Wie sicher ist ein VPN?

#1 Hallo, habe eine kurze Frage und würde mich über simple Antwort freuen; folgendes:

Ist ein VPN sicher genug um es bei einer sehr großen Firma einzusetzen das hohen Wert auf Sicherheit legt? Also ist so ein VPN Tunnel hackbar?

Spart euch Fachchinesisch, ich würde es wahrscheinlich nicht verstehen, Danke im voraus.

cOs4hO

#2 Also wir müssen da mal unterscheiden zwischen Tunnel und Verschlüsselung! Tunnel klingt immer so toll und sicher, ist es aber nicht! Tunnel bedeutet nur, daß es einen festen Verbindungsweg zwischen den zwei Zielen gibt - nicht mehr und nicht weniger!

Sicher wir das dann nur durch einen entsprechende Verschlüsselung. Diese sorgt dann dafür, daß die Payload bzw. Adressinformationen und Payload verschlüsselt übertragen werden.

Ordentlich geplant, konfiguriert und genutzt ist ein VPN (mit Verschlüsselung)sehr sicher!

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#3 Danke. Aber wäre es trotzdem möglich sowas zu hacken/ wurde sowas schon gehackt?

#4 Dies ist ohne weiteres möglich wenn du denn geheimem schlüssel hast.
An diesen zu kommen ist aber nicht so ohne weiteres möglich.

VPN gehört zu den Sichersten IT Standards

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#5 hier stimme ich poiin2000 zu....

vpn ist aber nur so sicher, wie derjenige, der es einrichtet. wenn es keine lücken gibt, dann kommt auch keiner an die daten. wir haben viele kunden, die vpn einsetzen um ausserhalb des unternehmens ihre e-mails abrufen, auf servern zugreifen, etc.
die kunden sind u.a. banken, versicherungen,... die einen unglaublichen Standard haben.

ich weiß nicht, was genau du damit vor hast, solltest aber wenn es eingerichtet werden soll, es von profis machen lassen. denn bei einer fehlerhaften installation könntest du dir eine riesen hintertür in dein netztwerk schaffen.

gruss
spike
__________
Wenn wir bedenken, dass wir alle verrückt sind, ist das Leben erklärt.
(Mark Twain)

#6 Was sind die Unterschiede zwischen ipsec , l2tp, pptp ?
Gibt es unsichere VPNs ?

#7 Zu den Unterschieden findest Du unter http://www.trojaner-und-sicherheit.de/TschiTschi/tunneling_protokolle.htm Informationen.
Auch http://www.repges.net/ ist sehr lesenswert.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#8 Hallo Miteinander
Hier ein kurzer Abriss über mein Problem:

Firma: Mittleres IT Unternehmen

Neuer Chef mit ca. 25 Jahren IT Erfahrung; Er war aktiv an folgendem Beteiligt:
- Firewall mit Web-Proxy, Antivirus, Abnormally-detection ect.. wurde abgeschafft
- RSA SecurID Token für Remote-login wurde abgeschafft
- Sun Secure Global Desktop Software wurde abgeschafft.
(Ist so was wie Citrix Web Portal. Die Applikationen sind im Web-Browser für Remote-Benutzer verfügbar.)


Neu hinzugekommen ist eine kleine ZyWALL (Firewall von ZyXEL) und eine VPN Client Software, auch von ZyXEL.


Bei der ZyWALL kann ich nur ein Passwort für die VPN Verbindung ablegen, somit haben alle, die die VPN-Software benurzen den gleichen login mit dem gleichen Passwort. Es werden zwar noch andere Authentifizierungsmethoden unterstützt, Chef möchte es aber einfach halten!

Bei dem Versuch ihm zu begründen, warum verschiedene Passworte nötig sind, hat er tatsächlich geantwortet: Zitat „bei verschiedenen Passwörtern ist die Gefahr des herausfinden grösser, da mehrere Passworte existieren“

Das Passwort, das wir im Moment verwenden ist ein einfacher kleiner Satz mit 2 Zahlen. Nebenbei bemerk: ich habe noch Probleme die Verbindung mit „3des“ zu konfigurieren. Mit „des“ geht es reibungslos. :-(

Versuche den Chef über die Problematik der VPN Verbindung aufzuklären, quittieret er mit einem Auszug aus diesem Forum.

Folgende Aussage aus diesem Forum hat er mit Leuchtstift angestrichen und für Ihn war die Sache damit erledigt:
----------------------------------------------------------------------------------------------------------------
- Ordentlich geplant, konfiguriert und genutzt ist ein VPN (mit Verschlüsselung)sehr sicher!
- Dies ist ohne weiteres möglich wenn du denn geheimem schlüssel hast.
- VPN gehört zu den Sichersten IT Standards
- vpn ist aber nur so sicher, wie derjenige, der es einrichtet. wenn es keine lücken gibt, dann kommt auch keiner an die daten. wir haben viele kunden, die vpn einsetzen um ausserhalb des unternehmens ihre e-mails abrufen, auf servern zugreifen, etc.
die kunden sind u.a. banken, versicherungen,... die einen unglaublichen Standard haben.

Ach ja:
Er hat übrigens noch nie einen Virus gehabt, deshalb hat er auch keine Antivirus-Software nötig. Ist eine Aussage von Ihm, belegt durch Zeugen! Und die neue Verbindung ist viel schneller als die alte.

Was will ich:
Eigentlich nicht viel, einige Kommentare von Euch.
Evtl. vielleicht so was wie: vpn, da kann ja auch die Schadsoftware von seinem PC ungehindert ins Firmen-Netz, oder evtl. was um mich ein wenig Aufzuheitern. Bin wirklich ratlos, und ich versichere allen, dies ist kein Witz!
Danke

#9 OK, dann fangen wir mal an

Zitat

- Firewall mit Web-Proxy, Antivirus, Abnormally-detection ect.. wurde abgeschafft

Wie realisiert ihr zu Zeit den Zugang zum Web? Alles über die Zywall? Kann man machen, aber einen Web-Proxy a la Squid mit Squidguard halte ich für besser, vor allem wenn man IE benutzt, weil der Proxy doch schon einiges abfängt und man auch bessere Kontrolle hat über die Seiten die aufgerufen werden können.

Zitat

- Sun Secure Global Desktop Software wurde abgeschafft.

Ganz grosser Fehler, es geht nichts über zentral gepflegte Software... Was war denn der Grund das abzuschaffen (bin im übrigen ganz grosser Citrix Fan )

Zitat

Bei dem Versuch ihm zu begründen, warum verschiedene Passworte nötig sind, hat er tatsächlich geantwortet: Zitat „bei verschiedenen Passwörtern ist die Gefahr des herausfinden grösser, da mehrere Passworte existieren“

Bullshit. Erstens fehlt so die Kontrolle wer sich da einloggt, und zweitens ist es einfacher eine einmalige kombination aus username+Paßwort zu erraten als wenn man verschiedene Usernamen+Paßwörter hat.

Zitat

- Ordentlich geplant, konfiguriert und genutzt ist ein VPN (mit Verschlüsselung)sehr sicher!

Stimmt. Mit ordentlich ist aber auch eine starke Verschlüsselung und ein einloggen mit personenbezogenen UserIDs und Paßwörtern gemeint.

Zitat

VPN gehört zu den Sichersten IT Standards

VPN ist eine Methode, kein Standard. Die Sicherheit eines VPN beruht alleine auf der User Authentication Policy, starken Paßwörtern und einer starken Verschlüsselung.

Zitat

Er hat übrigens noch nie einen Virus gehabt, deshalb hat er auch keine Antivirus-Software nötig

Sehe ich auch so, solange vor dem Netzwerk gefiltert wird und die User keine Adminrechte haben und die Computer auf dem neuesten Patchlevel sind. Bei Notebooks, die auch ausserhalb des Netzwerks eingesetzt werden, halte ich eine lokale Antivirenlösung für sinnvoll.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...

#10

Zitat

robag postete
....
Das Passwort, das wir im Moment verwenden ist ein einfacher kleiner Satz mit 2 Zahlen.....

JMu8ti2TK
Jeden Morgen um 8 trinke ich 2 Tassen Kaffee.
Na, wie dicht bin ich schon dran?

Hey, ich glaub das ungesehen mit den 25 Jahren IT Erfahrung.

TS

#11 Ich habe deinen Beitrag mit Erstaunen gelesen.
Das ist doch mal was. Jemand, der komplett gegen den Trend läuft. Alle Welt rüstet, was IT Sicherheit angeht, auf - ihr ab.
Auch wenn es mich selber oft stört, daß man einen Lamborghini kauft, um das Autoradio zu nutzen ist mir eure Umstellung doch etwas sehr radikal.

Die zitierten Aussagen aus diesem Beitrag sind ja generell nicht falsch, allerdings muß man immer sehen, was man aus diesen Aussagen macht.
Zudem muß man sich immer über sie Richtigkeit, bzw. Vollständigkeit Gedanken machen.

Zitat

- Ordentlich geplant, konfiguriert und genutzt ist ein VPN (mit Verschlüsselung)sehr sicher!

Stimmt, aber gerade VPN ist ja ein großes und auch oft sehr kompliziertes Thema.
Das man bei einer Neuimplementierung noch von DES oder 3DES spricht verwundert mich doch sehr. Das man dazu noch ein Username/Password für alle nutzt ist mE grob fahrlässig. Bis zu einer Unternehmensgröße bis ... kA 10 Personen ist das vielleicht noch praktikabel. Hoffentlich hört bei euch nie einer auf
RSA SecurID war doch eine tolle Sache dafür?

Zitat

Bei dem Versuch ihm zu begründen, warum verschiedene Passworte nötig sind, hat er tatsächlich geantwortet: Zitat „bei verschiedenen Passwörtern ist die Gefahr des herausfinden grösser, da mehrere Passworte existieren“

Chefs haben ja nicht generell die Angewohnheit rational und logisch zu sein, oder?

Zitat

Zitat

Er hat übrigens noch nie einen Virus gehabt, deshalb hat er auch keine Antivirus-Software nötig.

Sehe ich auch so, solange vor dem Netzwerk gefiltert wird und die User keine Adminrechte haben und die Computer auf dem neuesten Patchlevel sind. Bei Notebooks, die auch ausserhalb des Netzwerks eingesetzt werden, halte ich eine lokale Antivirenlösung für sinnvoll.

Dito. Solange die User keine Daten ungesehen an den zentralen Virenscannern vorbeischleusen können (Cds? USB? Disketten? etc.) könnten lokale Virenscanner obsolet sein.

Zitat

Was will ich:
Eigentlich nicht viel, einige Kommentare von Euch.
Evtl. vielleicht so was wie: vpn, da kann ja auch die Schadsoftware von seinem PC ungehindert ins Firmen-Netz, oder evtl. was um mich ein wenig Aufzuheitern.

Naja, es gibt genügend Firmen, die auch sensible Daten haben und die die Einwahl per VPN erlauben. Sehe ich auch nicht als Problem, solange die User keine Adminrechte und sämtliche Ports verammelt haben. Im Zweifel kann man ja auch noch zusätzlich ein Quarantäne- VPN aufbauen.


Ja, dein Chef scheint sich da jedenfalls nur wenig Sorgen zu machen. Was sagt denn euer Datenschutzbeautragte dazu?
Je nach Größe eures Unternehmens würde ich mir da auch rechtliche Gedanken machen, ob ein so "laues" Sicherheitskonzept als grob fahrlässig gelten könnte für den Fall, das z.B. personenbezogene Daten verloren gehen, oder schlimmer noch veröffentlicht werden. Oder man stelle sich vor, dass man ein Kundenneutzwerk infiziert, weil man selber nur schlechte Sicherheitsvorkehrungen hat. Was passiert, wenn die eigene Datenbank infiziert wird?
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#12 Hey, da kamen ja prompt einige gute Antworten, aber auch weitere Fragen.
Ich versuche hier alle bisherigen Fragen zu beantworten.

Zitat

Zitat

heptamer666
---------------
Wie realisiert ihr zu Zeit den Zugang zum Web? Alles über die Zywall? Kann man machen, aber einen Web-Proxy a la Squid mit Squidguard halte ich für besser, vor allem wenn man IE benutzt, weil der Proxy doch schon einiges abfängt und man auch bessere Kontrolle hat über die Seiten die aufgerufen werden können.

Wie gesagt alles über die popelige ZyWALL. Proxy mit Antivirus, Cache und Guard wurde eingestampft. Einige Videos kamen nich flüssig genug; er hat sich deshalb aufgeregt. Auch konnte er nicht direkt auf seine eigene private hosted-exchange Mailbox zugreifen. Es hätte die die Regel in der Firewall/Proxy gebraucht, ist aber eine andere Story.

Zitat

heptamer666
---------------
Ganz grosser Fehler, es geht nichts über zentral gepflegte Software... Was war denn der Grund das abzuschaffen (bin im übrigen ganz grosser Citrix Fan

Ja Citrix ist auch toll, Sun Secure Global Desktop Lizenzen bekamen wir aber quasi gratis als Partner von Sun. Abgeschafft wurde es deshalb, weil man der Meinung war, die alten Rechner auf denen es lief (2xSun Ultra2/9Jjährig) liquidieren zu müssen. Zugegeben, dafür war eine andere Person verantwortlich. [Story für ein anderes Forum; neue Rechner sind in Aussicht, momentan ist aber Stillstand.]

Zitat

heptamer666
---------------
Sehe ich auch so, solange vor dem Netzwerk gefiltert wird und die User keine Adminrechte haben und die Computer auf dem neuesten Patchlevel sind. Bei Notebooks, die auch ausserhalb des Netzwerks eingesetzt werden, halte ich eine lokale Antivirenlösung für sinnvoll.

Ja, besonders weil er mit seinem Laptop aktiv wireless benutzt. Er ist aber nicht besonders gefährdet, weil er Vista benutzt und mit Admin-Account unterwegs ist.

Zitat

TurnRstereO
--------------
JMu8ti2TK
Jeden Morgen um 8 trinke ich 2 Tassen Kaffee.
Na, wie dicht bin ich schon dran?

warm, sind allerdings einige ausgeschriebene Wörter

Zitat

HeVTiG
--------
Stimmt, aber gerade VPN ist ja ein großes und auch oft sehr kompliziertes Thema.
Das man bei einer Neuimplementierung noch von DES oder 3DES spricht verwundert mich doch sehr. Das man dazu noch ein Username/Password für alle nutzt ist mE grob fahrlässig. Bis zu einer Unternehmensgröße bis ... kA 10 Personen ist das vielleicht noch praktikabel. Hoffentlich hört bei euch nie einer auf
RSA SecurID war doch eine tolle Sache dafür?

War umständlich: Keys gingen verloren, mussten herumgetragen werden. Ausschlaggebend aber waren die Entscheidungsträger.

Zitat

HeVTiG
--------
Chefs haben ja nicht generell die Angewohnheit rational und logisch zu sein, oder?

Damit kann ich umgehen.

Zitat

HeVTiG
--------
Dito. Solange die User keine Daten ungesehen an den zentralen Virenscannern vorbeischleusen können (Cds? USB? Disketten? etc.) könnten lokale Virenscanner obsolet sein.

Er geht mit seinem Laptop ein und aus. Plan ist auch, den Mitarbeitern mehr Laptops zur Verfügung zu stellen. Mitarbeiter sollen auch mehr rechte bekommen. Evtl. Admin Account.

Zitat

HeVTiG
--------
Ja, dein Chef scheint sich da jedenfalls nur wenig Sorgen zu machen. Was sagt denn euer Datenschutzbeautragte dazu?
Je nach Größe eures Unternehmens würde ich mir da auch rechtliche Gedanken machen, ob ein so "laues" Sicherheitskonzept als grob fahrlässig gelten könnte für den Fall, das z.B. personenbezogene Daten verloren gehen, oder schlimmer noch veröffentlicht werden. Oder man stelle sich vor, dass man ein Kundenneutzwerk infiziert, weil man selber nur schlechte Sicherheitsvorkehrungen hat. Was passiert, wenn die eigene Datenbank infiziert wird?

Er hat seine Ansichten, technisch ist er auch versiert, Datenschutzbeauftragte?
Denke, da muss was Grosses passieren, bis was geändert wird.

Ein gutes hat die Sache aber: Wir konnten unsere Stromkosten senken, ist doch gut für die Umwelt.

Danke an alle, mein Ziel ist erreicht.
Ich werde dieses Forum/Link an die zuständigen Personen weiterleiten.