Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Vergleich Sicherheit feste IP vs. dynamische IP vom ISP.

Frage Sicherheit Sicherheitsgrundlagen

Mitglied: 48829

48829 (Level 1)

04.10.2007, aktualisiert 09.01.2009, 13625 Aufrufe, 6 Kommentare

Sicherheitsaspekt feste IP- Adresse

Hallo Forum,

wir spielen mit dem Gedanken uns eine feste IP- Adresse für unseren T-DSL Business Anschluss zuweisen zu lassen.
Grund dafür ist, dass wir zwei Außenstellen über VPN an uns angebunden haben. Bisher hatten wir dafür in den Außenstellen und der Hauptzentrale Draytek Vigor Router genutzt.

Da wir unsere Hauptstelle mit einer Application Firewall besser sichern wollten haben wir seit kurzem eine GateProtect GPA400- Firewall.
http://www.gateprotect.de/gpa_400.html

Seitdem wir aber die neue Firewall im Betrieb haben gibt es jedoch immer wieder Probleme mit dem Verbindungsaufbau der IPSec (mit PSK) VPN- Verbindung.
Der Support teilte uns mit, dass dies vermutlich an den Dynamischen IP- Adressen liegt. Es ist zwar möglich darüber IPSec VPN Verbindungen aufzubauen (haben wir ja auch eine zeitlang so mit den Draytek- Router gemacht), aber es kommt dadurch halt immer wieder zu Problemen.
Gateprotect empfahl uns dann die VPN- Verbindungen mit Zertifikaten einzurichten. Die Draytek Vigor 2700 können das wohl auch. Diese haben wir auf den Außenstellen.

Der Draytek- Support empfahl uns aber, dass wir uns für die Hauptstelle eine Feste IP vom ISP zuweisen lassen sollen. Das würde dann ausreichen, wenn die VPN- Verbindung zu den Außenstellen von Hauptstelle aus aufgebaut wird.

Außerdem hat es den Vorteil, dass es sicherer ist. So wie ich das verstanden habe, reagiert der VPN- Server dann nicht mehr alle Anfragen.
Ein Angreife könnte zum Beispiel mit einem IKE- Scanner herausfinden, hinter welche IP- Adresse ein VPN- Server sitzt. Somit ist ja schon mal der erste Schritt für den Angreifer gemacht.

Meine Frage ist jetzt, welche Vor- und Nachteile es für die feste/ dynamische IP- Adressen gibt. Speziell bezgl. der Sicherheit.
Vielleicht hat dazu jemand auch einen Link wo man noch was nachlesen kann. Über die technischen Vorteile im Hinblick auf Webserver, FTP- Server etc. habe ich einiges gefunden. Aber nicht im Bereich der Sichereit.

Danke im Voraus!
Mitglied: ElSnoopy
04.10.2007 um 09:35 Uhr
Aus meiner Sicht macht es keinen Unterschied ob Du feste oder dynamische IP verwendest.
Wenn ein potenz. angreifer Absichten hegt findet er sicher auch wieder deine neue dynamische adresse heraus.
Bitte warten ..
Mitglied: 48829
04.10.2007 um 09:45 Uhr
Hallo ElSnoopy,

mich würde interessieren, wie das möglich ist. Wenn er die Dyndns- Adresse kennt ist das kein Problem. Aber wenn er sie nicht hat. Wie will er an die neue IP- Adresse kommen? Dann muss er ja schon einen Rechner kompromitiert haben, der ihm dann z.b. die aktuelle IP zuschickt.


Gibt es Möglichkeiten mit dem man IP- Adressen zu Dyndns- Adressen auflösen kann, wenn für diese IP eine Dyndns- Adresse existiert?
Bitte warten ..
Mitglied: ElSnoopy
04.10.2007 um 09:54 Uhr
nu trauste deinem draytec router nicht.
besorgst dir ne dolle firewall gateprotect und traust der auch nicht?????

ok ich kenne keine möglichkeiten IPs in dyndns adressen aufzulösen.
Wer aber genug kriminelle Energie besitzt nach löchern in deiner Firewall zu suchen wird auch wege finden sie auch nach einem IP wechsel wieder zu finden.
Bitte warten ..
Mitglied: aqui
04.10.2007 um 10:10 Uhr
Mmmhhh, die Argumentation von dem Firewall Hersteller ist ja etwas fadenscheinig. Wenn es vorher monatelang mit dynamischen IP Adressen fehlerfrei funktioniert hat kann es ja wohl daran nicht liegen !
Da würde ich die Stabilität des VPN Servers auf der neuen Firewall erstmal etwas auf Herz und Nieren prüfen...
Auch das Argument in puncto IKE Scanner (..wenn es denn sowas überhaupt gibt ?!) ist ja unsinning. So ein Scanner findet beim abklappern der IPs den Server ja auch mit einer festen IP genauso wie mit einer dynamischen IP. Besser noch....die dynamische IP ändert sich ja ständig, da muss man immer wieder aufs Neue suchen. Bei einer festen IP entfällt das...einmal entdeckt findet man den Server immer wieder. Das hat also eher kosmetische Gründe aber ist nie sicherheitsrelevant...

Du machst auch einen großen Denkfehler wenn du die Hauptstelle die VPN Verbindung aufbauen lässt. Das wäre ja vollkommener Unsinn wenn du dort eine feste IP hast aber weiterhin auf den Außenstellen dynmaische IPs. Du müsstest dann wieder mit Diensten wie DynDNS arbeiten um die VPN Endpoints zu finden, genau das was du ja eigentlich NICHT willst, oder !?
Richtigerweise bauen ja auch die Aussenstellen den VPN Link auf und niemals umgekehrt ! Denn DIE benötigen ja eine fixe IP Adresse für den VPN Tunnel Endpoint und nur dann macht auch eine fixe IP Adresse Sinn am Hauptstandort, damit du nicht mit DynDNS oder solchen Krücken arbeiten musst. Ausserdem machst du eine Authentifizierung des VPN Tunnels dann sinnvollerweise ja auch zentral am Hauptstandort und nicht auf kleinen Endroutern in den Außenstellen.
Andersrum, wie du es schilderst, ist der VPN Aufbau vollkommen unsinning wie du sicher zugeben musst !

Eine feste IP ist folglich genauso sicher oder unsicher wie eine dynamische ! Es ist ja auch ein Trugschluss davon auszugehen das die Sicherheit eines Unternehmensnetzes einzig und allein von der Art der IP Adresse abhängig ist. Port Scannern und Angriffsprogrammen ist es herzlich egal ob deine IP Adresse fest oder dynamisch ist, angegriffen wird alles wohinter sich was verbirgt was antwortet.
Die Sicherheit liegt also auf einen korrekt customizten (und stabil arbeitenden) Firewall niemals aber auf der IP selber. Das kann ein fataler Trugschluss sein !!!
Bitte warten ..
Mitglied: 48829
04.10.2007 um 11:27 Uhr
Die Sicherheit mit dem VPN- Tunnel und der festen IP liegt wohl darin, dass in den VPN- Einstellungen die IP- Adresse fest eingetragen ist und somit der VPN- Server gar nicht mehr auf Verbindungsanfragen von anderen IP- Adressen eingeht, weil er weiß, dass nur die eine IP- Adresse dafür freigegeben ist.
Bei einer dynamischen Adresse geht das nicht. Hier muss er bei jeder Anfrage eine Antwort gesendet werden.

Der Aufbau von der Außenstelle zur Haupstelle wäre schon sinnvoller. Dann bräuchten wir aber überall feste IP`s. Aber das mit dem Dyndns ist soweit auch kein Problem.
Mit der festen IP soll wohl hier auch nur den Sinn haben, dass der Client, der die Verbindung initierirt bei IPSec seine IP- Adresse mitsendet und dadurch irgendwelche Werte berechnet werden, die dann beim VPN- Server nicht immer genau übereinstimmen.

Ich versuche das gerade selber irgendwie genau zu erarbeiten, wie der Verbindungsaufbau bei VPN mit IPSec funktioniert.





Die IKE Scanner gibt es wirklich. Habe nachdem ich davon erfahren habe auch mal danach gesucht.

http://www.google.de/search?hl=de&q=IKE+scanner&meta=
Bitte warten ..
Mitglied: aqui
04.10.2007 um 11:41 Uhr
Normalerweise ist die Quell IP Adresse nicht relevant für einen VPN Verbindungsaufbau so das man in den Außenstellen problemlos mit dynamischen arbeiten kann. Es mag aber sein das deine FW spezifisch das abfragen oder filtern kann. Sicher macht dich das aber auch nicht.
Was hindert mich denn daran mit jedem belibigen Packet Generator im Internet Packete mit dieser Quelladresse zu senden und deine VPN FW damit anzugreifen... Da besagt also auch eine feste IP nichts.... Wie gesagt wichtig ist die richtige Einstellung der Firewall. Wenn alles über die Art der IP Adresse regelbar wäre benötigst du ja gar keine Firewall, oder ?!
Sniffer dir mal einen lokalen IPsec Verbindungsaufbau mit einem Packet Sniffer wie dem Wireshark (www.wireshark.org) da siehst du dann ganz genau wie der Verbindungsaufbau zustandekommt....
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Server
Feste IP oder Domainname für Rootserver (9)

Frage von achim222 zum Thema Server ...

Exchange Server
MX Eintrag für Exchange-Server , habe aber nur feste IP (9)

Frage von Mausbiber zum Thema Exchange Server ...

Router & Routing
gelöst VPN, Feste IP-Adr. Verständnisfrage bzgl. GateWay (Einstufung: Sehr einfach) (14)

Frage von uuppss zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (27)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (20)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...