Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Serverseitige statische IP bei VPN-Verbindung sicherheitsrelevant?

Mitglied: palmuser

palmuser (Level 1) - Jetzt verbinden

09.02.2008, aktualisiert 10.02.2008, 4386 Aufrufe, 1 Kommentar

Hallo,
ich möchte zu Fernwartungszwecken einer externen Firma einen VPN-Zugang zu drei speziellen Rechnern in unserem Firmennetzwerk gestatten. Unsere Internetanbindung ist - wie nicht unüblich - mit wechselnden IP Nummern realisiert (normalerweise einmal pro 24 h Zwangstrennung). Nun erklärt mir die externe Firma (Anbieter unserer ERP-Software), dies könnten sie nur nutzen, falls wir eine feste IP Adresse angeben könnten. Als Begründung wurden Sicherheitsbedenken genannt, da bei einer Namensauflösung über dyndns (die ich vorgesehen hatte) keine wirkliche Sicherheit bestehe, dass die verwendete IP-Nummer richtig sei (kein reverse dns lookup möglich).
Meine Frage nun: stimmt diese Argumentation?
Nach meiner Ansicht müsste eines korrekte VPN-Einrichtung Identifikation, Authentifizierung und Verschlüsselung bieten, so dass auch ein (bei nicht sicherer Name/Adressauflösung theoretisch möglicher) Man-in-the-Middle-Angriff scheitern sollte. Oder liege ich da falsch?
Mein diesbezüglicher Einwand wurde übrigens von der ERP-Firma mit "Aber die Zertifikate werden im Klartext übertragen" abgewiesen.
Mein Problem ist, dass ich ohne unverhältnismäßigen finanziellen und organisatorschen Aufwand keine feste IP beschafffen kann.

Viele Grüße

Dirk
Mitglied: gnarff
10.02.2008 um 15:07 Uhr
Als Begründung
wurden Sicherheitsbedenken genannt, da bei
einer Namensauflösung über dyndns
(die ich vorgesehen hatte) keine wirkliche
Sicherheit bestehe, dass die verwendete
IP-Nummer richtig sei (kein reverse dns
lookup möglich).
Meine Frage nun: stimmt diese
Argumentation?

Nein, sie stimmt nicht!
Gegen IP-Spoofing hilt kein reverse DNS-Lookup sondern ein Trace-Back und Analyse der übertragenen Pakete:

"As for tracing back, that's possible, but really hard if it's outside your
own network. When you want to trace back a spoofed packet, you have to go
router-by-router, set up monitoring to match just the traffic you want,
see what interface it came in on, and check with the router(s) that are
attached to that interface. You have to have to be in constant
communications with the Internet provider the whole time, feeding them
what packets to look for, telling them if they are still coming. And you
have to re-explain the whole deal when you cross ISP boundaries, and deal
with that ISP."


Ich sehe das eigentliche Sicherheitsproblem in der Tatsache, dass DynDNS nicht sonderlich performant ist und öfter mal Ziel von DDoS-Angriffen ist, wie folgender Heise Artikel vom 12. März 2007 Auskunft gibt.
Eine Fernwartungsverbindung hat performant und ausfallsicher zu sein.

Mit dem NCP Secure Entry Client bzw. der NCP Secure Enterprise Solution kannst Du auch bei Benutzung von DynDNS Diensten eine sichere VPN-Verbindung herstellen, unter den angegebenen Link findest Du eine Testversion dieser Software.
Als Argumentationshilfe gegenüber Deines Kunden, gebe ich Dir hier noch die Secunia-Statistiken für dieses Produkt bei:
1. NCP Secure Entry Client
2. NCP Secure Entry Client

saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Router & Routing

VPN Verbindung über Fritzbox 6490 Cable mit statischer IP an LANCOM Router

Frage von rakoe85Router & Routing2 Kommentare

Hallo, ich habe ein Problem. Wir haben in unseren neuen Büroräumen einen Internetanschluss über Unitymedia mit statischer IP. Die ...

Windows 7

LAN Verbindung funktioniert nicht kein DHCP und keine statische IP

Frage von haschelackWindows 76 Kommentare

Hallo, ich habe grad bei einem Kunden das Problem, dass er an einem seiner Clients keine LAN Verbindung mehr ...

Windows Server

Statische ip , Server 2008R2 , routing

gelöst Frage von matrubaWindows Server10 Kommentare

Hi Leute, mitlerweile bin ich am Verzweifeln. Folgendes Problem. Ich habe von meinem ISP eine statische IP bekommen. Ich ...

LAN, WAN, Wireless

Client Netzwerkadapter nimmt statische IP nicht an

gelöst Frage von Ex0r2k16LAN, WAN, Wireless20 Kommentare

Hallo, ich habe hier ein Macbook mit USB Ethernet auf dem ein Windows mit diesem Bootcamp läuft. Der Adapter ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 1 TagHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 1 TagRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 2 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 2 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk14 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...

Vmware
Server 2008 r2 vmware terminalserver
Frage von MasterCVmware12 Kommentare

Guten Abend zusammen, ich hoffe , dass einer von euch mir weiterhelfen kann ,bei meinem kack Problem ! Ist ...

Netzwerkmanagement
Netzwerkmanagment im Haus mit Switch, Panel und pfsense
gelöst Frage von CorraggiounoNetzwerkmanagement12 Kommentare

hi zusammen, wir sind gerade dabei das ganze Haus bzw. die einzelnen Zimmer mit netzwerkdosen zu versorgen. Vom Keller ...

Router & Routing
VPN hinter zweiter Fritzbox nutzen im Nachbarhaus
gelöst Frage von georg2204Router & Routing10 Kommentare

Hallo zusammen, ich blicke hier leider nicht mehr so ganz durch. In Haus 1 steht eine Fritzbox 7390, diese ...