Jump to content

PPTP vs. IPSec


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hi Leutz,

 

da ich meinem Vorstand beibringen möchte, warum der Einsatz eines VPN-Routers mit IPSec sinvoll wäre, bräuchte ich noch ein paar Argumente.

 

Weiß jemand von euch den genauen Unterschied bzw. Vorteil von IPSec gegenüber PPTP.

 

Ich wäre auch sehr erfreut über ein paar Links mit denen ich das auch gleich noch hinterlegen kann.

 

 

Gruß, xtra.

Link to comment

hi,

 

es heißt point to point tunneling protokoll und demnach ist in deiner Beschreibung ein p zu viel...

 

ok hier mal ne Seite die ich mir mal dazu abgespeichert habe... dort steht kurz und knapp beschrieben was für Aufgaben die einzelnen Protokolle übernehmen... Es stimmt zwar das PPTP unsicherer ist, aber seh ich das etwas relativ bei einer 128bit Verschlüsselung...

 

http://www.tcp-ip-info.de/tcp_ip_und_internet/tunneling_protokolle.htm

 

greez

 

MacabroS

Link to comment
es heißt point to point tunneling protokoll und demnach ist in deiner Beschreibung ein p zu viel...

 

Schon geändert... ;)

 

Zur Zeit ist unsere VPN-Lösung so, daß wir uns über PPTP und RAS-Server (ISA-Server) über Internet einwählen.

 

Würde es uns denn überhaupt irgendwelche Vorteile bringen, wenn wir auf einen VPN-Router mit IPSec-Funktionalität umsteigen würden?

 

Ausser sicherheitstechnischen Aspekten kann ich dem neuen Protokoll bisher also nichts abgewinnen...

 

 

Gruß, xtra.

 

 

PS: Bietet PPTP denn viel Angriffsfläche für Angriffe?

Link to comment

Hier etwas genauer:

 

L2TP vs. PPTP

 

One of the choices to make when deploying Windows 2000-based VPNs is whether to use L2TP/IPSec or PPTP. Windows XP VPN client computers and Windows 2000 VPN client and server computers support both L2TP/IPSec and PPTP by default. However, you still must decide whether one or both are supported on your network.

 

L2TP/IPSec and PPTP are similar in the following ways:

• They provide a logical transport mechanism to send PPP payloads.

• They provide tunneling or encapsulation so that PPP payloads based on any protocol can be sent across an IP network.

• They rely on the PPP connection process to perform user authentication and protocol configuration.

 

L2TP/IPSec and PPTP are different in the following ways:

• With PPTP, data encryption begins after the PPP connection process (and, therefore, PPP authentication) is completed. With L2TP/IPSec, data encryption begins before the PPP connection process.

• PPTP connections use MPPE, a stream cipher that is based on the Rivest-Shamir-Aldeman RC-4 encryption algorithm and provides 40, 56, or 128-bit encryption keys. Stream ciphers encrypt data as a bit stream. L2TP/IPSec connections use the Data Encryption Standard (DES), which is a block cipher that uses either a 56-bit key for DES or three 56-bit keys for 3-DES. Block ciphers encrypt data in discrete blocks (64-bit blocks, in the case of DES).

• PPTP connections require only user-level authentication through a PPP-based authentication protocol. L2TP/IPSec connections require the same user-level authentication and, in addition, computer-level authentication through a computer certificate.

 

 

http://www.microsoft.com/technet/community/columns/cableguy/cg0801.mspx#EDAA

 

 

Gruss

Velius

 

 

Das Hauptproblem von PPTP, neben einer kleineren Schwachstelle im Algorythmus, ist das Passwort. L2TP braucht, wenn man es ohne Pre-shared Key einsetzt, ein User und ein Computer Zertifikat.

Link to comment

achja, ürbigens wird bei PPTP (mit MS-CHAP und so weiter, nicht aber EAP), der Username im Cleartext übertragen...womit natürlich ein Angriff noch einfacher ist.

 

Eben, der verwendete RC4 Algo gilt ja nicht mehr als wirklich sicher und in der Implementierung von PPTP ist dieser genauso einfach zu knacken wie beim NTLM / LM-HASH.

 

Aber achtung: auch ipsec ist nicht sicher bei einer falschen implentierung!!!

Link to comment

Da bin ich wieder....

 

 

Es kommt auf den Authentifizierungsmechanismus an, der bei PPTP verwendet wird:

 

Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2)

 

Choosing EAP-TLS or MS-CHAP v2 for User-Level Authentication

 

 

So eng wie FrEaK_@CH würde ich das nicht sehen, dass PPTP nicht sicher sei. Ich denke es kommt auf den Anwendugszweck an, und wie stark die Daten, die übermittelt werden, einer Gefahr ausgesetzt sind.

 

 

Gruss

Velius

Link to comment

@ Velius

 

Nicht das Passwort, der Username....
Sicher ?

 

Ich meine nämlich (Auszug aus meiner Diplomarbeit - Falls das als Quelle genügt :D ):

 

IPSec stellt nicht die einzige Möglichkeit der sicheren Kommunikation in

einem VPN dar, einige Unternehmen nutzen auch das Point-to-Point Tunneling

Protocol (PPTP). Bei diesem Protokoll handelt es um eine Erweiterung

des älteren Point-to-Point Protocol (PPP).

Das Point-to-Point Protocol ist ein Schicht 2 Protokoll (vgl. Abb. 3). Es

wurde von einem Firmenkonsortium, zu dem auch Microsoft gehörte, entwickeltet

und hat daher in der „Microsoft-Welt“ einen hohen Stellenwert. (Fußnote 25)

Wie IPSec ist es auch mit PPTP möglich einen sicheren Tunnel durch das

Internet aufzubauen. Von Vorteil ist hier die Möglichkeit Netzwerke, welche

verschiedene Netzwerkprotokolle verwenden, z.B. IP und IPX basierte

Netzwerke, miteinander zu verbinden, da die Kommunikation auf Ebene 2

unterhalb des eigentlichen Vermittlungsprotokolls stattfindet. Diesem Vorteil

steht aber der Nachteil der unzureichenden Datenverschlüsselung

entgegen. Die Authentifikation geschieht über das Password Authentification

Protocol (PAP), hier wird das Passwort des Benutzers im Klartext an

die annehmende Stelle übermittelt, bis es quittiert oder verweigert wird. (Fußnote 26)

Zwar wurden Verbesserungen an diesen Mechanismen vorgenommen,

diese konnten jedoch nie die Sicherheit von IPSec erreichen.

 

25 Vgl.: Microsoft (Hrsg): Virtuell Private Netzwerke (VPN): Eine Übersicht (Whitepaper),

S. 12, (Internetquelle).

26 Vgl.: a Campo, M. / Pohlmann, N.: Virtual private Networks, S. 165.

 

Wurde mir in Dipl-Arbeit nicht als falsch angekreidet, das mag aber auch Prof. gelegen haben ;)

 

Gruß Data

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...