xtragood 10 Geschrieben 6. Juni 2005 Melden Teilen Geschrieben 6. Juni 2005 Hi Leutz, da ich meinem Vorstand beibringen möchte, warum der Einsatz eines VPN-Routers mit IPSec sinvoll wäre, bräuchte ich noch ein paar Argumente. Weiß jemand von euch den genauen Unterschied bzw. Vorteil von IPSec gegenüber PPTP. Ich wäre auch sehr erfreut über ein paar Links mit denen ich das auch gleich noch hinterlegen kann. Gruß, xtra. Zitieren Link zu diesem Kommentar
FrEaK_@CH 10 Geschrieben 6. Juni 2005 Melden Teilen Geschrieben 6. Juni 2005 pptp gilt prinzipiell nicht mehr als sicher, ausser mit eap (zertifikaten). wichtig ist noch, was für eine "art" von vpn du überhautp einsetzen willst... ist es ein site-to-site vpn, remote access vpn?? Zitieren Link zu diesem Kommentar
xtragood 10 Geschrieben 6. Juni 2005 Autor Melden Teilen Geschrieben 6. Juni 2005 Ist Remote Access VPN... Aber "PPPTP gilt nicht mehr als sicher" reicht vorm Vorstand halt nicht, da brauch ich schon Beweise für, also vielleicht nen Link auf ne renomierte Seite, oder sowas... Gruß, xtra. Zitieren Link zu diesem Kommentar
macabros 10 Geschrieben 6. Juni 2005 Melden Teilen Geschrieben 6. Juni 2005 hi, es heißt point to point tunneling protokoll und demnach ist in deiner Beschreibung ein p zu viel... ok hier mal ne Seite die ich mir mal dazu abgespeichert habe... dort steht kurz und knapp beschrieben was für Aufgaben die einzelnen Protokolle übernehmen... Es stimmt zwar das PPTP unsicherer ist, aber seh ich das etwas relativ bei einer 128bit Verschlüsselung... http://www.tcp-ip-info.de/tcp_ip_und_internet/tunneling_protokolle.htm greez MacabroS Zitieren Link zu diesem Kommentar
Duffman 10 Geschrieben 6. Juni 2005 Melden Teilen Geschrieben 6. Juni 2005 Ich würde dir auch L2TP mit IPSEC empfehlen. Und dann ist das Mistding dicht ;) Zitieren Link zu diesem Kommentar
xtragood 10 Geschrieben 6. Juni 2005 Autor Melden Teilen Geschrieben 6. Juni 2005 es heißt point to point tunneling protokoll und demnach ist in deiner Beschreibung ein p zu viel... Schon geändert... ;) Zur Zeit ist unsere VPN-Lösung so, daß wir uns über PPTP und RAS-Server (ISA-Server) über Internet einwählen. Würde es uns denn überhaupt irgendwelche Vorteile bringen, wenn wir auf einen VPN-Router mit IPSec-Funktionalität umsteigen würden? Ausser sicherheitstechnischen Aspekten kann ich dem neuen Protokoll bisher also nichts abgewinnen... Gruß, xtra. PS: Bietet PPTP denn viel Angriffsfläche für Angriffe? Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 6. Juni 2005 Melden Teilen Geschrieben 6. Juni 2005 Hier etwas genauer: L2TP vs. PPTP One of the choices to make when deploying Windows 2000-based VPNs is whether to use L2TP/IPSec or PPTP. Windows XP VPN client computers and Windows 2000 VPN client and server computers support both L2TP/IPSec and PPTP by default. However, you still must decide whether one or both are supported on your network. L2TP/IPSec and PPTP are similar in the following ways: • They provide a logical transport mechanism to send PPP payloads. • They provide tunneling or encapsulation so that PPP payloads based on any protocol can be sent across an IP network. • They rely on the PPP connection process to perform user authentication and protocol configuration. L2TP/IPSec and PPTP are different in the following ways: • With PPTP, data encryption begins after the PPP connection process (and, therefore, PPP authentication) is completed. With L2TP/IPSec, data encryption begins before the PPP connection process. • PPTP connections use MPPE, a stream cipher that is based on the Rivest-Shamir-Aldeman RC-4 encryption algorithm and provides 40, 56, or 128-bit encryption keys. Stream ciphers encrypt data as a bit stream. L2TP/IPSec connections use the Data Encryption Standard (DES), which is a block cipher that uses either a 56-bit key for DES or three 56-bit keys for 3-DES. Block ciphers encrypt data in discrete blocks (64-bit blocks, in the case of DES). • PPTP connections require only user-level authentication through a PPP-based authentication protocol. L2TP/IPSec connections require the same user-level authentication and, in addition, computer-level authentication through a computer certificate. http://www.microsoft.com/technet/community/columns/cableguy/cg0801.mspx#EDAA Gruss Velius Das Hauptproblem von PPTP, neben einer kleineren Schwachstelle im Algorythmus, ist das Passwort. L2TP braucht, wenn man es ohne Pre-shared Key einsetzt, ein User und ein Computer Zertifikat. Zitieren Link zu diesem Kommentar
xtragood 10 Geschrieben 6. Juni 2005 Autor Melden Teilen Geschrieben 6. Juni 2005 Ok... langsam wird mir alles klarer. Also reicht bei uns der Auwand noch nicht auf IPSec umzustellen, da sich der Kosten-Effekt-Faktor noch nicht rentiert. Danke für die Entscheidungshilfe trotzdem. Gruß, xtra. Zitieren Link zu diesem Kommentar
FrEaK_@CH 10 Geschrieben 6. Juni 2005 Melden Teilen Geschrieben 6. Juni 2005 achja, ürbigens wird bei PPTP (mit MS-CHAP und so weiter, nicht aber EAP), der Username im Cleartext übertragen...womit natürlich ein Angriff noch einfacher ist. Eben, der verwendete RC4 Algo gilt ja nicht mehr als wirklich sicher und in der Implementierung von PPTP ist dieser genauso einfach zu knacken wie beim NTLM / LM-HASH. Aber achtung: auch ipsec ist nicht sicher bei einer falschen implentierung!!! Zitieren Link zu diesem Kommentar
xtragood 10 Geschrieben 7. Juni 2005 Autor Melden Teilen Geschrieben 7. Juni 2005 achja, ürbigens wird bei PPTP (mit MS-CHAP und so weiter, nicht aber EAP), der Username im Cleartext übertragen...womit natürlich ein Angriff noch einfacher ist. Hast du dafür nen Link für mich? Das würde die Sache nämlich wieder kippen... Gruß, xtra. Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 7. Juni 2005 Melden Teilen Geschrieben 7. Juni 2005 Aber achtung: auch ipsec ist nicht sicher bei einer falschen implentierung!!! Nichts ist sicher bei falscher Implementierung ;) Zitieren Link zu diesem Kommentar
xtragood 10 Geschrieben 8. Juni 2005 Autor Melden Teilen Geschrieben 8. Juni 2005 Hallo nochmal, es wäre wichtig, dass ich ne renomierte Quelle hätte, die hinterlegen könnte, dass bei PPTP das Passwort im Klartext gesendet wird. Hat da jemand was von euch? Gruß, xtra. Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 8. Juni 2005 Melden Teilen Geschrieben 8. Juni 2005 Nicht das Passwort, der Username.... Ach Gott, ist das lange her....wart ma, ich kuck rasch bei MS. ;) Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 8. Juni 2005 Melden Teilen Geschrieben 8. Juni 2005 Da bin ich wieder.... Es kommt auf den Authentifizierungsmechanismus an, der bei PPTP verwendet wird: Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2) Choosing EAP-TLS or MS-CHAP v2 for User-Level Authentication So eng wie FrEaK_@CH würde ich das nicht sehen, dass PPTP nicht sicher sei. Ich denke es kommt auf den Anwendugszweck an, und wie stark die Daten, die übermittelt werden, einer Gefahr ausgesetzt sind. Gruss Velius Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 8. Juni 2005 Melden Teilen Geschrieben 8. Juni 2005 @ Velius Nicht das Passwort, der Username.... Sicher ? Ich meine nämlich (Auszug aus meiner Diplomarbeit - Falls das als Quelle genügt :D ): IPSec stellt nicht die einzige Möglichkeit der sicheren Kommunikation in einem VPN dar, einige Unternehmen nutzen auch das Point-to-Point Tunneling Protocol (PPTP). Bei diesem Protokoll handelt es um eine Erweiterung des älteren Point-to-Point Protocol (PPP). Das Point-to-Point Protocol ist ein Schicht 2 Protokoll (vgl. Abb. 3). Es wurde von einem Firmenkonsortium, zu dem auch Microsoft gehörte, entwickeltet und hat daher in der „Microsoft-Welt“ einen hohen Stellenwert. (Fußnote 25) Wie IPSec ist es auch mit PPTP möglich einen sicheren Tunnel durch das Internet aufzubauen. Von Vorteil ist hier die Möglichkeit Netzwerke, welche verschiedene Netzwerkprotokolle verwenden, z.B. IP und IPX basierte Netzwerke, miteinander zu verbinden, da die Kommunikation auf Ebene 2 unterhalb des eigentlichen Vermittlungsprotokolls stattfindet. Diesem Vorteil steht aber der Nachteil der unzureichenden Datenverschlüsselung entgegen. Die Authentifikation geschieht über das Password Authentification Protocol (PAP), hier wird das Passwort des Benutzers im Klartext an die annehmende Stelle übermittelt, bis es quittiert oder verweigert wird. (Fußnote 26) Zwar wurden Verbesserungen an diesen Mechanismen vorgenommen, diese konnten jedoch nie die Sicherheit von IPSec erreichen. 25 Vgl.: Microsoft (Hrsg): Virtuell Private Netzwerke (VPN): Eine Übersicht (Whitepaper), S. 12, (Internetquelle). 26 Vgl.: a Campo, M. / Pohlmann, N.: Virtual private Networks, S. 165. Wurde mir in Dipl-Arbeit nicht als falsch angekreidet, das mag aber auch Prof. gelegen haben ;) Gruß Data Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.