Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst VPN per FritzBox

Mitglied: Winfried-HH

Winfried-HH (Level 2) - Jetzt verbinden

03.02.2015, aktualisiert 17:54 Uhr, 2988 Aufrufe, 14 Kommentare

Moin!

wie schätzt ihr die Sicherheit einer Kopplung zweier Standorte über das in der FritzBox (konkret 7390) implementierte VPN ein? Das ist doch ein IPSec im Aggressive Mode, oder?


Gruß von der Elbe
Winfried
Mitglied: Mike66
03.02.2015 um 16:57 Uhr
Moin, moin,

die Sicherheit einer Fritzbox mit einem IPSEC-basierendem VPN mit einem PSK würde ich genauso einschätzen wie alle derartigen Ansätze - relativ gut im Verhältnis zum geringen Aufwand. Diesbezügliche Angriffe auf die Fritzboxen sind mir auch nicht bekannt. Allerdings sollte man nie die automatisch generierten Files aus den AVM-Tools unverändert benutzen. Diese glänzen durch Freizügigkeit. Wenn man sich ein paar Beispiele angesehen hat, kann man jedoch schnell das Prinzip erkennen und entsprechende Einschränkungen vornehmen.

Ein großes Manko ist die höchst spärliche Doku der VPN-Implementierung. Hier rückt AVM zwar viele Beispielskonfigurationen und einige Whitepaper ( http://avm.de/service/vpn/praxis-tipps/anpassung-einer-vpn-verbindung-v ... ) zu den Sicherheitsstrategien der IKE-Phasen heraus, für das gesamte Konfigurationsfile fehlt aber eine detaillierte Dokumentation. Den Modus kann man allerdings via Parameter im config-File von Agressive auf Main umstellen: mode = phase1_mode_aggressive oder eben mode = phase1_mode_main, wobei Roadwarrior naturgemäß nur im agressive Mode funktionieren, Lan2Lan unterstützt auch den Main-Mode.

Gruß von der Weser
Mike
Bitte warten ..
Mitglied: colinardo
03.02.2015, aktualisiert um 17:05 Uhr
Hallo Winfried,
Das ist doch ein IPSec im Aggressive Mode, oder?
Korrekt. In der Standardeinstellung ja.
wie schätzt ihr die Sicherheit einer Kopplung zweier Standorte über das in der FritzBox (konkret 7390) implementierte
VPN ein?
Alles steht oder fällt hier mit der Länge des PSKs und des ausgehandelten Hashing-Verfahrens in Phase 1, dieser sollte bei Verwendung des aggressive Modes so lange wie möglich sein, denn die Hashes werden hier im Klartext übertragen und nicht wie beim Mainmode zusätzlich verschlüsselt.

Nun, der Angreifer muss schon den Verbindungsaufbau mitschneiden damit er erstens an die Hashes kommt. Und zweitens jede Menge Rechen-Power um aus den Hashes wieder etwas brauchbares zu machen. In Zeiten von terabytegroßen Rainbow-Tables und Grafikkartenpower die man heutzutage anmieten kann, sind solche Hashes in annehmbarer Zeit knackbar, je nach Hashing-Verfahren, Länge des PSKs und Aufwand den man treibt. Es kommt aber auch darauf an was der Angreifer in eurem Netz erwartet bzw. wie viel er bereit ist auszugeben um an Informationen zu kommen

Einigermaßen sicher ist man heutzutage eigentlich nur mit zertifikatsbasierten IPSsec Verbindungen.

Bedenke immer, eine Fritzbox wurde für "Consumer" entwickelt und nicht für Firmen die extremen Wert auf Sicherheit legen.

Zwei Mikrotiks sind erstens billiger, zweitens kompatibler mit unterschiedlichsten VPN-Clients und drittens flexibel auch mit zertifikatsbasierter Authentifizierung schnell eingerichtet.

Grüße Uwe
Bitte warten ..
Mitglied: Winfried-HH
03.02.2015 um 17:05 Uhr
Zitat von Mike66:

Den Modus kann man allerdings via Parameter im config-File von Agressive auf Main umstellen:

Aber - zumindest behauptete das Draytek immer - den Main Mode kann man nur mit festen IP-Adressen nutzen. Oder habe ich da etwas falsch verstanden?


Winfried
Bitte warten ..
Mitglied: colinardo
03.02.2015, aktualisiert um 17:09 Uhr
Zitat von Winfried-HH:
Aber - zumindest behauptete das Draytek immer - den Main Mode kann man nur mit festen IP-Adressen nutzen. Oder habe ich da etwas falsch verstanden?
Nein, das ist schon richtig, die Adresse des Initiators muss dem Responder beim Verbindungsaufbau via Mainmode bekannt sein.
Bitte warten ..
Mitglied: Winfried-HH
03.02.2015 um 17:10 Uhr
Zitat von colinardo:

Zwei Mikrotiks sind erstens billiger, zweitens kompatibler mit unterschiedlichsten VPN-Clients und drittens flexibel auch mit
zertifikatsbasierter Authentifizierung schnell eingerichtet.

Billiger ist relativ - die Frizzen bräuchten wir ja trotzdem (als DSL-Modem und für VoIP).


Nun, der Angreifer muss schon den Verbindungsaufbau mitschneiden damit er erstens an die Hashes kommt. Und zweitens
jede Menge Rechen-Power um aus den Hashes wieder etwas brauchbares zu machen.
Es kommt aber auch darauf an was der Angreifer in eurem Netz erwartet bzw. wie viel er bereit ist auszugeben um an
Informationen zu kommen

Eben ;)

Aber die Sicherheitslücken der Frizzen, von denen man in letzter Zeit immer mal wieder gehört hat, betreffen nicht den VPN-Bereich, richtig?
Bitte warten ..
Mitglied: Winfried-HH
03.02.2015 um 17:11 Uhr
Zitat von colinardo:

Nein, das ist schon richtig, die Adresse des Initiators muss dem Responder beim Verbindungsaufbau via Mainmode bekannt sein.

Dann fällt Main Mode leider weg. Gibt es denn zertifikatsbasierte Lösungen im Aggressive Mode? Sonst brauche ich darüber gar nicht erst nachzudenken ...
Bitte warten ..
Mitglied: colinardo
03.02.2015 um 17:12 Uhr
Zitat von Winfried-HH:
Aber die Sicherheitslücken der Frizzen, von denen man in letzter Zeit immer mal wieder gehört hat, betreffen nicht den VPN-Bereich, richtig?
Die Fehler lagen hier allesamt im WebIF.
Bitte warten ..
Mitglied: colinardo
03.02.2015, aktualisiert um 17:25 Uhr
Zitat von Winfried-HH:
Dann fällt Main Mode leider weg. Gibt es denn zertifikatsbasierte Lösungen im Aggressive Mode? Sonst brauche ich
darüber gar nicht erst nachzudenken ...
Sicher, der Server weist sich mit einem Zertifikat aus und die Clients jeweils ebenfalls mit einem Client-Zertifikat.
Können die Mikrotiks ebenfalls out of the box.


Billiger ist relativ - die Frizzen bräuchten wir ja trotzdem (als DSL-Modem und für VoIP).
Wieso? VDSL Modems gibt es auch andere und VoIP ist schon lange nicht mehr an die Hardware gekoppelt. Und mit einem "Single Point of Failure" wollte ich kein Netz betreiben wollen, wenn dann mindestens zwei Router im VRRP Verbund redundant.

In einer Firma wollte ich nicht mit einer Fritte hantieren wollen, das steht schonmal fest - zumindest nicht ab einer bestimmten Größe.

Grüße Uwe
Bitte warten ..
Mitglied: Winfried-HH
03.02.2015 um 17:46 Uhr
Zitat von colinardo:

Wieso? VDSL Modems gibt es auch andere und VoIP ist schon lange nicht mehr an die Hardware gekoppelt.

Klar, aber drei Geräte (DSL-Modem + VoIP-Telefonanlage + VPN-Router) sind dann sicher nicht mehr billiger als eine FritzBox


Und mit einem "Single Point of Failure" wollte ich kein Netz betreiben wollen, wenn dann mindestens zwei Router im VRRP Verbund redundant.

Sicher eine gute Sache, wenn man Geld hat - oder wenn ein Ausfall Geld kosten würde ....


In einer Firma wollte ich nicht mit einer Fritte hantieren wollen, das steht schonmal fest

Wir sind ja "nur" eine Schule
Bitte warten ..
Mitglied: colinardo
03.02.2015, aktualisiert um 17:54 Uhr
Zitat von Winfried-HH:
Klar, aber drei Geräte (DSL-Modem + VoIP-Telefonanlage + VPN-Router) sind dann sicher nicht mehr billiger als eine FritzBox

Für den selben Preis krieg ich das problemlos hin .

Sicher eine gute Sache, wenn man Geld hat - oder wenn ein Ausfall Geld kosten würde ....

Geld spielt da garkeine so große Rolle. OpenSource kriegst du das sogar fast kostenlos hin. Know How spart da eine Menge Geld.

Wir sind ja "nur" eine Schule
OK, aber selbst da gibt's sicherlich stunk von den Kollegen wenn den ganzen Tag das Netz weg ist

Jedem das seine...
Bitte warten ..
Mitglied: Winfried-HH
03.02.2015 um 17:55 Uhr
Zitat von colinardo:

Geld spielt da garkeine so große Rolle. OpenSource kriegst du das sogar fast kostenlos hin. Know How spart da eine Menge Geld.

OpenSource wäre aber nur die Software. Ich bräuchte immer noch drei Geräte, auf denen die Software läuft.
Bitte warten ..
Mitglied: colinardo
03.02.2015, aktualisiert um 18:01 Uhr
Zitat von Winfried-HH:
OpenSource wäre aber nur die Software. Ich bräuchte immer noch drei Geräte, auf denen die Software läuft.
Da reicht ein ausrangierter PC/Raspi/Alix/Mikrotik/ etc. allesamt unter 50€ zu bekommen ...

Aber die Diskussion bringt hier ja jetzt nix. Ich seh schon du bist nicht von der Frittenbude abzubekommen. Für Ottonormaluser ist sie ja auch OK.

Wenn dann aber Sonderwünsche kommen, steht man sehr schnell auf dem Schlauch
Bitte warten ..
Mitglied: Winfried-HH
03.02.2015, aktualisiert um 18:13 Uhr
Zitat von colinardo:

Aber die Diskussion bringt hier ja jetzt nix. Ich seh schon du bist nicht von der Frittenbude abzubekommen.

Ich überlege noch. Zertifikatsbasiertes VPN hätte natürlich schon Vorteile. Aber ich würde ungern alles ersetzen, schon gar nicht mit "ausrangierten" (also offenbar gebrauchten) Geräten. Also, was würde ein Router, der ein zertifikatsbasiertes VPN im Agressive Mode unterstützt und den man in ein bestehendes LAN (z.B. an hinter einer FritzBox) hängen kann, ungefähr kosten? Bei der Hardware aber bitte nix Gebrauchtes ....
Bitte warten ..
Mitglied: aqui
03.02.2015 um 18:17 Uhr
Hier bekommst du Übersicht (kurz) was sinnvolle HW ist...jedenfalls im billigen Consumer Bereich der Plaste Router:
https://www.administrator.de/wissen/ipsec-vpn-cisco-mikrotik-pfsense-m0n ...
Wenn du was reelles nehmen willst was auch den VPN Throughput schafft (kann die FB nicht !) dann nimm was von Lancom, Bintec oder:
https://www.administrator.de/wissen/konfiguration-cisco-886va-adsl-vdsl- ...
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

FritzBOX VPN FritzBox kein Verbindungsaufbau

gelöst Frage von Dett18LAN, WAN, Wireless17 Kommentare

Einen schönen Sonnigen guten Tag liebe Gemeinde. Leider habe ich ein VPN Problem zwischen zwei Fritz!Boxen. Nach einer Woche ...

LAN, WAN, Wireless

Mikrotik als VPN-Client hinter Fritzbox zu Fritzbox

gelöst Frage von PharITLAN, WAN, Wireless5 Kommentare

Hallo allerseits, im Netzwerk meiner Freundin versuche ich derzeit hinter ihrer Fritz!box meinen Mikrotik Router nach dem Guide von ...

Windows 10

Win 10 - FritzBox - VPN

gelöst Frage von chris84Windows 1013 Kommentare

Hallo Zusammen, in der Vergangenheit hatte ich eine VPN Verbindung über FritzFernzugang zu meiner FB im Büro aufgebaut. Lief ...

Netzwerkgrundlagen

Vpn FritzBox Synology Frage

gelöst Frage von OsiMacNetzwerkgrundlagen7 Kommentare

Hallo ich habe mal eine Verständnisfrage. Ich habe eine FritzBox 6490 für Kabel Internet. Dahinter habe ich eine Synology ...

Neue Wissensbeiträge
Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 15 SekundenSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 6 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 9 StundeniOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 1 TagWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell35 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++34 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Batch & Shell
Mit Powershell den Inhalt einer Excel mit einer Text Datei abgleichen
gelöst Frage von Bommi1961Batch & Shell21 Kommentare

Hallo zusammen, ich muss den Inhalt einer Excel Datei (Mappe1) mit dem Daten einer Text Datei abgleichen. Die Daten ...