Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Empfehlungen für einen stabilen und leistungsfähigen VPN-Tunnel

Mitglied: Kristian.CS

Kristian.CS (Level 1) - Jetzt verbinden

14.09.2008, aktualisiert 20.09.2008, 12578 Aufrufe, 6 Kommentare

Zahlreiche Beiträge beschäftigen sich mit dem Aufbau und der Fehlerbehebung von VPN-Tunneln. Doch auch wenn der VPN-Tunnel steht, beeinflussen zahlreiche Parameter die Stabilität und Leistung der Verbindung. Welche Empfehlungen und Erfahrungswerte gibt es für eine "guten" Tunnel?

Wir verbinden über VPN-Tunnel (IPSec Router to Router) mehrere Standorte mit unserer Zentrale. Der Aufbau der Tunnel klappt und die Verbindung ist einwandfrei. Genutzt werden Dateifreigaben auf den zentralen Server und vor allem VoIP über die Tunnel. Mit Blick auf maximale Stabilität und Leistung möchte ich die Tunnel nun optimal einstellen.

Unsere Router lassen die Konfiguration von zahlreichen VPN-Parametern zu. Gibt es Empfehlungen und Erfahrungswerte zu folgenden Parametern:

- IKE und IP-Sec Llifetime (Wie lang/kurz sollten diese sein mit Blick auf einen möglichst stabilen Tunnel, schnellen Wiederaufbau nach Trennung)
- MTU-Werte (mit Blick auf Leistung/Fragmentierung)
- Dead Peer Detection (Lifetime, Action, usw.)
- Keep Alive
- Max IPsec ESP Length
- usw.

Folgende Infrastruktur:
- Zentrale / T-DSL 16000 / feste IP / D-Link DFL-800
- Remote-Standorte / T-DSL 16000 bzw. DSL3000 (Ausland) / dynamische IP / D-Link DFL-800
Mitglied: spacyfreak
14.09.2008 um 07:33 Uhr
Wir haben hunderte von Site-to-Site Verbindungen. Da die Peers oft ganz andere VPN Gateways benutzen sind auch die Parameter fast jedesmal etwas anders. Unterschied in Stabilität konnte ich keine feststellen.

Prinzipiell wirkt sich der Einsatz von MD5 statt SHA als Hash performanter aus, wird jedoch unter akademischer Sichtweise als weniger sicher eingestuft.

Die Kombination einer starken Verschlüsselung (AES256) mit MD5 als hash wäre ein gangbarer Weg um die Performance zu erhöhen (Datendurchsatz).

Die Lifetimes der SAs sind auch egal - hauptsache auf beiden Peers sind sie gleich eingestellt. Je länger, desto performanter, doch je kürzer, desto "sicherer".

Prinzipiell ist vor allem wichtig, dass die WAN Anbindung stabil und performant ist.

Ansonsten könnte man QoS einführen, um z. B. VoIP zu priorisieren, falls das probleme macht.
Bitte warten ..
Mitglied: Kristian.CS
14.09.2008 um 21:06 Uhr
Hallo SpacyFreak,

danke für Deine schnelle Reaktion und Deine Empfehlungen.

Die Diskussion um MD5 und SHA habe ich auch schon in Foren verfolgt. Ich denke auch, Dein Weg (AES256 / MD5) ist pragmatisch und gut.

Bei den Lifetimes ist klar, je kürzer -> umso weniger Overhead -> höhere Leistung. Spricht darüber hinaus etwas für eine kürzere Lifetimes? zum Beispiel schnellerer Aufbau nach einem Abbruch o. ä. Hast Du auch den IKE-Lifetime etwas länger als den IPSec-Lifetime?

QoS haben wir auf allen Sites implementiert. Welche MTU hast Du für die Tunnel?
Bitte warten ..
Mitglied: 51705
18.09.2008 um 21:25 Uhr
Hallo,

die Schlüssellänge erhöhen und gleichzeitig einen unsichern Hash zu verwenden, erscheint mir nicht sinnvoll. Die Theorie wurde ja bereits angesprochen, also sollte auch klar sein, daß AES128 als Algorithmus (mit herkömmlichen Mitteln) kaum zu brechen ist, MD5 schon. Im Zuge der Verfügbarkeit sind DPD und Hartbeats sinnvoll, die Lifetimes eher nebensächlich. Die MTU sollte der Router selbst setzen können.

Insgesamt ist die Prozessorleistung des Routers (bzw. des VPN Gateways) der limitierende Faktor.

Grüße, Steffen
Bitte warten ..
Mitglied: spacyfreak
18.09.2008 um 21:56 Uhr
Nun ja - der Hashalgorithmus in der IPSEC Suite dient ja "nur" dazu, die Datenintegrität zu gewährleisten - sprich zu verifizieren, dass das in IP eingekapselte und stark verschlüsselte IP-Paket sowie die Daten die es trägt nicht manipuliert wurde.

Wie man jedoch ein mit AES256 verschlüsseltes IP-Paket entschlüsseln geschweigedenn manipulieren können soll ist mir ehrlichgesagt schleierhaft. In Anbetracht dass sich die Schlüssel dynamisch abhängig von der Lifetime ändern ist das Brechen des Keys ein Unterfangen das wohl keinem in diesem Teil der Galaxis (ausser vielleicht NSA) gelingen würde.

Ein Angreifer wird letztendlich - wenn er es wirklich drauf anlegt an Daten zu kommen - das SCHWÄCHSTE Einfallstor suchen, und nicht seine kostbare Zeit mti dem knacken eines IPSEC Tunnels verschwenden.

Er wird die Firma mit mails "besuchen" mit verlockenden Anhängen, bei tausenden von Mitarbeitern findet sich bestimmt der eine oder andere der neugierig und doof genug ist draufzuklicken - und schon hat der Angreifer eine Anwendung im Netz, die die Tür "von innen" öffnet, was das Knacken eines Tunnels überflüssig macht.
Oder er schleust einen "Praktikanten" in die Firma, der das Opfer von innen aushöhlt.
Bitte warten ..
Mitglied: 51705
18.09.2008 um 22:07 Uhr
Zitat von spacyfreak:
Nun ja - der Hashalgorithmus in der IPSEC Suite dient ja
"nur" dazu, die Datenintegrität zu gewährleisten -
sprich zu verifizieren, dass das in IP eingekapselte und stark
verschlüsselte IP-Paket sowie die Daten die es trägt nicht
manipuliert wurde.

Der Hash stellt auch sicher, daß der Session-Key nicht kompromittiert ist (auch wenn dieser noch so lang ist).

Grüße, Steffen
Bitte warten ..
Mitglied: Kristian.CS
20.09.2008 um 16:08 Uhr
Ok, das Sicherheitsthema (MD5 vs. SHA) ist klar. Weniger Sicherheit -> höhere Performance und umgekehrt.

Was ist mit den anderen Parametern DPD-Lifetime, keep Alive usw.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Empfehlung eines leistungsfähigen WLAN Accesspoints

gelöst Frage von Odde23LAN, WAN, Wireless12 Kommentare

Hallo zusammen, ich brauche für einen Kunden einen leistungsstarke Accesspoints, für den Einsatz in einer beheizten und trockenen Lagerhalle. ...

MikroTik RouterOS

Wlanverbindung leistungsfähiger machen

gelöst Frage von tomue58MikroTik RouterOS17 Kommentare

Hallo in die Runde, zuerst und vorab eine etwas ketzerische Annahme: Als Voraussetzung stelle man sich vor, es gäbe ...

Router & Routing

Tunnel VPN to VPN

Frage von itschloeglRouter & Routing8 Kommentare

Guten Abend. Folgende Problemstellung: Ich habe ein Firmennetzwerk, welches mehrere Standorte umfasst. Alle Standorte sind via VPN an den ...

Netzwerke

VPN Tunnel innerhalb eines VPN Tunnels unter Windows 10 (Kaskadiertes VPN)

Frage von Zero01Netzwerke8 Kommentare

Hallo, kann mir evtl. jemand sagen ob es möglich ist eine VPN Verbindung die in Windows 10 eingerichtet ist, ...

Neue Wissensbeiträge
Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 8 StundenHumor (lol)1 Kommentar

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 20 StundenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 21 StundenSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 1 TagMicrosoft3 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server40 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing19 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...