14
VPN PPTP Sicher? (DI-804 HV)
Privates Netzwerk mit 1 Server und 3 Clients
Hallo zusammen,
ich habe vor kurzem eine VPN-Verbindung über meinen Router eingerichet
(D-Link DI 804 HV).
Das ganze funktioniert wunderbar über den Routereigenen PPTP-Server.
Wenn ich nun einen Portscann mache zeigt es mir den Port 1723 VPN als offen an.
Ich denke das ist normal ?!?
Meine Frage nun: Ist dieses Verfahren sicher oder bestehen erhebliche Sicherheitslücken?
Im Vorraus vielen Dank für eure Antworten.
ich habe vor kurzem eine VPN-Verbindung über meinen Router eingerichet
(D-Link DI 804 HV).
Das ganze funktioniert wunderbar über den Routereigenen PPTP-Server.
Wenn ich nun einen Portscann mache zeigt es mir den Port 1723 VPN als offen an.
Ich denke das ist normal ?!?
Meine Frage nun: Ist dieses Verfahren sicher oder bestehen erhebliche Sicherheitslücken?
Im Vorraus vielen Dank für eure Antworten.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 54963
Url: https://administrator.de/contentid/54963
Printed on: April 20, 2024 at 02:04 o'clock
14 Comments
Latest comment
G' Abend,
dieser Port wird für PPTP nun mal gebraucht. Sicher ist immer so eine Definition. *gg*
Also höheren Sicherheitsstandard würde L2TP mit IPSec mit sich bringen.
Hier ein kl. Zitat:
Quelle: http://www.gruppenrichtlinien.de
Hier noch ein Hinweis für WindowsXP mit SP2:
Funktioniert wunderbar!! Muss auch am Server umgestellt werden danach den
Routingdienst neustarten.
L2TP benötigt folgende Ports: UDP 1701, UDP 500, UDP 5500, UDP 4500
Grüße
Dani
dieser Port wird für PPTP nun mal gebraucht. Sicher ist immer so eine Definition. *gg*
Also höheren Sicherheitsstandard würde L2TP mit IPSec mit sich bringen.
Hier ein kl. Zitat:
Zur Vergößerung der Sicherheit im verwendeten Tunnels wird dieser von PPTP (Point-to-
Point-Tunneling Protocol) auf einen L2TP (Layer-Two Tunneling Protocol) umgestellt.
Mit L2TP ist es erst möglich innerhalb der Verbindung IPSec zu tunneln. Diese Möglichkeit ist
im PPTP nicht gegeben. PPTP verschlüsselt die Pakete nach einem RC4 Verfahren mit 40, 56
oder 128 Bit (welches wir eingestellt hatten), aber hat keine Integritätsprüfung der Pakete
implemetiert und kann nicht zusammen mit IPSec verwendet werden. Hier noch ein Hinweis für WindowsXP mit SP2:
.... der von einer Änderung von IPSec bei Windows XP mit SP2 über NAT-T und Problemen
damit berichtet... schau Dir das mal an
http://support.microsoft.com/default.aspx?scid=kb;en-us;885348Routingdienst neustarten.
L2TP benötigt folgende Ports: UDP 1701, UDP 500, UDP 5500, UDP 4500
Grüße
Dani
Hallo Dani,
vielen Dank für die schnelle Antwort!
Ratest du mir dringend auf L2TP umzustellen oder kann ich
es unter PPTP weiter laufen lassen?
Ich bin ein ganz normaler Privat-Anwender, es sind also keine
hochsensibele Daten auf dem System gespeichert.
Grüße
radimobil
vielen Dank für die schnelle Antwort!
Ratest du mir dringend auf L2TP umzustellen oder kann ich
es unter PPTP weiter laufen lassen?
Ich bin ein ganz normaler Privat-Anwender, es sind also keine
hochsensibele Daten auf dem System gespeichert.
Grüße
radimobil
In diesem Fall würde ich nicht umstellen. Nur sicherstellen, dass die Kennwört nicht zu einfach sind!
Grüße
Dani
Grüße
Dani
Hallo,
http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/195 ...
Versuch lieber IPSEC...
Karsten
Meine Frage nun: Ist dieses Verfahren
sicher oder bestehen erhebliche
Sicherheitslücken?
PPTP ist schon seit 2001 nicht mehr sicher:sicher oder bestehen erhebliche
Sicherheitslücken?
http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/195 ...
Versuch lieber IPSEC...
Karsten
PPTP ist für den genannten Einsatzzweck mehr als ausreichend - doch das Passwort sollte möglichst komplex und lang sein. Knacken kann man alles - die Frage ist nur mit welchem Aufwand und wie lange es dauert den Schlüssel zu knacken. PPTP hat eine kleine Designschwäche, diese auszunutzen ist aber recht schwierig - und würde auch in keinem Verhältnis zum "Ertrag" (sensible Daten, die Geld bringen könnten) stehen.
Ein Hacker der es echt auf DEIN Netz abgesehen hat würde garnicht den Tunnel knacken wollen - viel leichter wäre es dir emails mit keylogger-anhang zu senden, und wenn du den installierst, hat er dein passwort. Da wärest du bei Einsatz von IPSEC auch nicht davor geschützt.
Der Weg des leichtesten Widerstandes ist meist der effektivste.
Der CIA oder NSA könnte wohl deinen PPTP Tunnel knacken, oder paar chinesische Studenten, die grade nichts besseres zu tun haben. Aber auch nur unter bestimmten Umständen, die recht unwahrscheinlich sind.
Ein Hacker der es echt auf DEIN Netz abgesehen hat würde garnicht den Tunnel knacken wollen - viel leichter wäre es dir emails mit keylogger-anhang zu senden, und wenn du den installierst, hat er dein passwort. Da wärest du bei Einsatz von IPSEC auch nicht davor geschützt.
Der Weg des leichtesten Widerstandes ist meist der effektivste.
Der CIA oder NSA könnte wohl deinen PPTP Tunnel knacken, oder paar chinesische Studenten, die grade nichts besseres zu tun haben. Aber auch nur unter bestimmten Umständen, die recht unwahrscheinlich sind.
Rehallo,
dieser artikel ist nur das was ich auf die schnelle gefunden habe.
Es gab mal einen Artikel in der CT der besagte, dass man wenn man die ersten beiden Pakete der PPTP Kommunikation mitschneidet daraus das Passwort errechnen kann.
Und damals hat das ein Student mit einem 8 Zeichen Passwort und einem Celeron800 in etwas über 12 Stunden gemacht. Heute mit 3GHz DualCore Rechnern, preiswerten Clustern lässt sich das eheblich verkürzen.
Es geht aber auch noch einfacher:
http://www.securityfocus.com/tools/5
Ausserdem empfiehlt das Bundesamt für Sicherheit in der Informationstechnik ausdrücklich PPTP nicht zu verwenden:
http://www.bsi.de/fachthem/sinet/loesungen_transport/VPN.pdf
Karsten
dieser artikel ist nur das was ich auf die schnelle gefunden habe.
Es gab mal einen Artikel in der CT der besagte, dass man wenn man die ersten beiden Pakete der PPTP Kommunikation mitschneidet daraus das Passwort errechnen kann.
Und damals hat das ein Student mit einem 8 Zeichen Passwort und einem Celeron800 in etwas über 12 Stunden gemacht. Heute mit 3GHz DualCore Rechnern, preiswerten Clustern lässt sich das eheblich verkürzen.
Es geht aber auch noch einfacher:
http://www.securityfocus.com/tools/5
Ausserdem empfiehlt das Bundesamt für Sicherheit in der Informationstechnik ausdrücklich PPTP nicht zu verwenden:
http://www.bsi.de/fachthem/sinet/loesungen_transport/VPN.pdf
Karsten
G' Morgen,
also ich schließe mich "einfach-mal-die-klappe-halten" an. Wie schon gesagt, wenn einer eindringen möchte, gibt es vorher noch andere Möglichkeiten. Es ist auch immer noch eine Frage, wie gut der Router konfiguriert ist bzw. was das Gerät kann!
Von dem her, würde ich bei PPTP bleiben. Angriffspunkte findet ein guter Hacker immer. Und da der Benutzer nichts macht, was nicht für die Öffentlichkeit gedacht ist (Daten, E-Mails) würde der Aufwand sich nicht lohnen. Des weiteren muss der Router erstmal L2TP können. Das ist bei Billig-Routern selten der Fall!!!
Grüße
Dani
also ich schließe mich "einfach-mal-die-klappe-halten" an. Wie schon gesagt, wenn einer eindringen möchte, gibt es vorher noch andere Möglichkeiten. Es ist auch immer noch eine Frage, wie gut der Router konfiguriert ist bzw. was das Gerät kann!
Von dem her, würde ich bei PPTP bleiben. Angriffspunkte findet ein guter Hacker immer. Und da der Benutzer nichts macht, was nicht für die Öffentlichkeit gedacht ist (Daten, E-Mails) würde der Aufwand sich nicht lohnen. Des weiteren muss der Router erstmal L2TP können. Das ist bei Billig-Routern selten der Fall!!!
Grüße
Dani
Yo - ich kenne die Knacktools recht gut.
Wie gesagt KANN man alles knacken.
Cain wird für nen komplexen Hash auf nem aktuellen Heim-Rechner jedoch paar Jahre brauchen.
Es gibt Firmen, die finden sogar RDP Zugriff aufs Intranet ok - alles ne Frage der paranoia.
Dort wird auch regelmässig kontrolliert, von wo wer zugegriffen hat, und die letzten jahre gab es meines Wissens keinen Einbruchsversuch, obwohl RDP ne verhältnismässig schwache Verschlüsselung benutzt.
Das Email-Anhang klicken oder surfen mit Adminrechten auf zwielichten Webseiten bringt viel mehr Risiko als PPTP zu verwenden.
Wie gesagt KANN man alles knacken.
Cain wird für nen komplexen Hash auf nem aktuellen Heim-Rechner jedoch paar Jahre brauchen.
Es gibt Firmen, die finden sogar RDP Zugriff aufs Intranet ok - alles ne Frage der paranoia.
Dort wird auch regelmässig kontrolliert, von wo wer zugegriffen hat, und die letzten jahre gab es meines Wissens keinen Einbruchsversuch, obwohl RDP ne verhältnismässig schwache Verschlüsselung benutzt.
Das Email-Anhang klicken oder surfen mit Adminrechten auf zwielichten Webseiten bringt viel mehr Risiko als PPTP zu verwenden.
Hacker immer. Und da der Benutzer nichts
macht, was nicht für die
Öffentlichkeit gedacht ist (Daten,
E-Mails) würde der Aufwand sich nicht
lohnen. Des weiteren muss der Router erstmal
Wozu dann VPN??macht, was nicht für die
Öffentlichkeit gedacht ist (Daten,
E-Mails) würde der Aufwand sich nicht
lohnen. Des weiteren muss der Router erstmal
L2TP können. Das ist bei Billig-Routern
selten der Fall!!!
Der Router kann IPSec (lt. http://www.dlink.de/?go=gNTyP9CgrdFOIC4AStFCF834mptYKO9ZTdvhLPG3yV3oV4F ... ). Das ist erheblich sicherer als PPTP.selten der Fall!!!
Wenn VPN, dann lieber sicher, antelle nur so einer halbgaren Lösung.
Karsten
Hallo zusammen und vielen Dank für die
zahlreichen Beiträge!
Mein Router kann IPSec! Auf dem Router den LP2TP einzurichten ist
auch kein Problem.
Schwierigkeiten gibt es nur bei der Einwahl. Was mache ich falsch? Ich gehe genau so vor wie bei PPTP
Er fragt nach einem Sicherheitszertifikat oder so...?!?
Grüße
radimobil
zahlreichen Beiträge!
Mein Router kann IPSec! Auf dem Router den LP2TP einzurichten ist
auch kein Problem.
Schwierigkeiten gibt es nur bei der Einwahl. Was mache ich falsch? Ich gehe genau so vor wie bei PPTP
Er fragt nach einem Sicherheitszertifikat oder so...?!?
Grüße
radimobil
IPSEC braucht ein zertifikat, oder ein PSK.
IPSEC braucht ein zertifikat, oder ein PSK.
ok, wie muß ich vorgehen?
Das erklärt dir am besten der, der dir zu IPSEC geraten hat. 
Aber klar - wenn das Gerät schon IPSEC kann, dann kann man auch IPSEC verwenden - falls man es zum Laufen kriegt.
Wenn es NUR mit Zertifikat geht, musst du eine CA (Zertifizierungsstelle) aufsetzen und dir ein Zertfikat ausstellen. Oder du kaufst ein Zertifikat bei Verisign für paar hundert Euro.
Oder ein Blick in die Anleitung könnte nicht schaden, falls PSK auch funktioniert - doch ein PSK ist auch nix anderes als ein Passwort übrigens.
Ferner braucht IPSEC mehrere Ports (je nachdem wie das D-Link macht Ports 50, 51, 500, 4500, 10000). Ob du von ÜBERALL den IPSEC Tunnel aufbauen können wirst hängt also davon ab, ob DORT wo du dich aufhälst diese Port freigeschaltet sind.
PPTP braucht meines Wissens nur Port 1723 und ist wahrscheinlich einfacher zu konfigurieren.
Hatte ich erwähnt, dass du für IPSEC auch einen passenden VPN Ipsec Client brauchst?
PPTP kann Windows von Haus aus.
Aber klar - wenn das Gerät schon IPSEC kann, dann kann man auch IPSEC verwenden - falls man es zum Laufen kriegt.
Wenn es NUR mit Zertifikat geht, musst du eine CA (Zertifizierungsstelle) aufsetzen und dir ein Zertfikat ausstellen. Oder du kaufst ein Zertifikat bei Verisign für paar hundert Euro.
Oder ein Blick in die Anleitung könnte nicht schaden, falls PSK auch funktioniert - doch ein PSK ist auch nix anderes als ein Passwort übrigens.
Ferner braucht IPSEC mehrere Ports (je nachdem wie das D-Link macht Ports 50, 51, 500, 4500, 10000). Ob du von ÜBERALL den IPSEC Tunnel aufbauen können wirst hängt also davon ab, ob DORT wo du dich aufhälst diese Port freigeschaltet sind.
PPTP braucht meines Wissens nur Port 1723 und ist wahrscheinlich einfacher zu konfigurieren.
Hatte ich erwähnt, dass du für IPSEC auch einen passenden VPN Ipsec Client brauchst?
PPTP kann Windows von Haus aus.
