11
PPTP: noch zeitgemäß ? zu unsicher ? Alternative IPSec ?
Hallo Leute !
Ist PPTP überhaupt noch ein zeitgemässes Tunnelingprotkoll ? Vor Jahren wurde es doch recht einfach gehackt.
Was ist dran ? Ist IPSec deutlich sicherer ?
Grüße David Burkel
Ist PPTP überhaupt noch ein zeitgemässes Tunnelingprotkoll ? Vor Jahren wurde es doch recht einfach gehackt.
Was ist dran ? Ist IPSec deutlich sicherer ?
Grüße David Burkel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 27896
Url: https://administrator.de/contentid/27896
Printed on: April 19, 2024 at 10:04 o'clock
11 Comments
Latest comment
Wir verwenden immernoch PPTP, da der Aufwand nicht so hoch ist wie bei einer IPSec Verschlüsselung.
Von der Sicherheit her gesehen würde ich sagen sind beide gleich sicher... :-?
Von der Sicherheit her gesehen würde ich sagen sind beide gleich sicher... :-?
Zitat:
"Beispiel PPTP:
PPTP ist ein Protokoll zum Verbinden von mehreren Netzwerken. Microsoft benutzt in ihrem PPTP-Protokoll mehrere Techniken, die kompliziert und unsicher sind. Viele dieser Fehler wurden zwar im Verlauf der Zeit behoben, das gravierendste Problem von allen haben sie aber nicht gelöst. Sie benutzen für die Verschlüsselung immer noch Passwörter, die von Benutzern generiert werden.
Da die meisten Benutzer nicht in der Lage sind ein "gutes" Passwort zu erstellen, ist das eine sehr grosse Schwachstelle, die die Sicherheit von allen miteinander verbundenen Netzwerken gefährdet"
ebenso: http://www.heise.de/newsticker/meldung/19544
Die Schlüssellänge wird anhand der Komplexität eines vom User gesetzten Passworts errechnet. Wenn jmd. natürlich nur "xyz" als Passwort wählt, kann man sich denken wie lange dieser errechnete Schlüssel ist.
Von daher ? ist es wirklich sicher ? IPSec setzt auf viel stärkere Verschlüsselungsmechanismen, hab ich in Erinnerung.
"Beispiel PPTP:
PPTP ist ein Protokoll zum Verbinden von mehreren Netzwerken. Microsoft benutzt in ihrem PPTP-Protokoll mehrere Techniken, die kompliziert und unsicher sind. Viele dieser Fehler wurden zwar im Verlauf der Zeit behoben, das gravierendste Problem von allen haben sie aber nicht gelöst. Sie benutzen für die Verschlüsselung immer noch Passwörter, die von Benutzern generiert werden.
Da die meisten Benutzer nicht in der Lage sind ein "gutes" Passwort zu erstellen, ist das eine sehr grosse Schwachstelle, die die Sicherheit von allen miteinander verbundenen Netzwerken gefährdet"
ebenso: http://www.heise.de/newsticker/meldung/19544
Die Schlüssellänge wird anhand der Komplexität eines vom User gesetzten Passworts errechnet. Wenn jmd. natürlich nur "xyz" als Passwort wählt, kann man sich denken wie lange dieser errechnete Schlüssel ist.
Von daher ? ist es wirklich sicher ? IPSec setzt auf viel stärkere Verschlüsselungsmechanismen, hab ich in Erinnerung.
Hast Du fein zitiert 
Die Aussage, IPSec ist sicherer als PPTP is richtig.
Trotzdem, bei sehr vielen meiner Kudnen muß ich PPTP als Verbindung nutzen, da ein VPN mit ADSL anscheinend nicht mit IPSec zu realisieren ist (wohlgemerkt, auf beiden Seiten...)
Bintec und LANCOM haben sich bei diesen Problemen schon die Zähne ausgebissen...
IPSec ist halt doch ein bissel komplizierter...
Lonesome Walker
Die Aussage, IPSec ist sicherer als PPTP is richtig.
Trotzdem, bei sehr vielen meiner Kudnen muß ich PPTP als Verbindung nutzen, da ein VPN mit ADSL anscheinend nicht mit IPSec zu realisieren ist (wohlgemerkt, auf beiden Seiten...)
Bintec und LANCOM haben sich bei diesen Problemen schon die Zähne ausgebissen...
IPSec ist halt doch ein bissel komplizierter...
Lonesome Walker
du meinst wohl eher "VPN mit ADSL und dynamischer IP-Adresse" oder ? Ob die verbindung nun ADSL ist oder SDSL oder eine 2 Mbit Standleitung ist dürfte, meiner Meinung nach, recht egal sein.
Für dynamische IP-Adressen sollte man dann wohl zu DynDNS greifen, zwar nicht sehr elegant, aber umgeht halt das Problem mit der wechselnden IP-Adresse bei Disconnect.
IPSec nicht realisierbar kann ich mich ebenso nicht vorstellen, eher schwer realisierbar ;)
Vom Datensicherheitsaspekt ist IPSec wohl der bessere Lösungsansatz.
Für dynamische IP-Adressen sollte man dann wohl zu DynDNS greifen, zwar nicht sehr elegant, aber umgeht halt das Problem mit der wechselnden IP-Adresse bei Disconnect.
IPSec nicht realisierbar kann ich mich ebenso nicht vorstellen, eher schwer realisierbar ;)
Vom Datensicherheitsaspekt ist IPSec wohl der bessere Lösungsansatz.
Jau, ich meine ADSL und DynDNS.
Laß Dir aber gesagt sein, empfohlen wird von allen 1 Partner mit SDSL oder zumindest statische IP. Das mit DynDNS ist einfach nur kagge...
Lonesome Walker
Laß Dir aber gesagt sein, empfohlen wird von allen 1 Partner mit SDSL oder zumindest statische IP. Das mit DynDNS ist einfach nur kagge...
Lonesome Walker
pptp verwendet einen 40 bzw. 128 bit rc4 schlüssel. ob das nun sicher ist oder nicht hängt halt davon ab mit welchem passwort der initiale masterkey erzeugt wurde von dem sich die session keys ableiten.
ich persönlich würde für site to site vpns immer ipsec vorziehen. schon eshalb weil sehr viele algorithmen zur verfügung stehen 3DES, AES, u.s.w . mit ike hat man ein wirklich komfortables protokoll zur schlüsselverwaltung und ob ein ipsec vpn schwieriger einzurichten ist als pptp kommt meiner ansicht nach immer darauf an was für geräte man verwendet. ich komme aus der checkpoint welt und da ist ein vpn auf ipsec basis in 5 minuten konfiguriert.
gerade besonder en vogue ist bei remote access vpn´s das thema ssl. dort wird vom client aus mittels ssl ein verschlüsselter tunnel zum unternehmen aufgebaut. der pc braucht hier in der regel noch nicht mal ein stück clientsoftware.
ich persönlich würde für site to site vpns immer ipsec vorziehen. schon eshalb weil sehr viele algorithmen zur verfügung stehen 3DES, AES, u.s.w . mit ike hat man ein wirklich komfortables protokoll zur schlüsselverwaltung und ob ein ipsec vpn schwieriger einzurichten ist als pptp kommt meiner ansicht nach immer darauf an was für geräte man verwendet. ich komme aus der checkpoint welt und da ist ein vpn auf ipsec basis in 5 minuten konfiguriert.
gerade besonder en vogue ist bei remote access vpn´s das thema ssl. dort wird vom client aus mittels ssl ein verschlüsselter tunnel zum unternehmen aufgebaut. der pc braucht hier in der regel noch nicht mal ein stück clientsoftware.
Ob man das VPN nun über einen Windows Server laufen lässt, der schon für PPTP konfiguriert ist und eigentlich nur auf IPSec umgestellt werden müsste oder über Gateway direkt ist egal, oder ?
wobei ich in erinnerung habe, dass L2TP/IPSec bei M$ nen Höhlenkonfigurationsaufwand erfordert.
SSL hört sich ja auch interessant an. Hast du dazu Links oder Lösungansätze ?
Wie gesagt, es geht mir eine Remote-Access-Verbindung
wobei ich in erinnerung habe, dass L2TP/IPSec bei M$ nen Höhlenkonfigurationsaufwand erfordert.
SSL hört sich ja auch interessant an. Hast du dazu Links oder Lösungansätze ?
Wie gesagt, es geht mir eine Remote-Access-Verbindung
also egal ist das nicht. es kommt halt auf dein design, sicherheitsansprüche, performance u.s.w. an.
ich selber habe keine praktische erfahrung mit l2tp/pptp. ich habe bisher immer nur ipsec vpn´s verwendet. im site to site bereich gäbe es bei uns auch keine kunden die was anderes verwenden.
für das thema ssl vpn kannst du dir mal hier was anschauen:
http://www.juniper.net/products/ssl/
http://www.f5.com/
http://openvpn.net/
ich selber habe keine praktische erfahrung mit l2tp/pptp. ich habe bisher immer nur ipsec vpn´s verwendet. im site to site bereich gäbe es bei uns auch keine kunden die was anderes verwenden.
für das thema ssl vpn kannst du dir mal hier was anschauen:
http://www.juniper.net/products/ssl/
http://www.f5.com/
http://openvpn.net/
Ist zwar sehr spät aber ich kann auch noch etwas berichten.
Ich versuche im Rahmen eines Testprojektes PDAs mit Windows Mobile 2003 Se über L2TP/IPSec in ein Firmennetzwerk zu integrieren.
Ich hatte unter anderem mit folgenden Problemen zu kämpfen:
3 von 4 ISP welche GPRS anbieten (also D1, Eplus etc.) setzen NAT ein und man bekommt eine private IP für den Client. Wenn dann noch im Firmennetzwerk mit NAT gearbeitet wird fängt der Spaß erst richtig an! Wenn geht es überhaupt nur mit NAT-Traversal und das muss sowohl vom Client als auch vom Server unterstützt werden.
Nach mehreren Tagen kann ich nur sagen, dass PPTP mit einem sicheren Kennwort für einfache Dinge völlig ausreicht. Der Aufwand für IPSec ist imens hoch!
Ich versuche im Rahmen eines Testprojektes PDAs mit Windows Mobile 2003 Se über L2TP/IPSec in ein Firmennetzwerk zu integrieren.
Ich hatte unter anderem mit folgenden Problemen zu kämpfen:
3 von 4 ISP welche GPRS anbieten (also D1, Eplus etc.) setzen NAT ein und man bekommt eine private IP für den Client. Wenn dann noch im Firmennetzwerk mit NAT gearbeitet wird fängt der Spaß erst richtig an! Wenn geht es überhaupt nur mit NAT-Traversal und das muss sowohl vom Client als auch vom Server unterstützt werden.
Nach mehreren Tagen kann ich nur sagen, dass PPTP mit einem sicheren Kennwort für einfache Dinge völlig ausreicht. Der Aufwand für IPSec ist imens hoch!
da hat es gut wer eine checkpoint firewall besitzt. dort gibt es nämlich mit dem secure client einen ipsec vpn client, unter anderem auch für pocket pc 2003. allerdings läuft der nur auf strongarm und pxa250 xscale applications prozessoren. wir setzen secure client schon jahrelang ein und sind mit dem produkt bis auf ein paar kleine macken sehr zufrieden.
Das kann ich bestätigen! Es gibt viele tolle Lösungen für den Bereich. Z.B. den NCP Client für Windows 2003 Mobile Se. Doch wenn man mir der vorhandenen Hardware arbeiten will ohne Neuanschaffungen trift man auf die tollsten Probleme.
Mein Router kann zwar ESP weiterleitet und auch UDP/500 aber anscheinend gibt es da noch andere Störungsfaktoren die event. auch bei ISP liegen können.
Mein Router kann zwar ESP weiterleitet und auch UDP/500 aber anscheinend gibt es da noch andere Störungsfaktoren die event. auch bei ISP liegen können.
