Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Empfehlungen für einen stabilen und leistungsfähigen VPN-Tunnel

Frage Netzwerke Netzwerkmanagement

Mitglied: Kristian.CS

Kristian.CS (Level 1) - Jetzt verbinden

14.09.2008, aktualisiert 20.09.2008, 12490 Aufrufe, 6 Kommentare

Zahlreiche Beiträge beschäftigen sich mit dem Aufbau und der Fehlerbehebung von VPN-Tunneln. Doch auch wenn der VPN-Tunnel steht, beeinflussen zahlreiche Parameter die Stabilität und Leistung der Verbindung. Welche Empfehlungen und Erfahrungswerte gibt es für eine "guten" Tunnel?

Wir verbinden über VPN-Tunnel (IPSec Router to Router) mehrere Standorte mit unserer Zentrale. Der Aufbau der Tunnel klappt und die Verbindung ist einwandfrei. Genutzt werden Dateifreigaben auf den zentralen Server und vor allem VoIP über die Tunnel. Mit Blick auf maximale Stabilität und Leistung möchte ich die Tunnel nun optimal einstellen.

Unsere Router lassen die Konfiguration von zahlreichen VPN-Parametern zu. Gibt es Empfehlungen und Erfahrungswerte zu folgenden Parametern:

- IKE und IP-Sec Llifetime (Wie lang/kurz sollten diese sein mit Blick auf einen möglichst stabilen Tunnel, schnellen Wiederaufbau nach Trennung)
- MTU-Werte (mit Blick auf Leistung/Fragmentierung)
- Dead Peer Detection (Lifetime, Action, usw.)
- Keep Alive
- Max IPsec ESP Length
- usw.

Folgende Infrastruktur:
- Zentrale / T-DSL 16000 / feste IP / D-Link DFL-800
- Remote-Standorte / T-DSL 16000 bzw. DSL3000 (Ausland) / dynamische IP / D-Link DFL-800
Mitglied: spacyfreak
14.09.2008 um 07:33 Uhr
Wir haben hunderte von Site-to-Site Verbindungen. Da die Peers oft ganz andere VPN Gateways benutzen sind auch die Parameter fast jedesmal etwas anders. Unterschied in Stabilität konnte ich keine feststellen.

Prinzipiell wirkt sich der Einsatz von MD5 statt SHA als Hash performanter aus, wird jedoch unter akademischer Sichtweise als weniger sicher eingestuft.

Die Kombination einer starken Verschlüsselung (AES256) mit MD5 als hash wäre ein gangbarer Weg um die Performance zu erhöhen (Datendurchsatz).

Die Lifetimes der SAs sind auch egal - hauptsache auf beiden Peers sind sie gleich eingestellt. Je länger, desto performanter, doch je kürzer, desto "sicherer".

Prinzipiell ist vor allem wichtig, dass die WAN Anbindung stabil und performant ist.

Ansonsten könnte man QoS einführen, um z. B. VoIP zu priorisieren, falls das probleme macht.
Bitte warten ..
Mitglied: Kristian.CS
14.09.2008 um 21:06 Uhr
Hallo SpacyFreak,

danke für Deine schnelle Reaktion und Deine Empfehlungen.

Die Diskussion um MD5 und SHA habe ich auch schon in Foren verfolgt. Ich denke auch, Dein Weg (AES256 / MD5) ist pragmatisch und gut.

Bei den Lifetimes ist klar, je kürzer -> umso weniger Overhead -> höhere Leistung. Spricht darüber hinaus etwas für eine kürzere Lifetimes? zum Beispiel schnellerer Aufbau nach einem Abbruch o. ä. Hast Du auch den IKE-Lifetime etwas länger als den IPSec-Lifetime?

QoS haben wir auf allen Sites implementiert. Welche MTU hast Du für die Tunnel?
Bitte warten ..
Mitglied: 51705
18.09.2008 um 21:25 Uhr
Hallo,

die Schlüssellänge erhöhen und gleichzeitig einen unsichern Hash zu verwenden, erscheint mir nicht sinnvoll. Die Theorie wurde ja bereits angesprochen, also sollte auch klar sein, daß AES128 als Algorithmus (mit herkömmlichen Mitteln) kaum zu brechen ist, MD5 schon. Im Zuge der Verfügbarkeit sind DPD und Hartbeats sinnvoll, die Lifetimes eher nebensächlich. Die MTU sollte der Router selbst setzen können.

Insgesamt ist die Prozessorleistung des Routers (bzw. des VPN Gateways) der limitierende Faktor.

Grüße, Steffen
Bitte warten ..
Mitglied: spacyfreak
18.09.2008 um 21:56 Uhr
Nun ja - der Hashalgorithmus in der IPSEC Suite dient ja "nur" dazu, die Datenintegrität zu gewährleisten - sprich zu verifizieren, dass das in IP eingekapselte und stark verschlüsselte IP-Paket sowie die Daten die es trägt nicht manipuliert wurde.

Wie man jedoch ein mit AES256 verschlüsseltes IP-Paket entschlüsseln geschweigedenn manipulieren können soll ist mir ehrlichgesagt schleierhaft. In Anbetracht dass sich die Schlüssel dynamisch abhängig von der Lifetime ändern ist das Brechen des Keys ein Unterfangen das wohl keinem in diesem Teil der Galaxis (ausser vielleicht NSA) gelingen würde.

Ein Angreifer wird letztendlich - wenn er es wirklich drauf anlegt an Daten zu kommen - das SCHWÄCHSTE Einfallstor suchen, und nicht seine kostbare Zeit mti dem knacken eines IPSEC Tunnels verschwenden.

Er wird die Firma mit mails "besuchen" mit verlockenden Anhängen, bei tausenden von Mitarbeitern findet sich bestimmt der eine oder andere der neugierig und doof genug ist draufzuklicken - und schon hat der Angreifer eine Anwendung im Netz, die die Tür "von innen" öffnet, was das Knacken eines Tunnels überflüssig macht.
Oder er schleust einen "Praktikanten" in die Firma, der das Opfer von innen aushöhlt.
Bitte warten ..
Mitglied: 51705
18.09.2008 um 22:07 Uhr
Zitat von spacyfreak:
Nun ja - der Hashalgorithmus in der IPSEC Suite dient ja
"nur" dazu, die Datenintegrität zu gewährleisten -
sprich zu verifizieren, dass das in IP eingekapselte und stark
verschlüsselte IP-Paket sowie die Daten die es trägt nicht
manipuliert wurde.

Der Hash stellt auch sicher, daß der Session-Key nicht kompromittiert ist (auch wenn dieser noch so lang ist).

Grüße, Steffen
Bitte warten ..
Mitglied: Kristian.CS
20.09.2008 um 16:08 Uhr
Ok, das Sicherheitsthema (MD5 vs. SHA) ist klar. Weniger Sicherheit -> höhere Performance und umgekehrt.

Was ist mit den anderen Parametern DPD-Lifetime, keep Alive usw.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Empfehlung eines leistungsfähigen WLAN Accesspoints
gelöst Frage von Odde23LAN, WAN, Wireless12 Kommentare

Hallo zusammen, ich brauche für einen Kunden einen leistungsstarke Accesspoints, für den Einsatz in einer beheizten und trockenen Lagerhalle. ...

Benchmarks
Leistungsfähiger Computer gesucht - Empfehlungen ?
gelöst Frage von GurkenglasBenchmarks9 Kommentare

Hallo Zusammen Ich suche einen passenden PC mit folgenden Daten, welche Marke/Produkt empfhielt Ihr mir ? Betriebsystem: Windows 8 ...

MikroTik RouterOS
Wlanverbindung leistungsfähiger machen
gelöst Frage von tomue58MikroTik RouterOS17 Kommentare

Hallo in die Runde, zuerst und vorab eine etwas ketzerische Annahme: Als Voraussetzung stelle man sich vor, es gäbe ...

Router & Routing
Tunnel VPN to VPN
Frage von itschloeglRouter & Routing8 Kommentare

Guten Abend. Folgende Problemstellung: Ich habe ein Firmennetzwerk, welches mehrere Standorte umfasst. Alle Standorte sind via VPN an den ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 16 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 20 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware10 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...