Cisco VPN Tunnel hacken ??

#1 Hi Leute,

und zwar möchten wir bei uns in der Firma Standorte über VPN anbinden. Dazu haben wir testweise 2 Cisco 1601 Router jeweils mit einem BRI (ISDN) Interface genommen und beide über VPN inkl. Verschlüsselung verbunden.

Gibt es eine Möglichkeit zu testen ob die Verbindung wirklich sicher ist ??


Danke im vorraus.

Xirtmax

#2 Hi,
Wie meinst du das?
Ob auch verschlüsselt übertragen wird?
Kannst ja dann nen Sniffer wie Ethereal nutzen.
Wie du überprüfen kannst welche Schlüssellänge genutzt wird weiss ich nich wenn du es herausfindest kannst ja mal posten (interessiert mich auch).
Hoffe konnte wenigstens etwas helfen.
Greetz
Smaggmampf

#3 Moin Xirtmax

nachdem wir nun das neue Zugangskontrolldiensteschutzgesetz haben dürften Auditing-Tips in Foren wie diesem wohl über kurz oder lang aussterben... egal. Ich versuch mal 'n paar Hinweise zu geben, in welche Richtung ihr euer VPN testen könnt... wie müßt ihr allerdings selbst rausfinden

Grundsätzlich hängt die Vorgehensweise beim Test davon ab, über welches Protokoll getunnelt wird (L2TP, L2F, GRE, PPTP+IPSec, L2TP+IPSec) ggf. auch vom OS. Jedes der Tunnelprotokolle hat seine Vor- und Nachteile, bzw. Schwachstellen.

Nächster Punkt wäre die Authentifizierung. L2TP verwendet zum Beispiel mit CHAP/PAP eine relativ schwache. Zudem fehlen eine starke Verschlüsselung und die Unterstützung digitaler Zertifikate. Ein weitere Schwachpunkt bei einem VPN-Typ L2TP over IPSec ist, dass die private IP unverschlüsselt übertragen wird, da IPSec erst nach Aufbau des Tunnels aktiv wird.

Die Verschlüsselung ist bei Layer2 und 3 Tunneln nicht automatisch vorhanden. Diese wird mit u.a. durch die Verwendung von IPSec erreicht. Wird als Protokoll PPTP verwendet (ebenfals Layer2) erfolgt die Verschlüsselung über MPPE. MPPE reicht von gar nicht veschlüsselt bis MPPE 128 V2, wobei die Zahl für die Schlüssellänge steht.

Eine Schwachstell könnte weiterhin die generelle Architektur des VPN sein. Man unterscheidet drei Arten: End-to-End, End-to-Side, Side-to-Side. Werden zwei Netzwerke verbunden und auf beiden Seiten steht ein VPN-Gateway über den die Clients gehen, spricht man von einem Site-to-Site Tunnel. Verbindet sich ein VPN-Client (zum Beispiel ein einzelner Rechner aus einem LAN) mit einem entfernten VPN-Gateway, handelt es sich um einen End-to-Site Tunnel - vorausgesetzt, der Tunnelendpunkt liegt am Client und nicht an einem event. vorgeschaltetem Router. End-to-End Tunnel funktionieren ähnlich, nur das der eine VPN-Gateway gleichzeitig als ApplicationServer fungiert.
Nachteil bei einer Side-to-Side Verbindung oder einer Verbindung, bei der der Tunnelendpunkt nicht am Client liegt, sondern an einem Router wäre zum Beispiel, dass die Übertragung von Daten hinter dem Gateway bzw. dem Router ungesichert abläuft, dass VPN also erst greift, wenn sie den Router/Gateway passiert haben.

Funktionelle Schwachstellen gibt es, wenn ein VPN-Client hinter einem Router/Gateway steht, der NAT ausführt (Network Address Translation) aber kein IPSec unterstützt. Aber das zu erklären würde hier zu weit führen...

Generell halte ich eine bestehende VPN-Verbindung, egal wie sie aussieht und wie stark sie verschlüsselt ist, für relativ sicher, da sie, nachdem der Tunnel aufgebaut ist, von außen nicht erkennbar ist. Ein Angriffspunkt ist mit Sicherheit der VPN-Server - bei mangelnden Authentisierungsmechanismen - Token oder Smartcarts sind hier u.a. vorteilhaft...

Naja, das könnte man jetzt so endlos weiterführen...
Vielleicht hats euch ja auf ein paar Ideen für euren test gebracht.

Grüße, dicon

#4

Zitat

nachdem wir nun das neue Zugangskontrolldiensteschutzgesetz

Ups daran hab ich gar nicht mehr gedacht. Muss wohl länger nachdenken was ich schreibe. Is ja auch sch...
Greetz
Smaggmampf