Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Serverseitige statische IP bei VPN-Verbindung sicherheitsrelevant?

Frage Sicherheit

Mitglied: palmuser

palmuser (Level 1) - Jetzt verbinden

09.02.2008, aktualisiert 10.02.2008, 4350 Aufrufe, 1 Kommentar

Hallo,
ich möchte zu Fernwartungszwecken einer externen Firma einen VPN-Zugang zu drei speziellen Rechnern in unserem Firmennetzwerk gestatten. Unsere Internetanbindung ist - wie nicht unüblich - mit wechselnden IP Nummern realisiert (normalerweise einmal pro 24 h Zwangstrennung). Nun erklärt mir die externe Firma (Anbieter unserer ERP-Software), dies könnten sie nur nutzen, falls wir eine feste IP Adresse angeben könnten. Als Begründung wurden Sicherheitsbedenken genannt, da bei einer Namensauflösung über dyndns (die ich vorgesehen hatte) keine wirkliche Sicherheit bestehe, dass die verwendete IP-Nummer richtig sei (kein reverse dns lookup möglich).
Meine Frage nun: stimmt diese Argumentation?
Nach meiner Ansicht müsste eines korrekte VPN-Einrichtung Identifikation, Authentifizierung und Verschlüsselung bieten, so dass auch ein (bei nicht sicherer Name/Adressauflösung theoretisch möglicher) Man-in-the-Middle-Angriff scheitern sollte. Oder liege ich da falsch?
Mein diesbezüglicher Einwand wurde übrigens von der ERP-Firma mit "Aber die Zertifikate werden im Klartext übertragen" abgewiesen.
Mein Problem ist, dass ich ohne unverhältnismäßigen finanziellen und organisatorschen Aufwand keine feste IP beschafffen kann.

Viele Grüße

Dirk
Mitglied: gnarff
10.02.2008 um 15:07 Uhr
Als Begründung
wurden Sicherheitsbedenken genannt, da bei
einer Namensauflösung über dyndns
(die ich vorgesehen hatte) keine wirkliche
Sicherheit bestehe, dass die verwendete
IP-Nummer richtig sei (kein reverse dns
lookup möglich).
Meine Frage nun: stimmt diese
Argumentation?

Nein, sie stimmt nicht!
Gegen IP-Spoofing hilt kein reverse DNS-Lookup sondern ein Trace-Back und Analyse der übertragenen Pakete:

"As for tracing back, that's possible, but really hard if it's outside your
own network. When you want to trace back a spoofed packet, you have to go
router-by-router, set up monitoring to match just the traffic you want,
see what interface it came in on, and check with the router(s) that are
attached to that interface. You have to have to be in constant
communications with the Internet provider the whole time, feeding them
what packets to look for, telling them if they are still coming. And you
have to re-explain the whole deal when you cross ISP boundaries, and deal
with that ISP."


Ich sehe das eigentliche Sicherheitsproblem in der Tatsache, dass DynDNS nicht sonderlich performant ist und öfter mal Ziel von DDoS-Angriffen ist, wie folgender Heise Artikel vom 12. März 2007 Auskunft gibt.
Eine Fernwartungsverbindung hat performant und ausfallsicher zu sein.

Mit dem NCP Secure Entry Client bzw. der NCP Secure Enterprise Solution kannst Du auch bei Benutzung von DynDNS Diensten eine sichere VPN-Verbindung herstellen, unter den angegebenen Link findest Du eine Testversion dieser Software.
Als Argumentationshilfe gegenüber Deines Kunden, gebe ich Dir hier noch die Secunia-Statistiken für dieses Produkt bei:
1. NCP Secure Entry Client
2. NCP Secure Entry Client

saludos
gnarff
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
gelöst Strato Windows Server 2016 - VPN Verbindung einrichten (10)

Frage von brave1978 zum Thema Windows Netzwerk ...

Router & Routing
VPN Verbindung einrichten mit Fritzbox 7490 für Zugang zu Netzwerk (3)

Frage von LoveAndHappiness zum Thema Router & Routing ...

Neue Wissensbeiträge
Drucker und Scanner

Samsung SL-M4025ND, firmware update und (kompatible) Tonerkassetten

(1)

Erfahrungsbericht von markus-1969 zum Thema Drucker und Scanner ...

Router & Routing

PfSense auf Supermicro Intel Xeon D-15x8 SoC Bare Bone

Tipp von Dobby zum Thema Router & Routing ...

Windows Server

Exchange 2010 auf Windows Server 2016 und AD

(2)

Tipp von Herbrich19 zum Thema Windows Server ...

KVM

How to: Libvirt Port forwarding

(2)

Anleitung von fundave3 zum Thema KVM ...

Heiß diskutierte Inhalte
Netzwerkprotokolle
PC erhalten nicht immer eine gültige IP (29)

Frage von Lieberwolf zum Thema Netzwerkprotokolle ...

Windows Systemdateien
Windows 7 und 10 herunterfahren Knopf mit Script belegen (21)

Frage von c-o-o-p-e-r92 zum Thema Windows Systemdateien ...

Router & Routing
über Vmware auf eine FritzBox mit IPv6 per VPN (16)

Frage von Zockervogel zum Thema Router & Routing ...