Jump to content

PPTP vs. IPSec


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

@Data

 

Wenn du PAP als Authentifizierung verwendest, dann hast du Recht. Aber bei MSCHAP v2 nicht. Ausserdem sind auch SPAP, CHAP, und MSCHAP v1 mit einer sehr mageren Verschlüsselung versehen (hattest du das nicht in der Prüfung zum MCSE?? :confused: :D ).

 

 

Ich sage nicht, dass MSCHAP v2 & PPTP so sicher ist wie ein L2TP Tunnel, aber ich würde es auch nicht als völlig unsicher bezeichnen.

 

 

P.S.:

Zwar wurden Verbesserungen an diesen Mechanismen vorgenommen,

diese konnten jedoch nie die Sicherheit von IPSec erreichen.

 

 

Ausserdem schreibt der Verfasser das selbt, nur kürzt er dabei ziemlich ab und legt sich nur auf L2TP fest.

Link zu diesem Kommentar
hattest du das nicht in der Prüfung zum MCSE??

 

Oh, warte mal, ich wringe gerade meine Gehirnwindungen aus........ :D

 

Da war doch was ! Ja, stimmt :cry: - Habe ich verdrängt. Dich erwische ich auch noch einmal auf dem falschen Fuß - Versprochen :D.

 

Die Dipl.Arbeit sollte allerdings VPN mehr von der betriebswirtschaftlichen Seite betrachten, Technik wurde nur kurz angesprochen, hast Du richtig erfasst.

 

Nun zusammenfassend:

 

@xtragood

 

Aus dem Buch: Manfred Lipp - VPN (Erschienen bei Addison-Wesley):

 

Das Point-ta-Point Tunneling Protocol wurde von einer Reihe von Firmen entwickelt, die zu diesem Zweck das so genannte PPTP-Forum gründeten. Der Software-Riese Microsoft war, neben Unternehmen wie Ascend Communications, 3Com und anderen, maßgeblich an der Entwicklung beteiligt und hat seine PPTP-Clientsoftware in alle seine Betriebssysteme integriert bzw. für ältere Systeme wie Windows 95 Updates (Microsoft Dialup Networking Update 1.3) auf den Markt gebracht. PPTP kann sowohl als Basis für das Ende-zu-Ende-Modell dienen als auch durch Implementierungen in RemoteAccess-Konzentratoren im Provider-Enterprise-Modell eingesetzt werden. PPTP hat einen dem L2TP ähnlichen Aufbau. Für den Steuerungs kanal verwendet PPTP jedoch das TCP-Protokoll. Als Layer-2-Protokoll kapselt PPTP PPP-Rahmen mit einem modifizierten GRE-Header ein.

 

PPTP bietet auch einige Sicherheitsfunktionen wie Datenverschlüsselung (MPPE, Microsoft Point-ta-Point Encryption) und Benutzer-Authentifizierung, die allerdings bei weitem nicht die Stärke von IPSec aufweisen. Insbesondere die Ableitung des Schlüssels, mit dem die Daten verschlüsselt werden, aus der Benutzer-Authentifizierung war in der Vergangenheit Zielscheibe einiger erfolgreicher Angriffe. Der Schlüssel des eingesetzten RC4-Protokolls ist zwar, je nach der Version von PPTP, entweder 40 oder 128 Bit lang - aber er wird aus einem Hashwert des Benutzer-Passworts erzeugt. Also muss ein Brute-Force-Angriff (vgl. Kapitel 4) nicht alle 240 oder 2128 möglichen Schlüssel testen, sondern braucht praktisch nur einen Wörterbuchangriff auf das Benutzer-Passwort durchzuführen. Microsoft hat mit einem Update auf die erfolgreichen Angriffe reagiert und eine neue, sicherere Authentifizierung namens MS-CHAPv2 implementiert. Aus Kompatibilitätsgründen kann das neue Verfahren beim Verbindungsaufbau jedoch durch die alte Version ersetzt werden, was eine nicht unbeträchtliche Angriffsfläche bietet. In jedem Fall basiert die Sicherheit der Verschlüsselung in PPTP auf der Sicherheit des Benutzer-Passworts - und das ist vielen Anwendern ein zu hohes Sicherheitsrisiko. Viele gute Sicherheitsstrategien legen darüber hinaus auch gewisse Verfahren und Richtlinien zur Schlüsselerzeugung und -Verwaltung fest, so dass der Einsatz von PPTP oft schon an dieser Hürde scheitert.

 

Auch Microsoft verabschiedet sich langsam von seinem Problemprotokoll PPTP. Im neuen Windows 2000 werden verschiedene Tunneling-Protokolle - nach wie vor auch noch PPTP - angeboten, jedoch wird für neue Installationen die modernere und sicherere Variante L2TP IPSec (siehe Kapitel 9) empfohlen. In Provider-Enterprise-Modellen setzen die Service Provider zunehmend auf L2TP, so dass auch hier PPTP immer weiter verdrängt wird.

 

Reicht das ? ;)

 

Gruß Data

Link zu diesem Kommentar

Super Quelle... hab ich gleich mal an verantwortliche Posten weitergeleitet.

 

Folgendes Szenario würde mich bezüglich Sicherheit noch mal interessieren:

 

1 ISA-Server fungiert ebenfalls als RAS-Server mit PPTP und MS-CHAPv2 und ist nicht in der Domäne. Benutzer haben nur Remote Access Rights.

 

Wie einfach/schwer ist es für Angreifer dort einzudringen? Würde L2TP IPSec Cert dieses Angriffsrisiko verringern oder entfernen?

 

Es ist eben schwierig für mich und für den Vorstand zu entscheiden, ob die Investition und der Arbeitsaufwand sich, im Gegensatz zu den positiven Aspekten des Umstiegs, auch lohnt.

 

Kleines Unternehmen...20 VPN-Nutzer...

 

Was würdet ihr dazu sagen?`

 

 

Gruß, xtra.

Link zu diesem Kommentar

@ Xtragood

 

Wie einfach/schwer ist es für Angreifer dort einzudringen? Würde L2TP IPSec Cert dieses Angriffsrisiko verringern oder entfernen?

 

Nun L2TP ist ersteinmal ein reiens Tunneling-Protokoll und und ist eine Weiterentwicklung von PPTP. Vorteil von L2TP, man kann nicht nur IP-Pakete Tunnel sondern auch andere Protokolle, z.B. IPX. L2TP ist kein Sicherheitsprotokoll, erst mit IPSec als Sicherheitsprotokoll wird die Sache abgerundet. IPSec kann zwar nur mit IP-Paketen umgehen, aber durch die Verbindung mit L2TP wird dieser Nachteil wieder wettgemancht. Über die in IPSec implementierete zweiseitige SA (Sicherheitsassoziation) - und dann auch noch mit Certifikaten - in Verbindung mit einer hohen Verschlüsselung, würde das Angriffsrisiko stark abgeschwächt werden. Man könnte sich auch so weit aus dem Fenster lehnen und sagen: "Da wird nix passieren".

 

Einziger Nachteil Deiner Implementierung ist die Tatsache, dass Du ein MS-Produkt in vorderster Front hast. Also, alle Bugs etc. eines MS-Systems könnten die Sicherheit Deiner L2TP-VPNs kompromitieren. Deshalb bietet sich ja ein Stück Hardware eines anderen Herstellers an. Die kleinen Cisco-Pixen (z.B. 506) kosten ca. 1000 €, damit kann man schon viel machen. Es gibt natürlich auch günstigere Produkte, aber das wäre dann ein neuer Thread.

 

Gruß Data

 

Edit = Korrekturlesung

Link zu diesem Kommentar

@Data1701 & xtragood

 

Mal ganz ehrlich, ein vom Internet aufgebauter PPTP Tunnel zu knacken....na ja. Damit man überhaupt eine zusammenhängende Datenstruktur bekommt muss man ordentlich was an Daten zusammen sniffen. Ausserdem wird das erschwert dadurch, dass man nicht mir sicherheit weiss, welches die IP-Adresse vom PPTP Client ist. Anschliessend, nach einer ordentliche Sniff-Orgie kann man sich dann mal an einen Brute-Force Angriff auf den Schlüssel wagen.....

Irgendwie zweifelhaft, dass das Jemand macht. Ich sehe eher Probleme im Bereich Social-Engineering. An den Usernamen und das Passwort kommt man wohl leichter, und die "neue Verbindung" hat man ija schnell eingerichtet.

 

Mit Zertifikaten geht das nicht so fix, das stimmt.

 

 

Gruss

Velius

Link zu diesem Kommentar

@ Velius

 

Ich meinte ja auch nicht, dass der LT2P/IPSec-Tunnel geknackt wird, sondern das es auf Grund des Einsatzes eines MS-Produktes als Gateway nunmal Probleme auftauchen können die in der Natur von MS liegen. Eben diverse Sicherheitslöcher, die dann in Exploits münden. Wenn die Basis des Tunnels nicht sicher ist, dann bringt einem der beste Tunnel nichts.

 

Allerdings schätze ich diese Gefahr auch nicht all zu hoch ein, da man als kleineres Unternehmen (Sorry Xtragood - aber 20 VPNs sind nicht viel ;) ) nicht unbedingt ein intressantes Angriffsziel darstellt, oder xtragood seit Ihr in der Rüstungsindustrie tätig ;). Ich habe nur darauf hingewiesen, dass man evtl. auf eine Lösung abseits von MS setzten sollte.

 

Gruß Data

Link zu diesem Kommentar

@ Xtragood

 

Tut mir wirklich leid für Dich. Das sind die Schlimmsten, haben den ganzen Tag mit Unsummen zu tun, wollen aber Nichts ausgeben.

 

Wenn Du zu dem ganzen Thema mehr wissen willst , kann ich Dir nur das Buch empfehlen aus dem ich einige Ausschnitte gepostet habe. Oder wenn es nicht anders geht, einfach hier im Thread fragen.

 

Gruß Data

 

PS: Was für Tipps gibt es denn im Bereich Hedge-Fonds, Du sitzt doch an der Quelle :D

Link zu diesem Kommentar
Oder wenn es nicht anders geht, einfach hier im Thread fragen.

 

Blos keine Arbeit machen...tststs ROFL :p ;)

 

 

PS: Was für Tipps gibt es denn im Bereich Hedge-Fonds, Du sitzt doch an der Quelle :D

 

Einen Tip hab ich da für dich: "Lass die Finger weg von Hedge-Fonds". Ausser du liebst das Risiko und Adrenalin, das mit dem Verlust deines investierten Geldes zusammenhängt. :rolleyes: :shock: ;)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...