Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Serverseitige statische IP bei VPN-Verbindung sicherheitsrelevant?

Mitglied: palmuser

palmuser (Level 1) - Jetzt verbinden

09.02.2008, aktualisiert 10.02.2008, 4400 Aufrufe, 1 Kommentar

Hallo,
ich möchte zu Fernwartungszwecken einer externen Firma einen VPN-Zugang zu drei speziellen Rechnern in unserem Firmennetzwerk gestatten. Unsere Internetanbindung ist - wie nicht unüblich - mit wechselnden IP Nummern realisiert (normalerweise einmal pro 24 h Zwangstrennung). Nun erklärt mir die externe Firma (Anbieter unserer ERP-Software), dies könnten sie nur nutzen, falls wir eine feste IP Adresse angeben könnten. Als Begründung wurden Sicherheitsbedenken genannt, da bei einer Namensauflösung über dyndns (die ich vorgesehen hatte) keine wirkliche Sicherheit bestehe, dass die verwendete IP-Nummer richtig sei (kein reverse dns lookup möglich).
Meine Frage nun: stimmt diese Argumentation?
Nach meiner Ansicht müsste eines korrekte VPN-Einrichtung Identifikation, Authentifizierung und Verschlüsselung bieten, so dass auch ein (bei nicht sicherer Name/Adressauflösung theoretisch möglicher) Man-in-the-Middle-Angriff scheitern sollte. Oder liege ich da falsch?
Mein diesbezüglicher Einwand wurde übrigens von der ERP-Firma mit "Aber die Zertifikate werden im Klartext übertragen" abgewiesen.
Mein Problem ist, dass ich ohne unverhältnismäßigen finanziellen und organisatorschen Aufwand keine feste IP beschafffen kann.

Viele Grüße

Dirk
Mitglied: gnarff
10.02.2008 um 15:07 Uhr
Als Begründung
wurden Sicherheitsbedenken genannt, da bei
einer Namensauflösung über dyndns
(die ich vorgesehen hatte) keine wirkliche
Sicherheit bestehe, dass die verwendete
IP-Nummer richtig sei (kein reverse dns
lookup möglich).
Meine Frage nun: stimmt diese
Argumentation?

Nein, sie stimmt nicht!
Gegen IP-Spoofing hilt kein reverse DNS-Lookup sondern ein Trace-Back und Analyse der übertragenen Pakete:

"As for tracing back, that's possible, but really hard if it's outside your
own network. When you want to trace back a spoofed packet, you have to go
router-by-router, set up monitoring to match just the traffic you want,
see what interface it came in on, and check with the router(s) that are
attached to that interface. You have to have to be in constant
communications with the Internet provider the whole time, feeding them
what packets to look for, telling them if they are still coming. And you
have to re-explain the whole deal when you cross ISP boundaries, and deal
with that ISP."


Ich sehe das eigentliche Sicherheitsproblem in der Tatsache, dass DynDNS nicht sonderlich performant ist und öfter mal Ziel von DDoS-Angriffen ist, wie folgender Heise Artikel vom 12. März 2007 Auskunft gibt.
Eine Fernwartungsverbindung hat performant und ausfallsicher zu sein.

Mit dem NCP Secure Entry Client bzw. der NCP Secure Enterprise Solution kannst Du auch bei Benutzung von DynDNS Diensten eine sichere VPN-Verbindung herstellen, unter den angegebenen Link findest Du eine Testversion dieser Software.
Als Argumentationshilfe gegenüber Deines Kunden, gebe ich Dir hier noch die Secunia-Statistiken für dieses Produkt bei:
1. NCP Secure Entry Client
2. NCP Secure Entry Client

saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Router & Routing

VPN Verbindung über Fritzbox 6490 Cable mit statischer IP an LANCOM Router

Frage von rakoe85Router & Routing2 Kommentare

Hallo, ich habe ein Problem. Wir haben in unseren neuen Büroräumen einen Internetanschluss über Unitymedia mit statischer IP. Die ...

Windows 7

LAN Verbindung funktioniert nicht kein DHCP und keine statische IP

Frage von haschelackWindows 76 Kommentare

Hallo, ich habe grad bei einem Kunden das Problem, dass er an einem seiner Clients keine LAN Verbindung mehr ...

LAN, WAN, Wireless

Client Netzwerkadapter nimmt statische IP nicht an

gelöst Frage von Ex0r2k16LAN, WAN, Wireless20 Kommentare

Hallo, ich habe hier ein Macbook mit USB Ethernet auf dem ein Windows mit diesem Bootcamp läuft. Der Adapter ...

Internet

VDSL-Anbieter mit statischen IP-Adressen

Frage von MartinStrasserInternet13 Kommentare

Hallo, ich bin auf der Suche nach einem VDSL-Anbieter, welcher auch statische IP-Adressen mit anbietet. Telefon oder Ähnliches wird ...

Neue Wissensbeiträge
E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 1 TagE-Mail7 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 1 TagHyper-V

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Sicherheits-Tools

Trend Micro WorryFree Business Security (WFBS) 10 - neuer Patch 1470 verfügbar

Tipp von VGem-e vor 1 TagSicherheits-Tools1 Kommentar

Servus, mal sehen, ob mit Patch 1470, zu finden unter dann die angeblich fehlerhafte Funktion, die unter W10 im ...

Server-Hardware

Lösung für Ersatz eines defekter Raid-Controllers

Anleitung von wellknown vor 2 TagenServer-Hardware4 Kommentare

Hallo, da ich nichts gefunden habe und selbst eine Lösung brauchte, hier eine kleine Anleitung für alle die vor ...

Heiß diskutierte Inhalte
Windows Server
Mit der alten Domäneprofil anmelden ohne Server
gelöst Frage von SyosseWindows Server37 Kommentare

Hallo Jungs Folgendes Szenario: Ich habe bei einem sehr kleinen Unternehmen (2Personen) den Server migriert, soweit hat alles geklappt. ...

Sicherheits-Tools
Virenprogramm lässt Programme nicht starten
Frage von SurferGirlSicherheits-Tools23 Kommentare

Hallo, ich bin neu hier, ich hoffe ich habe die richtige Rubrik gewählt. Falls nicht, tut es mir leid. ...

Windows Server
SQL Server Instanz (Eplan) auf WIN 2008 RC2 Server frisst RAM ohne Limit
Frage von derinderinderinWindows Server17 Kommentare

Hallo Zusammen, Wir haben hier einen Windows 2008 RC2 Server. Darauf läuft ein SQL Server Express 2014 Version 12.0.4232.0. ...

Windows 10
Best Practice für Schulungsräume
Frage von Sn0wFoxWindows 1016 Kommentare

Hallo, leider bin ich auch nach langer Suche nicht auf eine zufriedenstellende Nicht-Cloud-Lösung gestoßen und wollte mal Fragen ob ...