort scheint die Authentifizierung aber problematisch zu sein:

 

> Die Authentifizierung und die Aushandlung der Schlüssel sind die

> Schwachpunkte von Microsofts PPTP-Implementierung. Die

> Authentifizierung beruht auf einem Challenge-Response-Verfahren

> (MSCHAPv1), bei der der Windows-Client eine vom Server im Klartext

> verschickte Challenge mit einem Passwort verschlüsselt und an den

> Server zurückschickt.

 

 

Was ist jetzt sicherer, PPTP oder IPSec mit einer Authentifizierung im "aggressive mode"?

 

 

 

Danke für hilfreiche Hinweise,

André

Share this post


Link to post
Share on other sites

Also wenn Du einen entsprechend langen und komplexen PSK verwendest, wird derjenige der möglicherweise eventuell und zufälligerweise mitsnifft, wohl keine Chance haben oder als Skelett vor dem PC sitzen, wenn der PC ihn entschlüsselt hat...uhh was ein langer Satz...

 

Also ich würde IPSec immer PPTP vorziehen. Aber berichtigt mich, wenn ich falsch liege...

Oder Bintec Router kaufen :-) die fahren Main Mode

 

Gruss Over

Share this post


Link to post
Share on other sites

Oder Bintec Router kaufen :-) die fahren Main Mode

Gruss Over

 

Auch in Verbindung mit DynDNS, also ohne statische öffentliche IP-Adressen?

Share this post


Link to post
Share on other sites

Eventuell doch ein anderes Gerät, denn nur Aggressive Mode mit PSKs ist bedenklich. Aggressive Mode mit Zertifikaten dagegen nicht ...

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...