wznutzer 32 Geschrieben 30. Dezember 2012 Melden Teilen Geschrieben 30. Dezember 2012 Guten Tag, Ein etwas länger gewordener Beitrag, vielleicht hat ja trotzdem jemand Lust zum Lesen. Ich will zu meinem Netz einen VPN Zugang über das Internet (dynamische IP) einrichten. Nachdem nun bekannt ist, dass man PPTP/MSChap2 nicht mehr nutzen soll, will ich das berücksichtigen. Microsoft empfiehlt in dem veröffentlichten Artikel unter anderem die MSChap2 Authentifizierung in PEAP, also PEAP-MS-CHAP v2, zu kapseln. 1) Gibt es Argumente gegen einen VPN-Zugang der mittels PEAP-MS-CHAP v2 konfiguriert ist? Einfach zu konfigurieren ist das ja. Ausreichend sichere Passwörter sehe ich als selbstverständlich an und auch, dass der Nutzer sorgfältig mit seinem Passwort umgeht. 2) In diesem Artikel (http://www.mcseboard.de/windows-forum-security-47/l2tp-ipsec-einwahl-problem-188556.html) wird geschrieben, dass L2TP/IPSec mit PSK genauso oder sogar noch unsicherer ist als PPTP. Das würde ja bedeuten, dass noch weniger als 24 Stunden (PPTP) für das Knacken benötigt wird. In dem Beitrag gibt es keine Gegenstimmen, dennoch halte ich die Aussage für gewagt und so pauschal formuliert falsch. Das verlinkte Dokument ist genaugenommen auch nur ein Hinweis darauf, dass man ein Passwort halt erraten kann. Ein „guter“ PSK, also komplex mit z. B. 250 Stellen sehe ich auch hier als selbstverständlich an. Ein Angreifer müsste ja auch noch Benutzer + dessen Passwort erraten. Ist es wirklich so, das das noch unsicherer ist als PPTP? Man merkt jetzt natürlich schon, dass ich keine Zertifikate will? Warum? Evtl. habe ich mit Zertifikaten etwas auch nicht verstanden. 3) Wenn ich das richtig verstanden habe, muss der Client an der Zertifizierungsstelle ein Zertifikat anfordern. Nun ist dieser aber an einem entfernten Ort und hat gar keine Verbindung. Das VPN soll ja genau diese Verbindung herstellen. Unter gruppenrichtlinien.de wird beschrieben man soll den Client in die Domäne aufnehmen und anschließend wieder entfernen. Dazu müsste ich ja zuerst eine „unsichere“ Verbindung also PPTP oder L2TP/IPSec mit PSK aufbauen um anschließend mit Zertifikaten arbeiten zu können. Wie macht ihr das in der Praxis? 4) RDP einfach veröffentlichen (passt zwar nicht zur Überschrift aber zum Thema) Oft liest man, dass es ein absolutes Unding ist einfach den RDP-Port freizugeben. Nur warum? OK, es gab dieses Jahr eine Sicherheitslücke aber die kann es künftig für jede derzeit als sicher geltende Zugangstechnik geben. Gehen wir davon aus, dass der Administrator nicht so heißt und das Passwort auch nicht nur „123“ ist. Bsp: Anderer Port, also nicht 3389 Administrator heißt nicht so Benutzer sind schwer zu erraten Passwörter sind komplex und lang (> 18 Zeichen) Sperrung nach 5 ungültigen Versuchen Außer der Last die evtl. Zugriffsversuche verursachen finde ich nichts im Netz, dass das einfach zu knacken ist.Immer nur der Hinweis das nicht zu tun. Wird der Nutzer erraten ist dieser natürlich gesperrt, aber selbst das ist bei Zugriffsversuchen die nicht gezielt sind unwahrscheinlich. Trotzdem wird ständig vor solch einer Konfiguration gewarnt. Aber warum? Bei meinen Überlegungen gehe ich davon aus, dass ich nicht die ganze Welt als Feind habe, sondern mich nur gegen das übliche Rauschen wehren muss. In größeren Umgebungen mag das anders sein, da kenne ich mich nicht aus, ich rede von Umgebungen mit einer Handvoll Server und max. 50 - 80 Clients. Sorry für den längeren Beitrag, aber das Wetter ist halt schlecht :D . Grüße und Danke für das Lesen. Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 30. Dezember 2012 Melden Teilen Geschrieben 30. Dezember 2012 Hallo wznutzer, dann versuche ich es mal :) Gibt es Argumente gegen einen VPN-Zugang der mittels PEAP-MS-CHAP v2 konfiguriert ist? Einfach zu konfigurieren ist das ja. Ausreichend sichere Passwörter sehe ich als selbstverständlich an und auch, dass der Nutzer sorgfältig mit seinem Passwort umgeht. Ja. Allerdings sind die für mich nicht dramatisch. Ich habe mittlerweile alle PPTP-VPNs durch PEAP ersetzt. Probleme gibt es allerdings auch. Zum Beispiel sperrt man Apple-Geräte dadurch aus, und auch bei Linux/Unix habe ich noch keine Bestätigung, dass es funktioniert. Schau Dir auch diesen Beitrag mal an: http://www.mcseboard.de/topic/188047-achtung-bei-pptp-und-ms-chap/ In diesem Artikel (http://www.mcseboard...lem-188556.html) wird geschrieben, dass L2TP/IPSec mit PSK genauso oder sogar noch unsicherer ist als PPTP. Das würde ja bedeuten, dass noch weniger als 24 Stunden (PPTP) für das Knacken benötigt wird. In dem Beitrag gibt es keine Gegenstimmen, dennoch halte ich die Aussage für gewagt und so pauschal formuliert falsch. Ich denke, dass meine Argumente durch das Dokument von Bintec (die ja im VPN/Router-Bereich durchaus einen Namen haben) ausreichend bestätigt werden. Hier mal ein Auszug daraus: Unter anderem enthält diese Nachricht einen Wert, der aus dem Preshared Key berechnet wurde. Dieser wird unverschlüsselt übertragen. Da der Preshared Key des externen Gateways nicht mit dem des zentralen Gateways übereinstimmt, kommt keine Kommunikation zu Stande. Der Angreifer hat sein Ziel verfehlt und IPSec die Sicherheit des VPNs unter Beweis gestellt. Der Administrator erkennt in seinen Analyse-Tools, dass ein Verbindungsaufbau abgelehnt wurde.Doch der Schein trügt: Denn der Hacker hatte nicht die Absicht, mit dieser ersten Kontaktaufnahme die Kommunikation zu etablieren. Ihm ging es um den Hash-Wert, den das zentrale Gateway aus dem Preshared Key errechnet und dann unverschlüsselt übertragen hat. Der Wert wurde mit Hilfe von Tools wie Windump (Version 3.6.2) oder tcpdump mitgeschnitten. In einem zweiten Schritt versucht der Hacker nun, mit Hilfe von Hacker Tools (z. B. IKECrack, erhältlich unter http://ikecrack.sourceforge.net, den Preshared Key offline zu ermitteln. Gelingt ihm dies, gelangt er gewissermaßen offiziell über die Vordertür in das Unternehmensnetzwerk und hat Zugriff auf alle Daten des Unternehmens.Ob ihm dies tatsächlich gelingt, hängt hierbei stark von der Beschaffenheit des Preshared Keys ab. Sehr lange und komplexe Preshared Keys stellen eine wesentlich höhere Hürde dar als simple Ziffernfolgen. Da allerdings einfache Tools zum Knacken der Passworte überall erhältlich sind (und diese auch noch auf mehreren Rechnern gleichzeitig am selben Key arbeiten können), ist die Gefahr nicht von der Hand zu weisen. Beschrieben wurde diese theoretische Möglichkeit erstmals im Oktober 1999 (http://www.securityfocus.com/bid/7423/info/). Und dass sie tatsächlich funktioniert, wurde seitdem Dutzende Male unter Beweis gestellt. Fakt ist, dass man mit IPSec, unter der Vorraussetzung man benutzt den Agressive-Mode und PSK, auch ein Sicherheitsrisiko eingeht. Wie hoch dieses Risiko ist, weiß ich nicht. Das kann Dir vermutlich nur ein Sicherheitsspezialist sagen. Man merkt jetzt natürlich schon, dass ich keine Zertifikate will? Warum? Evtl. habe ich mit Zertifikaten etwas auch nicht verstanden. Wenn Du PEAP einsetzt, dann benutzt Du ja schon Zertifikate. Nur halt einseitig, was ich für "normale" Sicherheitsansprüche durchaus ausreichend finde. Und das von Dir angesprochene Problem mit den Clientzertifikaten hast Du dabei auch nicht, da die Clients kein Zertifikat brauchen. Wenn ich höhere Ansprüche an Sicherheit hätte, würde ich auf jeden Fall IPSec mit Zertifikaten einsetzen. Dann möchte ich sowieso entscheiden, welcher Client eine Verbindung aufbauen darf und welcher nicht. Dann ist der Domänenbeitritt halt Pflicht. RDP einfach veröffentlichen (passt zwar nicht zur Überschrift aber zum Thema)Oft liest man, dass es ein absolutes Unding ist einfach den RDP-Port freizugeben. Nur warum? Weil Du bei Ausnutzung einer Schwachstelle direkten Zugriff auf den Server hast. Du meldest Dich ja direkt an. Allerdings kann man RDP auch mit Zertifikaten weiter absichern. Hier mal ein Link: http://blog.solinske.de/2008/12/28/TerminalserversessionsDurchZertifikateSchuetzen.aspx Bei meinen Überlegungen gehe ich davon aus, dass ich nicht die ganze Welt als Feind habe, sondern mich nur gegen das übliche Rauschen wehren muss. Darauf würde ich mich heutzutage nicht mehr verlassen. Das haben schon viele vor Dir gedacht und sind damit auf die Nase gefallen. Zitieren Link zu diesem Kommentar
wznutzer 32 Geschrieben 30. Dezember 2012 Autor Melden Teilen Geschrieben 30. Dezember 2012 Hi iDiddi und danke für deine Antwort. Ja. Allerdings sind die für mich nicht dramatisch. Welche sind das, außer iOS und Linux? Diese Variante wäre mir nämlich sehr sympathisch. Ich denke, dass meine Argumente durch das Dokument von Bintec (die ja im VPN/Router-Bereich durchaus einen Namen haben) ausreichend bestätigt werden. Das habe ich natürlich gelesen. Ich verstehe das nur nicht so, dass durch die theoretische Möglichkeit die "stark von der Beschafffenheit des PSK abhängt" unsicherer ist als PPTP. Das wiederum ist ja sozusagen garantiert in 24 Stunden geknackt. Aber die Möglichkeit L2TP/IPSec mit PSK zu knacken besteht. Das ist natürlich nicht von der Hand zu weisen. Da mich das Thema interessiert werde ich mal ein wenig mit IKECrack rumspielen. Cain und Abel soll das ja auch können. Ein komplexer Key aus 250 Zeichen sollte dann ja problemlos geknackt werden. Wenn ich höhere Ansprüche an Sicherheit hätte, würde ich auf jeden Fall IPSec mit Zertifikaten einsetzen. Dann möchte ich sowieso entscheiden, welcher Client eine Verbindung aufbauen darf und welcher nicht. Dann ist der Domänenbeitritt halt Pflicht. Ich weiß nicht wie das üblicherweise gemacht wird, aber ich kann mir das nur so vorstellen, dass die Remotearbeiter einen Rechner/Laptop bekommen der mindestens einmal über den Schreibtisch des Adminis gegangen ist um das zu konfigurieren (Domänenbeitritt usw.) Weil Du bei Ausnutzung einer Schwachstelle direkten Zugriff auf den Server hast. Du meldest Dich ja direkt an. Allerdings kann man RDP auch mit Zertifikaten weiter absichern. Hier mal ein Link:http://blog.solinske.de/2008/12/28/TerminalserversessionsDurchZertifikateSchuetzen.aspx Das muss ich mir mal ansehen, aber ist RDP nicht auch schon verschlüsselt? Ist in diesem Fall die zusätzliche Sicherheit, dass ich sicher sein kann, dass ich auch mit dem "richtigen" RDP-Server verbunden bin? Das haben schon viele vor Dir gedacht und sind damit auf die Nase gefallen. Das meine ich, ich habe wirklich schon lange gegoogelt oder gebingt (sagt man das so?). Von Sicherheitslücken und bekannten Schwächen einer Technik (PPTP) abgesehen, finde ich keine Belege um ausreichend sichere Kennwörter zu umgehen. Bedenken und Warnungen allerdings zu genüge, dass nur Zertifikate das einzig wahre sind. Klar ist ein Rechner erstmal gekapert, hilft gar nichts auch keine Zertifikate. Aber ich bin kein Sicherheitsspezialist, deswegen will ich ja dazulernen. Vielleicht gibt es aber noch andere Meinungen. Danke Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 1. Januar 2013 Melden Teilen Geschrieben 1. Januar 2013 Welche sind das, außer iOS und Linux? Diese Variante wäre mir nämlich sehr sympathisch. Die mir bekannten Nachteile habe ich alle in den von mir bereits verlinkten Beitrag beschrieben. Da wäre noch das Skripting-Problem. Außerdem betrifft das alle Apple-Betriebsysteme. Also auch MacOS. Das habe ich natürlich gelesen. Ich verstehe das nur nicht so, dass durch die theoretische Möglichkeit die "stark von der Beschafffenheit des PSK abhängt" unsicherer ist als PPTP. Das wiederum ist ja sozusagen garantiert in 24 Stunden geknackt. Das war ja auch nicht als Ranking gemeint, welches Verfahren schneller geknackt werden kann. Das ist natürlich von der Beschaffenheit des PSK abhängig. Oder besser von dem verwendeten Hash. Außerdem gehört auch eine gewisse Rechenpower dazu. PPTP-Hashes sind auch nicht von jedem Skriptkiddie knackbar. Das fatale ist halt, dass es schon einen Online-Dienst gibt, der das für Jedermann möglich macht. Wenn genug Geld, Wille und Zeit da ist, sowieso ;) . Schau Dir mal die Ausführung im BSI-Grundschutzhandbuch an. Dort steht es ein wenig detailierter: https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m05/m05149.html Ich weiß nicht wie das üblicherweise gemacht wird, aber ich kann mir das nur so vorstellen, dass die Remotearbeiter einen Rechner/Laptop bekommen der mindestens einmal über den Schreibtisch des Adminis gegangen ist um das zu konfigurieren (Domänenbeitritt usw.) Das denke ich auch. Das muss ich mir mal ansehen, aber ist RDP nicht auch schon verschlüsselt? Ist in diesem Fall die zusätzliche Sicherheit, dass ich sicher sein kann, dass ich auch mit dem "richtigen" RDP-Server verbunden bin? Die Verschlüsselung ist ja meistens nicht das Problem, sondern die Authentifizierung oder das Verfahren, mit dem der Schlüssel ausgetauscht wird. Klar ist ein Rechner erstmal gekapert, hilft gar nichts auch keine Zertifikate. Klar, wenn man es richtig macht, dann setzt man das gestohlene Zertifikat einfach auf die Sperrliste, fertig ;) Beim PSK kannst Du das gemeinsame Geheimnis an jedem Gerät ändern, an dem Du es eingerichtet hast. Vielleicht gibt es aber noch andere Meinungen. Die würden mich auch interessieren :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.