Muelli 10 Geschrieben 30. August 2005 Melden Teilen Geschrieben 30. August 2005 Moin Community, Bei uns ist der Firewall NAT Router (Draytek Vigor 2900G) auch der VPN Server. Die Einwahl erfolgt über PPTP (CHAP + MPPE 128). Der Router macht keinen Reply auf PING Pakete und die Firewall ist bis auf die notwenigen Ports (von innen nach außen) und deren Antwortpakete dicht. Nunmehr ist aber der VPN Server aktiviert, was bei Portscans ein großes Loch bei 1723 PPTP zeigt. Muss man sich darüber Gedanken machen? Der Port muss ja leider offen sein, um die Einwahl zu ermöglichen. Eine weitere Problematik, worüber ich mir gerade Gedanken mache, ist die Möglichkeit, den gesammten VPN Verkehr auch über die Firewall filtern zu lassen. Das ist grundsätzlich als Zusatzoption möglich. Nur dann funzt der ganze Windows Verkehr nicht mehr, weil dieser, andere zusätzliche Ports und SMB haben will. Wenn ich meine FW Regeln nicht verändere, komme somit als Beispiel auf keine Netzwerkumgebung mehr. Die Alternative ist, die Firewall aufzubohren. Das will ich aber nicht. Also leite ich den VPN Verkehr an der FW vorbei. Wie sind so Eure Erfahrungen und Meinungen? Gruß Mülli Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 30. August 2005 Melden Teilen Geschrieben 30. August 2005 Hallo, was verstehst du unter "großes Loch"? Der Port ist nun mal für VPN!? :suspect: Grüße Olaf Zitieren Link zu diesem Kommentar
Muelli 10 Geschrieben 30. August 2005 Autor Melden Teilen Geschrieben 30. August 2005 War ein bisschen dümmlich die Frage. Sicherlich muss der Port offen sein, sonst würde ja keine VPN Einwahl laufen. Muss also letztendlich auf die sichere Implementierung des VPN Dienstes im Router hoffen, so dass sich keine Angriffsmöglichkeiten ergeben. Der Schreck war halt nur groß, als zwischen all meinen gefilterten Ports auf einmal ein roter offener Port aufleuchtete. Man denkt dann sofort, dieser offene Port lacht förmlich auch alle Hacker an. Gruß Mülli Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 30. August 2005 Melden Teilen Geschrieben 30. August 2005 Eine weitere Problematik, worüber ich mir gerade Gedanken mache, ist die Möglichkeit, den gesammten VPN Verkehr auch über die Firewall filtern zu lassen. Das ist grundsätzlich als Zusatzoption möglich. Nur dann funzt der ganze Windows Verkehr nicht mehr, weil dieser, andere zusätzliche Ports und SMB haben will. Wenn ich meine FW Regeln nicht verändere, komme somit als Beispiel auf keine Netzwerkumgebung mehr. Die Alternative ist, die Firewall aufzubohren. Das will ich aber nicht. Also leite ich den VPN Verkehr an der FW vorbei.Wie sind so Eure Erfahrungen und Meinungen? Viel Spaß dabei. Entweder Hop oder Top. Windows nutzt halt gerne die komplette Bandbreite an Ports. Entweder vertraust Du den Clients oder nicht. Alles andere würde in einem Configchaos enden. Gruß data Zitieren Link zu diesem Kommentar
Muelli 10 Geschrieben 30. August 2005 Autor Melden Teilen Geschrieben 30. August 2005 Hi Data, Alles andere würde in einem Configchaos enden. Das glaube ich auch. Dann ist es wohl 'business as usual' den Clients zu trauen. Zumindest werde ich aber den Internetverkehr von den Clients bei bestehender VPN Verbindung nicht übers VPN laufen lassen. Das soll er sich mal schön lokal besorgen. ;) Bin halt nur auf die Problematik gestoßen, weil DrayTek ein Firmwareupdate für den Router bereit gestellt hat, welches die Filterung des VPN Verkehrs als neues Feature enthält. Gruß Mülli Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 30. August 2005 Melden Teilen Geschrieben 30. August 2005 Das soll er sich mal schön lokal besorgen. Nun, wenn Du kein HTTP-Scanner hast dann ist es egal, sonst würde ich diesen Verkehr auch übers VPN routen. Gruß Data Zitieren Link zu diesem Kommentar
Muelli 10 Geschrieben 30. August 2005 Autor Melden Teilen Geschrieben 30. August 2005 lokal ist zumindest überall 'ne KERIO PFW drauf. Http ist offen, natürlich nur für bestätigte Programme a la IE und Firefox. Zugriffe auf Freigaben nur für "trusted Network" sprich eigenes Subnet. Tiefere Analyse der http Pakete findet nicht statt, falls Du das mit http Scanner meinst. ... ist das dolle schlimm? Auch in der Firma läuft nur die beschriebene Router FW, die aber eigentlich gut abgedichtet wurde. Zumindest lasse ich das von Zeit zu Zeit mal mit Portscans testen. Irgendwo muss ich leider aufhören mit Security (kleine Firma, kein Budget für sooon Zeugs, offiziell verantwortlich ist sowieso keiner, ....) Grüße Mülli Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 31. August 2005 Melden Teilen Geschrieben 31. August 2005 @Muelli Ich wollte eigentlich auf einen Proxy hinaus, der einen HTTP-Scanner installiert hat. Das ist kein MUSS. Da Du soetwas nicht im Einsatz hast, kannst Du ruhig den HTTP-Traffic am Tunnel vorbei routen. Gruß Data Zitieren Link zu diesem Kommentar
Aktaion 10 Geschrieben 31. August 2005 Melden Teilen Geschrieben 31. August 2005 Ich versuche den Kunden immer auszureden SMB, Datenbankzugriffe usw. direkt über VPN zu machen. Besser finde ich den VPN Usern einen Terminalserver bereitzustellen und die Firewall so dicht zu machen, dass die VPN User nur RDP fürfen nicht mehr nicht weniger. Daraus ergeben sich verschiedenste Vortteile. Z.B. musst du dann nicht unbedingt auf die Virenfreiheit der Notebooks vertrauen müssen. Kenne zumindest keinen Virus der sich via RDP verbreitet :P Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 31. August 2005 Melden Teilen Geschrieben 31. August 2005 Der Schreck war halt nur groß, als zwischen all meinen gefilterten Ports auf einmal ein roter offener Port aufleuchtete. Man denkt dann sofort, dieser offene Port lacht förmlich auch alle Hacker an. Gruß Mülli Versteh ich nicht... Wenn deine Firewall auf "drop" eingestellt ist, dann müsste ein Portscan = 0 offene Ports zur folge haben. "Drop" bedeutet, dass alle Pakete an die IP der Firewall oder auch andere IP's, die nicht explizit in einer Regel erlaubt wurden, verworfen werden. Für den Agreiffer sieht dann das so aus, als wäre da kein Rechner. Auuserdem ist die Gefahr reltiv gering, dass auf einem offenen Port etwas passiert, denn du müsstest schon eine Schwachstelle im Betreibssystem der Firewall finden, damit du erfolgreich einbrechen kannst. Darum sollte Firmen Firewalls auch auf eine dedizierten Rechner/Hardware laufen, da so die Gefahr geringer ist, diese Schwachstelle zu finden. Wie wann übrigens Firewalls und VPN's konfiguriert siehst duu hier: http://www.mcseboard.de/showpost.php?p=287663&postcount=9 Das gilt auch für Clients. Dein grösstest Problem werden die RPC-Calls sein, die die Ports 135 & 1024-65*** benutzen. Allerdings macht das bei Client VPN Verbindungen echt kein Sinn, das zu konfigurieren wollen. Investier besser etwas geld in eine solide Antivirus Architektur (man denke an Blaster beim Port 135) oder das Patchmanagement, oder aber du legst dir eine Layer 7 Firewall zu. Gruss Velius Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 31. August 2005 Melden Teilen Geschrieben 31. August 2005 @Velius Irgendwo muss ich leider aufhören mit Security (kleine Firma, kein Budget für sooon Zeugs, offiziell verantwortlich ist sowieso keiner, ....) Daran wird wohl die Layer7 FW scheitern. Gruß Data Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 31. August 2005 Melden Teilen Geschrieben 31. August 2005 @Data Wieso? Die bekommt man auch in verscheidenen Ausgaben, zwischen VW und Porsche gibt's da auch alles. ;) Zitieren Link zu diesem Kommentar
Data1701 10 Geschrieben 31. August 2005 Melden Teilen Geschrieben 31. August 2005 @Velius Und in Euro. Der Käfer ist doch ein Oldtimer ;). Gruß Data Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 31. August 2005 Melden Teilen Geschrieben 31. August 2005 Bei Checkpoint beispielsweise kannst du dich für ne Nokia Appliance entscheiden, was je nach Software Ausstattung gut und gerne gegen 100'000 Euro gehen kann. Aber die FW-1/VPN-1 mit SPLAT kannst da aber auch auf einem ganz normalen Pentium 4 Rechner oder weniger installieren. Den genauen Preis weiss ich jetzt nicht, aber mehr als ein paar T-Euro werden's nicht sein. P.S.: Hier noch den Link zu den Nokia Produkten mit Checkpoint Software: http://www.nokia.com/nokia/0,6771,76737,00.html Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.