Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Serverseitige statische IP bei VPN-Verbindung sicherheitsrelevant?

Mitglied: palmuser

palmuser (Level 1) - Jetzt verbinden

09.02.2008, aktualisiert 10.02.2008, 4396 Aufrufe, 1 Kommentar

Hallo,
ich möchte zu Fernwartungszwecken einer externen Firma einen VPN-Zugang zu drei speziellen Rechnern in unserem Firmennetzwerk gestatten. Unsere Internetanbindung ist - wie nicht unüblich - mit wechselnden IP Nummern realisiert (normalerweise einmal pro 24 h Zwangstrennung). Nun erklärt mir die externe Firma (Anbieter unserer ERP-Software), dies könnten sie nur nutzen, falls wir eine feste IP Adresse angeben könnten. Als Begründung wurden Sicherheitsbedenken genannt, da bei einer Namensauflösung über dyndns (die ich vorgesehen hatte) keine wirkliche Sicherheit bestehe, dass die verwendete IP-Nummer richtig sei (kein reverse dns lookup möglich).
Meine Frage nun: stimmt diese Argumentation?
Nach meiner Ansicht müsste eines korrekte VPN-Einrichtung Identifikation, Authentifizierung und Verschlüsselung bieten, so dass auch ein (bei nicht sicherer Name/Adressauflösung theoretisch möglicher) Man-in-the-Middle-Angriff scheitern sollte. Oder liege ich da falsch?
Mein diesbezüglicher Einwand wurde übrigens von der ERP-Firma mit "Aber die Zertifikate werden im Klartext übertragen" abgewiesen.
Mein Problem ist, dass ich ohne unverhältnismäßigen finanziellen und organisatorschen Aufwand keine feste IP beschafffen kann.

Viele Grüße

Dirk
Mitglied: gnarff
10.02.2008 um 15:07 Uhr
Als Begründung
wurden Sicherheitsbedenken genannt, da bei
einer Namensauflösung über dyndns
(die ich vorgesehen hatte) keine wirkliche
Sicherheit bestehe, dass die verwendete
IP-Nummer richtig sei (kein reverse dns
lookup möglich).
Meine Frage nun: stimmt diese
Argumentation?

Nein, sie stimmt nicht!
Gegen IP-Spoofing hilt kein reverse DNS-Lookup sondern ein Trace-Back und Analyse der übertragenen Pakete:

"As for tracing back, that's possible, but really hard if it's outside your
own network. When you want to trace back a spoofed packet, you have to go
router-by-router, set up monitoring to match just the traffic you want,
see what interface it came in on, and check with the router(s) that are
attached to that interface. You have to have to be in constant
communications with the Internet provider the whole time, feeding them
what packets to look for, telling them if they are still coming. And you
have to re-explain the whole deal when you cross ISP boundaries, and deal
with that ISP."


Ich sehe das eigentliche Sicherheitsproblem in der Tatsache, dass DynDNS nicht sonderlich performant ist und öfter mal Ziel von DDoS-Angriffen ist, wie folgender Heise Artikel vom 12. März 2007 Auskunft gibt.
Eine Fernwartungsverbindung hat performant und ausfallsicher zu sein.

Mit dem NCP Secure Entry Client bzw. der NCP Secure Enterprise Solution kannst Du auch bei Benutzung von DynDNS Diensten eine sichere VPN-Verbindung herstellen, unter den angegebenen Link findest Du eine Testversion dieser Software.
Als Argumentationshilfe gegenüber Deines Kunden, gebe ich Dir hier noch die Secunia-Statistiken für dieses Produkt bei:
1. NCP Secure Entry Client
2. NCP Secure Entry Client

saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Router & Routing

VPN Verbindung über Fritzbox 6490 Cable mit statischer IP an LANCOM Router

Frage von rakoe85Router & Routing2 Kommentare

Hallo, ich habe ein Problem. Wir haben in unseren neuen Büroräumen einen Internetanschluss über Unitymedia mit statischer IP. Die ...

Windows 7

LAN Verbindung funktioniert nicht kein DHCP und keine statische IP

Frage von haschelackWindows 76 Kommentare

Hallo, ich habe grad bei einem Kunden das Problem, dass er an einem seiner Clients keine LAN Verbindung mehr ...

Windows Server

Statische ip , Server 2008R2 , routing

gelöst Frage von matrubaWindows Server10 Kommentare

Hi Leute, mitlerweile bin ich am Verzweifeln. Folgendes Problem. Ich habe von meinem ISP eine statische IP bekommen. Ich ...

LAN, WAN, Wireless

Client Netzwerkadapter nimmt statische IP nicht an

gelöst Frage von Ex0r2k16LAN, WAN, Wireless20 Kommentare

Hallo, ich habe hier ein Macbook mit USB Ethernet auf dem ein Windows mit diesem Bootcamp läuft. Der Adapter ...

Neue Wissensbeiträge
Exchange Server
Exchange - Fehler mit 2018-07 Sicherheitsupdate
Tipp von ArnoNymous vor 1 TagExchange Server5 Kommentare

Hallo, es gibt mal wieder Freude mit den MS-Updates. KB4338814 führt dazu, dass der Exchange keine Mails mehr zustellt. ...

Suche Projektpartner

PC Recycling Projekte mit Flüchtlingen und Kids suchen Materialspenden und Mitmacher!

Erfahrungsbericht von NettePCyclePiraten vor 2 TagenSuche Projektpartner7 Kommentare

Hallöchen liebe Kollegen, ich betreue zwei PC-Gruppen im Raum Dortmund: "Ne#e PCycle Pir@ten" & "PCschr@uber Br@mbauer" Wir sind eine ...

iOS
IOS 12.2 beta und OpenVPN iPad und iPhone
Erfahrungsbericht von magicteddy vor 2 TageniOS

Moin, kleiner Hinweis an die experimentierfreudigen unter Euch: Bei der aktuellen beta gibt es ein Problem im Zusammenspiel zwischen ...

Vmware
VMware Tools 10.3 verfügbar
Information von sabines vor 3 TagenVmware

Eine Sicherheitslücke wird mit den Tools der Version 10.3 geschlossen, die Tools müssen auf jeder VM aktualisiert werden. Näheres ...

Heiß diskutierte Inhalte
CPU, RAM, Mainboards
4x 2 GB DDR2 1066 gesucht
gelöst Frage von Windows10GegnerCPU, RAM, Mainboards17 Kommentare

Hallo, ich plane den RAM meines Rechners aufzurüsten. Motherboard: Gigabyte X48 DS5 Der FSB steht bei 259, daher soll ...

Batch & Shell
PowerShell Auflösung zu .txt (Skript als exe) falsche Auflösung?!
Frage von timsen-96Batch & Shell15 Kommentare

Ich habe folgendes Skript um die Bildschirmauflösung herauszufinden, was auch in PowerShell super funktioniert: Add-Type -AssemblyName System.Windows.Forms $Width = ...

Samba
Samba-NAS Zugriff verweigert
gelöst Frage von VernoxVernaxSamba15 Kommentare

hallo ich schaffe es einfach nicht meinem User Rechte zum schreiben zu geben. Ich habe dies alles auf nem ...

Humor (lol)
Windows 10 - immer für Überraschungen gut
gelöst Frage von HenereHumor (lol)15 Kommentare

Eben nach (beim) installieren der neuesten Updates für 1803 :-) Und sorry fürs Handyfoto, aber der musste sein. Nach ...