Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Serverseitige statische IP bei VPN-Verbindung sicherheitsrelevant?

Frage Sicherheit

Mitglied: palmuser

palmuser (Level 1) - Jetzt verbinden

09.02.2008, aktualisiert 10.02.2008, 4358 Aufrufe, 1 Kommentar

Hallo,
ich möchte zu Fernwartungszwecken einer externen Firma einen VPN-Zugang zu drei speziellen Rechnern in unserem Firmennetzwerk gestatten. Unsere Internetanbindung ist - wie nicht unüblich - mit wechselnden IP Nummern realisiert (normalerweise einmal pro 24 h Zwangstrennung). Nun erklärt mir die externe Firma (Anbieter unserer ERP-Software), dies könnten sie nur nutzen, falls wir eine feste IP Adresse angeben könnten. Als Begründung wurden Sicherheitsbedenken genannt, da bei einer Namensauflösung über dyndns (die ich vorgesehen hatte) keine wirkliche Sicherheit bestehe, dass die verwendete IP-Nummer richtig sei (kein reverse dns lookup möglich).
Meine Frage nun: stimmt diese Argumentation?
Nach meiner Ansicht müsste eines korrekte VPN-Einrichtung Identifikation, Authentifizierung und Verschlüsselung bieten, so dass auch ein (bei nicht sicherer Name/Adressauflösung theoretisch möglicher) Man-in-the-Middle-Angriff scheitern sollte. Oder liege ich da falsch?
Mein diesbezüglicher Einwand wurde übrigens von der ERP-Firma mit "Aber die Zertifikate werden im Klartext übertragen" abgewiesen.
Mein Problem ist, dass ich ohne unverhältnismäßigen finanziellen und organisatorschen Aufwand keine feste IP beschafffen kann.

Viele Grüße

Dirk
Mitglied: gnarff
10.02.2008 um 15:07 Uhr
Als Begründung
wurden Sicherheitsbedenken genannt, da bei
einer Namensauflösung über dyndns
(die ich vorgesehen hatte) keine wirkliche
Sicherheit bestehe, dass die verwendete
IP-Nummer richtig sei (kein reverse dns
lookup möglich).
Meine Frage nun: stimmt diese
Argumentation?

Nein, sie stimmt nicht!
Gegen IP-Spoofing hilt kein reverse DNS-Lookup sondern ein Trace-Back und Analyse der übertragenen Pakete:

"As for tracing back, that's possible, but really hard if it's outside your
own network. When you want to trace back a spoofed packet, you have to go
router-by-router, set up monitoring to match just the traffic you want,
see what interface it came in on, and check with the router(s) that are
attached to that interface. You have to have to be in constant
communications with the Internet provider the whole time, feeding them
what packets to look for, telling them if they are still coming. And you
have to re-explain the whole deal when you cross ISP boundaries, and deal
with that ISP."


Ich sehe das eigentliche Sicherheitsproblem in der Tatsache, dass DynDNS nicht sonderlich performant ist und öfter mal Ziel von DDoS-Angriffen ist, wie folgender Heise Artikel vom 12. März 2007 Auskunft gibt.
Eine Fernwartungsverbindung hat performant und ausfallsicher zu sein.

Mit dem NCP Secure Entry Client bzw. der NCP Secure Enterprise Solution kannst Du auch bei Benutzung von DynDNS Diensten eine sichere VPN-Verbindung herstellen, unter den angegebenen Link findest Du eine Testversion dieser Software.
Als Argumentationshilfe gegenüber Deines Kunden, gebe ich Dir hier noch die Secunia-Statistiken für dieses Produkt bei:
1. NCP Secure Entry Client
2. NCP Secure Entry Client

saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung (3)

Frage von OSelbeck zum Thema Firewall ...

Router & Routing
Lancom Router mit im vorhandenen Netz für VPN verbindung einbinden (20)

Frage von ittgmbh zum Thema Router & Routing ...

Neue Wissensbeiträge
Windows 10

Windows 8.x oder 10 Lizenz-Key aus dem ROM auslesen mit Linux

Tipp von Lochkartenstanzer zum Thema Windows 10 ...

Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(38)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
POS Hardware und alternativen zu Raid 1? (21)

Frage von Brotkasten zum Thema Festplatten, SSD, Raid ...

Viren und Trojaner
Verschlüsselungstrojaner simulieren (18)

Frage von AlbertMinrich zum Thema Viren und Trojaner ...

Ubuntu
gelöst Nextcloud 12 Antivirus App for Files (10)

Frage von horstvogel zum Thema Ubuntu ...

SAN, NAS, DAS
+100tb Storagelösung (10)

Frage von Data-Fabi zum Thema SAN, NAS, DAS ...