Sicherheit Vpn Xp

#0
26.01.2008, 22:41
Member

Beiträge: 1516
#1 Hi hab ein Standard XP VPN über PPTP mit MS CHAP V2 eingerichtet. Passwort hat die maximale länge.
Weiß jemand wie sicher diese Konfiguration ist? Die Angaben im Internet sind sehr widersprüchlich und ohne jede Begründung.

mfg
Spunki
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}
Seitenanfang Seitenende
26.01.2008, 23:32
Moderator
Avatar hevtig

Beiträge: 2307
#2 Hi,

folgender Artikel
könnte deine Frage beantworten.
hier auch noch ein Auszug, damit die Antwort auch hier steht:

Zitat

Auszug von http://www.heise.de/security/artikel/71967/3
...Dazu verpackt PPTP die PPP-Pakete über das Tunnel-Verfahren Generic Routing Encapsulation (GRE) in IP-Pakete. Die Signalisierung zum Verbindungsauf- und -abbau erfolgt zwischen dem PPTP-Client und dem Server über eine Control Connection über den TCP-Port 1723.

PPP übernimmt mehrere Aufgaben: Es ist für die Authentifizierung, die Aushandlung der Paketgrößen und IP-Adressen sowie für die Verschlüsselung der Daten zuständig. Die Authentifizierung und die Aushandlung der Schlüssel sind die Schwachpunkte von Microsofts PPTP-Implementierung. Die Authentifizierung beruht auf einem Challenge-Response-Verfahren (MSCHAPv1), bei der der Windows-Client eine vom Server im Klartext verschickte Challenge mit einem Passwort verschlüsselt und an den Server zurückschickt.

Dieser 24 Byte lange LM-Hash lässt sich wie schon die PSKs von IPSec im Aggressive Mode mit Wörterbuch- oder Brute-Force-Angriffen mehr oder minder schnell knacken [3]. Microsoft hat darauf in MSCHAPv2 mit zahlreichen Verbesserungen reagiert, bei dem der Client unter anderem nicht mehr die ursprüngliche Server-Challenge verschlüsselt, sondern eine davon abgeleitete. Somit ist es erheblich schwieriger, den Hash zu berechnen. Allerdings demonstrierte bereits 2001 eine Gruppe von Studenten, wie man auch MSCHAPv2 innerhalb von Stunden knackt.

Die Datenverschlüsselung von PPTP mit dem Stromchiffrierer RC4 hat ebenfalls ihre Haken: Die in Microsofts Point-to-Point Encryption Protocol (MPPE) eingesetzten Schlüssel beruhen auf dem Passwort, eine dedizierte Schlüsselaushandlung findet nicht statt. In der ersten MPPE-Version gab es sogar nur einen Schlüssel zum Ver- und Entschlüsseln, seit MSCHAPv2 errechnet MPPE für jede Richtung einen eigenen Key. Die Schlüssellänge kann 40 oder 128 Bit betragen. Eine zusätzliche Authentisierung der Pakete nimmt PPTP nicht vor.
Um die Sicherheitsprobleme von PPTP zu beseitigen, hat Microsoft ab Windows 2000 das Extensible Authentication-Protocol (EAP) eingeführt, das die Authentifizierung über Zertifikate und MD5-Hashes unterstützt. Ohne EAP gilt PPTP heutzutage als nicht mehr hinreichend sicher.

Neben den Sicherheitsproblemen hat PPTP auch mit NAT zu kämpfen. Manche Router nehmen GRE-Pakete nicht an und verwerfen sie kommentarlos. Zudem gibt es bei GRE keine Ports, sodass die Zuordnung von Ports zu Client-Verbindungen unmöglich ist. Anders als bei IPSec befördert PPTP die zugehörigen Kenndaten unverschlüsselt. Mit PPTP Passthrough sind moderne NAT-Router daher in der Lage, eine Liste der von Clients verwendeten Call IDs zu führen und zuzuordnen...

__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Seitenanfang Seitenende
27.01.2008, 00:23
Member

Themenstarter

Beiträge: 1516
#3 Okay danke ist also nicht wirklich nutzbar.
Gibts ein anderes Vpn das sich schnell einrichten lässt?
Hab leider keine Zeit mich damit zu beschäftigen Open Vpn braucht schon zuviel Zeit.
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}
Seitenanfang Seitenende
27.01.2008, 01:01
Moderator
Avatar hevtig

Beiträge: 2307
#4 Leider ist die Einrichtung von VPN immer ein wenig zeitaufwändig.
Du verrätst ja leider auch nicht, was du genau vorhast.
Privat ist PPTP allemal sicher genug.
Abhilfe können natürlich kommerzielle Produkte schaffen, wie z.B. Produkte von z.B. lancom, cisco etc.
Ich selber habe Erfahrungen mit den oben genannten gemacht und finde es, nach einer gewissen Eingewöhnungsphase brauchbar.
Bei Lancom gibt es mittlerweile das 1-Click VPN (oder 2-Click?) (für LAN-LAN- Kopplung).
Erforderlich ist allerdings ein VPN- Gateway und entsprechende Software oder andere Hardwarekomponenten... je nachdem was du machen willst.
Da du ja PPTP ansprichst gehe ich davon aus, daß du dich mit einem Client einwählen willst.
Dann bräuchtest du 1x ein VPN Gateway und 1x eine passende Software.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Seitenanfang Seitenende
27.01.2008, 01:25
Member

Themenstarter

Beiträge: 1516
#5 Ich will mich von meinem Laptop auf meinen Pc Verbinden. Zum einen zur Fernwartung zum anderen um in öffentlichen Wlans sicher surfen zu können.

Windows VPN hat den Nachteil das gleich der ganze Pc offen steht wenn das Passwort abgefangen wird. Daher bin ich noch etwas skeptisch ob ich es benutzen soll.
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}
Seitenanfang Seitenende
27.01.2008, 13:18
Moderator
Avatar hevtig

Beiträge: 2307
#6 Eine andere Möglichkeit wäre evtl. das tunneln der RDP- Sitzung über SSH.
Auf dem "Server" bräuchtest du nur den SSH- Dienst installieren (z.B. OpenSSH),
auf dem Client könntest du mit z.B. putty eine rdp- Sitzung tunneln.
Wäre eine Möglichkeit, das kostenfrei hinzubekommen.

EDIT: Vorteil der SSH Lösung ist, daß du
a. nur einen Port im router freigeben mußt (22)
b. du kannst je nach Belieben beliebige Ports tunneln, kannst also je nach Sicherheitsbewußtsein Sachen zulassen oder halt nicht.

Nachteil des Ganzes ist, daß SSH in Windows schlechter integrierbar ist.
Ich selber habe es mit openssh über cygwin damals realisiert. eine originäre win anwendung wäre aber evtl. zuverlässiger, obwohl ich nie Probleme hatte...
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Seitenanfang Seitenende
28.01.2008, 01:07
Member
Avatar Xeper

Beiträge: 5289
#7 Wäre OpenVPN keine Lösung, dass funktioniert relativ gut zwischen Windows und UNIX?

Ansonsten zu tunneln fällt mir noch stunnel ein, sehr kleines Programm aber genial und läuft überall quasi.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
28.01.2008, 01:43
Member

Themenstarter

Beiträge: 1516
#8 Doch schon aber irgendwie will es bei mir nicht und hab keine Zeit mich damit intensiver zu beschäftigen.
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: