Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Vergleich Sicherheit feste IP vs. dynamische IP vom ISP.

Frage Sicherheit Sicherheitsgrundlagen

Mitglied: 48829

48829 (Level 1)

04.10.2007, aktualisiert 09.01.2009, 14310 Aufrufe, 6 Kommentare

Sicherheitsaspekt feste IP- Adresse

Hallo Forum,

wir spielen mit dem Gedanken uns eine feste IP- Adresse für unseren T-DSL Business Anschluss zuweisen zu lassen.
Grund dafür ist, dass wir zwei Außenstellen über VPN an uns angebunden haben. Bisher hatten wir dafür in den Außenstellen und der Hauptzentrale Draytek Vigor Router genutzt.

Da wir unsere Hauptstelle mit einer Application Firewall besser sichern wollten haben wir seit kurzem eine GateProtect GPA400- Firewall.
http://www.gateprotect.de/gpa_400.html

Seitdem wir aber die neue Firewall im Betrieb haben gibt es jedoch immer wieder Probleme mit dem Verbindungsaufbau der IPSec (mit PSK) VPN- Verbindung.
Der Support teilte uns mit, dass dies vermutlich an den Dynamischen IP- Adressen liegt. Es ist zwar möglich darüber IPSec VPN Verbindungen aufzubauen (haben wir ja auch eine zeitlang so mit den Draytek- Router gemacht), aber es kommt dadurch halt immer wieder zu Problemen.
Gateprotect empfahl uns dann die VPN- Verbindungen mit Zertifikaten einzurichten. Die Draytek Vigor 2700 können das wohl auch. Diese haben wir auf den Außenstellen.

Der Draytek- Support empfahl uns aber, dass wir uns für die Hauptstelle eine Feste IP vom ISP zuweisen lassen sollen. Das würde dann ausreichen, wenn die VPN- Verbindung zu den Außenstellen von Hauptstelle aus aufgebaut wird.

Außerdem hat es den Vorteil, dass es sicherer ist. So wie ich das verstanden habe, reagiert der VPN- Server dann nicht mehr alle Anfragen.
Ein Angreife könnte zum Beispiel mit einem IKE- Scanner herausfinden, hinter welche IP- Adresse ein VPN- Server sitzt. Somit ist ja schon mal der erste Schritt für den Angreifer gemacht.

Meine Frage ist jetzt, welche Vor- und Nachteile es für die feste/ dynamische IP- Adressen gibt. Speziell bezgl. der Sicherheit.
Vielleicht hat dazu jemand auch einen Link wo man noch was nachlesen kann. Über die technischen Vorteile im Hinblick auf Webserver, FTP- Server etc. habe ich einiges gefunden. Aber nicht im Bereich der Sichereit.

Danke im Voraus!
Mitglied: ElSnoopy
04.10.2007 um 09:35 Uhr
Aus meiner Sicht macht es keinen Unterschied ob Du feste oder dynamische IP verwendest.
Wenn ein potenz. angreifer Absichten hegt findet er sicher auch wieder deine neue dynamische adresse heraus.
Bitte warten ..
Mitglied: 48829
04.10.2007 um 09:45 Uhr
Hallo ElSnoopy,

mich würde interessieren, wie das möglich ist. Wenn er die Dyndns- Adresse kennt ist das kein Problem. Aber wenn er sie nicht hat. Wie will er an die neue IP- Adresse kommen? Dann muss er ja schon einen Rechner kompromitiert haben, der ihm dann z.b. die aktuelle IP zuschickt.


Gibt es Möglichkeiten mit dem man IP- Adressen zu Dyndns- Adressen auflösen kann, wenn für diese IP eine Dyndns- Adresse existiert?
Bitte warten ..
Mitglied: ElSnoopy
04.10.2007 um 09:54 Uhr
nu trauste deinem draytec router nicht.
besorgst dir ne dolle firewall gateprotect und traust der auch nicht?????

ok ich kenne keine möglichkeiten IPs in dyndns adressen aufzulösen.
Wer aber genug kriminelle Energie besitzt nach löchern in deiner Firewall zu suchen wird auch wege finden sie auch nach einem IP wechsel wieder zu finden.
Bitte warten ..
Mitglied: aqui
04.10.2007 um 10:10 Uhr
Mmmhhh, die Argumentation von dem Firewall Hersteller ist ja etwas fadenscheinig. Wenn es vorher monatelang mit dynamischen IP Adressen fehlerfrei funktioniert hat kann es ja wohl daran nicht liegen !
Da würde ich die Stabilität des VPN Servers auf der neuen Firewall erstmal etwas auf Herz und Nieren prüfen...
Auch das Argument in puncto IKE Scanner (..wenn es denn sowas überhaupt gibt ?!) ist ja unsinning. So ein Scanner findet beim abklappern der IPs den Server ja auch mit einer festen IP genauso wie mit einer dynamischen IP. Besser noch....die dynamische IP ändert sich ja ständig, da muss man immer wieder aufs Neue suchen. Bei einer festen IP entfällt das...einmal entdeckt findet man den Server immer wieder. Das hat also eher kosmetische Gründe aber ist nie sicherheitsrelevant...

Du machst auch einen großen Denkfehler wenn du die Hauptstelle die VPN Verbindung aufbauen lässt. Das wäre ja vollkommener Unsinn wenn du dort eine feste IP hast aber weiterhin auf den Außenstellen dynmaische IPs. Du müsstest dann wieder mit Diensten wie DynDNS arbeiten um die VPN Endpoints zu finden, genau das was du ja eigentlich NICHT willst, oder !?
Richtigerweise bauen ja auch die Aussenstellen den VPN Link auf und niemals umgekehrt ! Denn DIE benötigen ja eine fixe IP Adresse für den VPN Tunnel Endpoint und nur dann macht auch eine fixe IP Adresse Sinn am Hauptstandort, damit du nicht mit DynDNS oder solchen Krücken arbeiten musst. Ausserdem machst du eine Authentifizierung des VPN Tunnels dann sinnvollerweise ja auch zentral am Hauptstandort und nicht auf kleinen Endroutern in den Außenstellen.
Andersrum, wie du es schilderst, ist der VPN Aufbau vollkommen unsinning wie du sicher zugeben musst !

Eine feste IP ist folglich genauso sicher oder unsicher wie eine dynamische ! Es ist ja auch ein Trugschluss davon auszugehen das die Sicherheit eines Unternehmensnetzes einzig und allein von der Art der IP Adresse abhängig ist. Port Scannern und Angriffsprogrammen ist es herzlich egal ob deine IP Adresse fest oder dynamisch ist, angegriffen wird alles wohinter sich was verbirgt was antwortet.
Die Sicherheit liegt also auf einen korrekt customizten (und stabil arbeitenden) Firewall niemals aber auf der IP selber. Das kann ein fataler Trugschluss sein !!!
Bitte warten ..
Mitglied: 48829
04.10.2007 um 11:27 Uhr
Die Sicherheit mit dem VPN- Tunnel und der festen IP liegt wohl darin, dass in den VPN- Einstellungen die IP- Adresse fest eingetragen ist und somit der VPN- Server gar nicht mehr auf Verbindungsanfragen von anderen IP- Adressen eingeht, weil er weiß, dass nur die eine IP- Adresse dafür freigegeben ist.
Bei einer dynamischen Adresse geht das nicht. Hier muss er bei jeder Anfrage eine Antwort gesendet werden.

Der Aufbau von der Außenstelle zur Haupstelle wäre schon sinnvoller. Dann bräuchten wir aber überall feste IP`s. Aber das mit dem Dyndns ist soweit auch kein Problem.
Mit der festen IP soll wohl hier auch nur den Sinn haben, dass der Client, der die Verbindung initierirt bei IPSec seine IP- Adresse mitsendet und dadurch irgendwelche Werte berechnet werden, die dann beim VPN- Server nicht immer genau übereinstimmen.

Ich versuche das gerade selber irgendwie genau zu erarbeiten, wie der Verbindungsaufbau bei VPN mit IPSec funktioniert.





Die IKE Scanner gibt es wirklich. Habe nachdem ich davon erfahren habe auch mal danach gesucht.

http://www.google.de/search?hl=de&q=IKE+scanner&meta=
Bitte warten ..
Mitglied: aqui
04.10.2007 um 11:41 Uhr
Normalerweise ist die Quell IP Adresse nicht relevant für einen VPN Verbindungsaufbau so das man in den Außenstellen problemlos mit dynamischen arbeiten kann. Es mag aber sein das deine FW spezifisch das abfragen oder filtern kann. Sicher macht dich das aber auch nicht.
Was hindert mich denn daran mit jedem belibigen Packet Generator im Internet Packete mit dieser Quelladresse zu senden und deine VPN FW damit anzugreifen... Da besagt also auch eine feste IP nichts.... Wie gesagt wichtig ist die richtige Einstellung der Firewall. Wenn alles über die Art der IP Adresse regelbar wäre benötigst du ja gar keine Firewall, oder ?!
Sniffer dir mal einen lokalen IPsec Verbindungsaufbau mit einem Packet Sniffer wie dem Wireshark (www.wireshark.org) da siehst du dann ganz genau wie der Verbindungsaufbau zustandekommt....
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Feste IP-Vergabe vom ISP
gelöst Frage von 114700LAN, WAN, Wireless16 Kommentare

Guten Tach, wenn man vom ISP eine feste IP bekommt, bzw. eine Range (begrenzt mithilfe der Subnetzmaske), wie wird ...

Router & Routing
Statische IPv6 im internen Netz ohne feste IP am ISP
Frage von lcer00Router & Routing8 Kommentare

Hallo zusammen, so langsam wird es lustig Wenn ich das richtig sehe, kann ich im lokalen Netz, das Konnektivität ...

Netzwerke
Feste IP adresse auf Dynamische DNS umleiten
gelöst Frage von mikehfNetzwerke8 Kommentare

Hallo zusammen, ich habe wieder mal ein ganz spezielles Problem. Mein Ziel ist es einen Com Port einer Wetterstation ...

Windows 7
Sicherheit: Administratorrechte vs. Benutzerrechte
Frage von Achimxyz4Windows 76 Kommentare

Ich benutze Windows 7 64 pro und habe ein einziges Konto (abgesehen vom deaktivierten "Administrator"- und Gast-Konto), was natürlich ...

Neue Wissensbeiträge
Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 58 MinutenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Sicherheit

Teamviewer Sessions können gekapert werden - Update tw. verfügbar

Information von sabines vor 4 TagenSicherheit6 Kommentare

In bestimmten Konstellationen können Teamviewer Sessions gekapert werden, wahrscheinlich aber ein recht unwahrscheinliches Szenario. Da der Teamviewer gerne für ...

Heiß diskutierte Inhalte
Vmware
Installation Windows 10 VMware
Frage von Ghost108Vmware17 Kommentare

Hallo zusammen, versuche gerade mit Hilfe des vshpere clients eine virtuelle Windows 10 maschine aufzusetzen. 1. virtuelle Maschine erstellt ...

Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server14 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Windows Server
Server 2012 über Eingabeaufforderung devmgmt.msc geht nicht
gelöst Frage von achim222Windows Server9 Kommentare

Hallo, ich habe hier einen Server 2012 der im Reparaturmodus startet. Es liegt an einem falschen VirtIO Treiber für ...