VPN Verständnis Fragen

#1 Hallo liebes Forum,

ich habe ein paar (kleine) Verständnisfragen zu VPN. Ich habe mir mal aus reinem Interesse einen VPN Server (läuft unter Windows 7 mit Boardmitteln) aufgesetzt und nun auch einen/mehrere Clients (1. Client Windows 7, 2. Client Android Smartphone).

Die Verbindung zum VPN ist via PPTP Verschlüsselt und ich habe einen extra Benutzer angelegt, der ein ausreichend starkes PW besitzt.

Die Verbindung via VPN und das surfen über die VPN-Verbindung klappt alles tadellos. Keine Probleme. Allerdings ist mir einiges in Bezug auf Hintergrundwissen wohl noch nicht ganz klar.

1.) Wie sicher ist ein VPN-Tunnel mittels PPTP-Verschlüsselung und ausreichendem PW??
Würdet ihr hier über ein öffentliches Netz (sagen wir ein offener Hotspot am Flughafen) via VPN-Tunnel Bankgeschäft erledigen o.ä. sensible Daten durchs Netz schicken?!
Wenn nein, warum nicht? Wenn ja, warum??

2.) Was mich ein bisschen verwirrt hat: Ich gehe mit meinem Laptop über ein offenes Netz ins Internet. Lokale IP über das offene Netz: 192.168.43.xx, Standardgateway: 192.168.43.1

Verbinde ich mich nun mit meinem VPN Tunnel, BLEIBEN DIESE IP ADRESSEN ERHALTEN!!! Ich bekomme lediglich über den PPP-Adapter eine lokale IP aus meinem privaten Netz (wo der VPN hinführt) (192.168.1.xx), allerdings KEINEN Standardgateway!!! Ist das so richtig, da ich ja den Server auf einem lokalem Rechner und nicht dem Router laufen lasse??

2.1) Wie sieht es jetzt mit der Sicherheit aus? Der Datenverkehr sollte ja eigentlich (sobald er meinen Laptop verlässt) komplett verschlüsselt sein. Könnte nun der Betreiber des offenen Netzes meine Daten auf dem Weg zu seinem Router abfangen (bzw. entziffern/lesen?!?).

Ich war der Meinung, dass ich eigentlich direkt eine IP von MEINEM Netz (192.168.1.xx) erhalten sollte, aber dies ist ja nicht der Fall, ist das so richtig???

Wie schon gesagt funktioniert alles (hoffentlich auch in Punkto Sicherheit ^^). Mich interessieren nur was da im Hintergrund passiert. :-)


Ich danke jetzt schon einmal sehr für jede Antwort und bin gespannt was ich wieder lerne ^^

Lieben Gruß
Ultimate alias Dennis

#2 Hallo Ultimate,

Zitat

Ultimate postete

1.) Wie sicher ist ein VPN-Tunnel mittels PPTP-Verschlüsselung und ausreichendem PW??
Würdet ihr hier über ein öffentliches Netz (sagen wir ein offener Hotspot am Flughafen) via VPN-Tunnel Bankgeschäft erledigen o.ä. sensible Daten durchs Netz schicken?!
Wenn nein, warum nicht? Wenn ja, warum??

PPTP gilt schon seit längerem nicht mehr als sicher und es wird empfohlen bei VPN Neueinrichtungen PPTP nicht mehr einzusetzen.
Siehe
http://www.heise.de/artikel-archiv/ct/2012/21/80_kiosk
http://www.heise.de/security/meldung/Microsoft-warnt-vor-PPTP-und-MS-CHAP-1671706.html

Für private Zwecke mag es evtl. noch in Ordnung sein, aber auch da gibt es kostenlose und bessere Varianten, wie z.B. OpenVPN. Auch wenn die Verschlüsselung nicht mehr als sicher angesehen wird würde ich logischerweise den Sicherheitslevel höher einstufen als ohne. Also wenn schon sensible Daten über einen Hotspot, dann lieber mit einem PPTP Tunnel, als ohne.

Zitat

Ultimate postete
2.) Was mich ein bisschen verwirrt hat: Ich gehe mit meinem Laptop über ein offenes Netz ins Internet. Lokale IP über das offene Netz: 192.168.43.xx, Standardgateway: 192.168.43.1

Verbinde ich mich nun mit meinem VPN Tunnel, BLEIBEN DIESE IP ADRESSEN ERHALTEN!!! Ich bekomme lediglich über den PPP-Adapter eine lokale IP aus meinem privaten Netz (wo der VPN hinführt) (192.168.1.xx), allerdings KEINEN Standardgateway!!! Ist das so richtig, da ich ja den Server auf einem lokalem Rechner und nicht dem Router laufen lasse??

Die Adressen bleiben erhalten, da du ja immer noch in dem Netz bist. Dein Rechner muss ja auch wissen, wie er den Tunnel aufbauen soll... über das Gateway des öffentlichen Netzes.
Bei PPTP kannst du auswählen, ob alle Daten durch den Tunnel gehen, oder nicht. Standardmäßig läuft alles durch den Tunnel.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#3 Hallo HeVTiG,

vielen Dank für diese Infos. Bezüglich der IP´s habe ich noch ein bischen rumgespielt und bin (ohne es wirklich gewusst zu haben, war eher ne Ahnung) auf den selben Gedanken gekommen. Aber danke für deine Bestätigung.

Bzgl. PPTP bin ich jetzt doch etwas überrascht. Ich habe mir den Artikel mal durchgelesen und mal wieder festgestellt, wie unheimlich schlecht man gewisse Dinge umsetzen kann. :-)

Ich formuliere meine Frage mal um. Wenn ich mein Tunnel nun vollständig auf IPSec umstelle (geht das komplett, sowohl Server als auch Client, mit openVPN?!?! Eher nur Clientseitig, oder??), wie seht ihr da den Sicherheitsaspekt??

- Würdet ihr dann äußerst sensible Daten über den Tunnel schicken???
- Und wie war das nun, könnte (sagen wir die Verschlüsselung ist "sicher") ein Netzwerkinhaber meinen Traffic zwischen meinem PC und dem "nicht vertrauenswürdigem Router im offenen Netz" abhören?? Nein, oder? Sobald die Daten meinen PC verlassen sind sie getunnelt und damit "sicher"?!

Vielen Dank für deine Aussagen und Infos.
Über jeden weiteren Beitrag zu dem Thema würde ich mich sehr freuen.

Gruß
Dennis

#4 Wie HeVTiG schon angedeutet hat, ist das PPTP Protokoll grundlegend kaputt. Ich persönlich würde es für gar nichts mehr verwenden. Es gibt bei IT Sicherheit so viele Fallstricke, da sollte man sich wenigstens auf die grundlegenden Dinge verlassen können.

Bei einem VPN Tunnel ist es immer so, dass das VPN Programm eine Art virtuelle Schnittstelle erzeugt. Für den Computer ist die genau so gut wie eine Netzwerkkarte. Diese Schnittstelle verschlüsselt alle Datenpakete von Deinem Rechner und verschickt sie dann über die richtige Netzwerkkarte. Sobald der Tunnel aufgebaut ist, kann niemand mehr Deine Daten abhören. Aber (und jetzt kommt der Haken) bis dahin kann die Verbindung so manipuliert werden, dass Du quasi Deine verschlüsselten Daten an einen "Mittelsmann" schickst und der die Daten dann weiter leitet. Damit wäre Dein Tunnel wertlos.

In öffentlichen Netzen benötigst Du also ein Protokoll, das eine Authentifizierung enthält, damit Du sicher sein kannst, dass der Server mit dem Du sprichst auch der Richtige ist. Das können L2TP/IPSec,SSTP und OpenVPN. Bei PPTP ist das nicht vorgesehen. Jetzt weiß ich nicht, welche Boardmittel Windows 7 (als Server) mitbringt, aber ich denke mit OpenVPN dürftest Du am besten fahren, wenn es wirklich sicher sein soll.
__________
AnonSphere – Hol Dir Deine Privatsphäre zurück!

#5 Hi AnonSphere,

auch dir erst einmal vielen Dank für die Infos.

Zitat

AnonSphere postete
Aber (und jetzt kommt der Haken) bis dahin kann die Verbindung so manipuliert werden, dass Du quasi Deine verschlüsselten Daten an einen "Mittelsmann" schickst und der die Daten dann weiter leitet.

Verstehe ich das richtig, dass du einen Typischen MID meinst?! Wenn ja, müsste also das PPTP Protokoll KEINE Authentifizierung von Seiten des Servers unterstützen, verstehe ich das so richtig??

Zitat

AnonSphere postete
Das können L2TP/IPSec,SSTP und OpenVPN.

Ich habe mich (nachdem mich HeVTiG darauf aufmerksam gemacht hat, dass PPTP nicht mehr sicher ist) nach ein paar Alternativen umgesehen und erfahren, dass OpenVPN wohl die "beste" Lösung sei, da sowohl die Sicherheit, als auch die Performance stimmen.
Leider habe ich es noch nicht geschafft (ist ja erst ein paar Std. her ^^) mich intensiver in OpenVPN einzulesen. Könntest du (oder auch gerne jm. anderes) mir vielleicht aber jetzt schon mal etwas darüber sagen? Also nichts in Bezug auf den Aufbau und wie ich es einrichte, eher in Bezug auf evtl. Sicherheitslücken/Probleme, Pros- und Cons?? Wie sieht es eigentlich aus, ist es (aus dem Blick der Sicherheit) für PRIVATE Zwecke (es müssen also keine Benutzer "ausgesperrt" werden können) egal, ob ich die Symmetrische oder Asymmetrische Lösung unter OpenVPN nehme?? Mir erscheint auf den ersten Blick die Symmetrische leichter zu realisieren, allerdings will ich das nicht auf Kosten der Sicherheit machen!

Vielen Dank für die guten Ratschläge und Tipps!! :-)
Ich warte gespannt auf weitere Antworten oder berichte, sobald ich mich tiefer mit OpenVPN beschäftigt habe.

Gruß
Dennis

#6

Zitat

Verstehe ich das richtig, dass du einen Typischen MID meinst?! Wenn ja, müsste also das PPTP Protokoll KEINE Authentifizierung von Seiten des Servers unterstützen, verstehe ich das so richtig??

Ja und ja.

Zitat

Bezug auf evtl. Sicherheitslücken/Probleme, Pros- und Cons??

Pro:
- Stabiler bei der Verbindung
- Flexibler durch beliebige Ports
- Schneller, weil weniger Overhead
- Sehr sicher

Con:
- Man braucht Zusatzsoftware

Zitat

ich die Symmetrische oder Asymmetrische Lösung unter OpenVPN nehme??

Der Tunnel ist immer symetrisch (weil Performance). Bei der Anmeldung ist es egal. Der Verbindungsaufbau selbst läuft immer asymetrisch. Es geht ja hier "nur" um die Authorisierung der Benutzer.
__________
AnonSphere – Hol Dir Deine Privatsphäre zurück!