14
VPN per FritzBox
Moin!
wie schätzt ihr die Sicherheit einer Kopplung zweier Standorte über das in der FritzBox (konkret 7390) implementierte VPN ein? Das ist doch ein IPSec im Aggressive Mode, oder?
Gruß von der Elbe
Winfried
wie schätzt ihr die Sicherheit einer Kopplung zweier Standorte über das in der FritzBox (konkret 7390) implementierte VPN ein? Das ist doch ein IPSec im Aggressive Mode, oder?
Gruß von der Elbe
Winfried
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 262138
Url: https://administrator.de/contentid/262138
Printed on: April 25, 2024 at 08:04 o'clock
14 Comments
Latest comment
Moin, moin,
die Sicherheit einer Fritzbox mit einem IPSEC-basierendem VPN mit einem PSK würde ich genauso einschätzen wie alle derartigen Ansätze - relativ gut im Verhältnis zum geringen Aufwand. Diesbezügliche Angriffe auf die Fritzboxen sind mir auch nicht bekannt. Allerdings sollte man nie die automatisch generierten Files aus den AVM-Tools unverändert benutzen. Diese glänzen durch Freizügigkeit. Wenn man sich ein paar Beispiele angesehen hat, kann man jedoch schnell das Prinzip erkennen und entsprechende Einschränkungen vornehmen.
Ein großes Manko ist die höchst spärliche Doku der VPN-Implementierung. Hier rückt AVM zwar viele Beispielskonfigurationen und einige Whitepaper ( http://avm.de/service/vpn/praxis-tipps/anpassung-einer-vpn-verbindung-v ... ) zu den Sicherheitsstrategien der IKE-Phasen heraus, für das gesamte Konfigurationsfile fehlt aber eine detaillierte Dokumentation. Den Modus kann man allerdings via Parameter im config-File von Agressive auf Main umstellen: mode = phase1_mode_aggressive oder eben mode = phase1_mode_main, wobei Roadwarrior naturgemäß nur im agressive Mode funktionieren, Lan2Lan unterstützt auch den Main-Mode.
Gruß von der Weser
Mike
die Sicherheit einer Fritzbox mit einem IPSEC-basierendem VPN mit einem PSK würde ich genauso einschätzen wie alle derartigen Ansätze - relativ gut im Verhältnis zum geringen Aufwand. Diesbezügliche Angriffe auf die Fritzboxen sind mir auch nicht bekannt. Allerdings sollte man nie die automatisch generierten Files aus den AVM-Tools unverändert benutzen. Diese glänzen durch Freizügigkeit. Wenn man sich ein paar Beispiele angesehen hat, kann man jedoch schnell das Prinzip erkennen und entsprechende Einschränkungen vornehmen.
Ein großes Manko ist die höchst spärliche Doku der VPN-Implementierung. Hier rückt AVM zwar viele Beispielskonfigurationen und einige Whitepaper ( http://avm.de/service/vpn/praxis-tipps/anpassung-einer-vpn-verbindung-v ... ) zu den Sicherheitsstrategien der IKE-Phasen heraus, für das gesamte Konfigurationsfile fehlt aber eine detaillierte Dokumentation. Den Modus kann man allerdings via Parameter im config-File von Agressive auf Main umstellen: mode = phase1_mode_aggressive oder eben mode = phase1_mode_main, wobei Roadwarrior naturgemäß nur im agressive Mode funktionieren, Lan2Lan unterstützt auch den Main-Mode.
Gruß von der Weser
Mike
Hallo Winfried,
Nun, der Angreifer muss schon den Verbindungsaufbau mitschneiden damit er erstens an die Hashes kommt. Und zweitens jede Menge Rechen-Power um aus den Hashes wieder etwas brauchbares zu machen. In Zeiten von terabytegroßen Rainbow-Tables und Grafikkartenpower die man heutzutage anmieten kann, sind solche Hashes in annehmbarer Zeit knackbar, je nach Hashing-Verfahren, Länge des PSKs und Aufwand den man treibt. Es kommt aber auch darauf an was der Angreifer in eurem Netz erwartet bzw. wie viel er bereit ist auszugeben um an Informationen zu kommen
Einigermaßen sicher ist man heutzutage eigentlich nur mit zertifikatsbasierten IPSsec Verbindungen.
Bedenke immer, eine Fritzbox wurde für "Consumer" entwickelt und nicht für Firmen die extremen Wert auf Sicherheit legen.
Zwei Mikrotiks sind erstens billiger, zweitens kompatibler mit unterschiedlichsten VPN-Clients und drittens flexibel auch mit zertifikatsbasierter Authentifizierung schnell eingerichtet.
Grüße Uwe
Das ist doch ein IPSec im Aggressive Mode, oder?
Korrekt. In der Standardeinstellung ja.wie schätzt ihr die Sicherheit einer Kopplung zweier Standorte über das in der FritzBox (konkret 7390) implementierte
VPN ein?
Alles steht oder fällt hier mit der Länge des PSKs und des ausgehandelten Hashing-Verfahrens in Phase 1, dieser sollte bei Verwendung des aggressive Modes so lange wie möglich sein, denn die Hashes werden hier im Klartext übertragen und nicht wie beim Mainmode zusätzlich verschlüsselt.VPN ein?
Nun, der Angreifer muss schon den Verbindungsaufbau mitschneiden damit er erstens an die Hashes kommt. Und zweitens jede Menge Rechen-Power um aus den Hashes wieder etwas brauchbares zu machen. In Zeiten von terabytegroßen Rainbow-Tables und Grafikkartenpower die man heutzutage anmieten kann, sind solche Hashes in annehmbarer Zeit knackbar, je nach Hashing-Verfahren, Länge des PSKs und Aufwand den man treibt. Es kommt aber auch darauf an was der Angreifer in eurem Netz erwartet bzw. wie viel er bereit ist auszugeben um an Informationen zu kommen
Einigermaßen sicher ist man heutzutage eigentlich nur mit zertifikatsbasierten IPSsec Verbindungen.
Bedenke immer, eine Fritzbox wurde für "Consumer" entwickelt und nicht für Firmen die extremen Wert auf Sicherheit legen.
Zwei Mikrotiks sind erstens billiger, zweitens kompatibler mit unterschiedlichsten VPN-Clients und drittens flexibel auch mit zertifikatsbasierter Authentifizierung schnell eingerichtet.
Grüße Uwe
Zitat von @Mike66:
Den Modus kann man allerdings via Parameter im config-File von Agressive auf Main umstellen:
Den Modus kann man allerdings via Parameter im config-File von Agressive auf Main umstellen:
Aber - zumindest behauptete das Draytek immer - den Main Mode kann man nur mit festen IP-Adressen nutzen. Oder habe ich da etwas falsch verstanden?
Winfried
Zitat von @Winfried-HH:
Aber - zumindest behauptete das Draytek immer - den Main Mode kann man nur mit festen IP-Adressen nutzen. Oder habe ich da etwas falsch verstanden?
Nein, das ist schon richtig, die Adresse des Initiators muss dem Responder beim Verbindungsaufbau via Mainmode bekannt sein.Aber - zumindest behauptete das Draytek immer - den Main Mode kann man nur mit festen IP-Adressen nutzen. Oder habe ich da etwas falsch verstanden?
Zitat von @colinardo:
Zwei Mikrotiks sind erstens billiger, zweitens kompatibler mit unterschiedlichsten VPN-Clients und drittens flexibel auch mit
zertifikatsbasierter Authentifizierung schnell eingerichtet.
Zwei Mikrotiks sind erstens billiger, zweitens kompatibler mit unterschiedlichsten VPN-Clients und drittens flexibel auch mit
zertifikatsbasierter Authentifizierung schnell eingerichtet.
Billiger ist relativ - die Frizzen bräuchten wir ja trotzdem (als DSL-Modem und für VoIP).
Nun, der Angreifer muss schon den Verbindungsaufbau mitschneiden damit er erstens an die Hashes kommt. Und zweitens
jede Menge Rechen-Power um aus den Hashes wieder etwas brauchbares zu machen.
Es kommt aber auch darauf an was der Angreifer in eurem Netz erwartet bzw. wie viel er bereit ist auszugeben um an
Informationen zu kommen
jede Menge Rechen-Power um aus den Hashes wieder etwas brauchbares zu machen.
Es kommt aber auch darauf an was der Angreifer in eurem Netz erwartet bzw. wie viel er bereit ist auszugeben um an
Informationen zu kommen
Eben ;)
Aber die Sicherheitslücken der Frizzen, von denen man in letzter Zeit immer mal wieder gehört hat, betreffen nicht den VPN-Bereich, richtig?
Zitat von @colinardo:
Nein, das ist schon richtig, die Adresse des Initiators muss dem Responder beim Verbindungsaufbau via Mainmode bekannt sein.
Nein, das ist schon richtig, die Adresse des Initiators muss dem Responder beim Verbindungsaufbau via Mainmode bekannt sein.
Dann fällt Main Mode leider weg. Gibt es denn zertifikatsbasierte Lösungen im Aggressive Mode? Sonst brauche ich darüber gar nicht erst nachzudenken ...
Zitat von @Winfried-HH:
Aber die Sicherheitslücken der Frizzen, von denen man in letzter Zeit immer mal wieder gehört hat, betreffen nicht den VPN-Bereich, richtig?
Die Fehler lagen hier allesamt im WebIF.Aber die Sicherheitslücken der Frizzen, von denen man in letzter Zeit immer mal wieder gehört hat, betreffen nicht den VPN-Bereich, richtig?
Zitat von @Winfried-HH:
Dann fällt Main Mode leider weg. Gibt es denn zertifikatsbasierte Lösungen im Aggressive Mode? Sonst brauche ich
darüber gar nicht erst nachzudenken ...
Sicher, der Server weist sich mit einem Zertifikat aus und die Clients jeweils ebenfalls mit einem Client-Zertifikat.Dann fällt Main Mode leider weg. Gibt es denn zertifikatsbasierte Lösungen im Aggressive Mode? Sonst brauche ich
darüber gar nicht erst nachzudenken ...
Können die Mikrotiks ebenfalls out of the box.
Billiger ist relativ - die Frizzen bräuchten wir ja trotzdem (als DSL-Modem und für VoIP).
Wieso? 
VDSL Modems gibt es auch andere und VoIP ist schon lange nicht mehr an die Hardware gekoppelt. Und mit einem "Single Point of Failure" wollte ich kein Netz betreiben wollen, wenn dann mindestens zwei Router im VRRP Verbund redundant.In einer Firma wollte ich nicht mit einer Fritte hantieren wollen, das steht schonmal fest - zumindest nicht ab einer bestimmten Größe.
Grüße Uwe
Zitat von @colinardo:
Wieso? VDSL Modems gibt es auch andere und VoIP ist schon lange nicht mehr an die Hardware gekoppelt.
Wieso?
VDSL Modems gibt es auch andere und VoIP ist schon lange nicht mehr an die Hardware gekoppelt.Klar, aber drei Geräte (DSL-Modem + VoIP-Telefonanlage + VPN-Router) sind dann sicher nicht mehr billiger als eine FritzBox
Und mit einem "Single Point of Failure" wollte ich kein Netz betreiben wollen, wenn dann mindestens zwei Router im VRRP Verbund redundant.
Sicher eine gute Sache, wenn man Geld hat - oder wenn ein Ausfall Geld kosten würde ....
In einer Firma wollte ich nicht mit einer Fritte hantieren wollen, das steht schonmal fest
Wir sind ja "nur" eine Schule
Zitat von @Winfried-HH:
Klar, aber drei Geräte (DSL-Modem + VoIP-Telefonanlage + VPN-Router) sind dann sicher nicht mehr billiger als eine FritzBox
Für den selben Preis krieg ich das problemlos hin Klar, aber drei Geräte (DSL-Modem + VoIP-Telefonanlage + VPN-Router) sind dann sicher nicht mehr billiger als eine FritzBox
.Sicher eine gute Sache, wenn man Geld hat - oder wenn ein Ausfall Geld kosten würde ....
Wir sind ja "nur" eine Schule
Jedem das seine...
Zitat von @colinardo:
Geld spielt da garkeine so große Rolle. OpenSource kriegst du das sogar fast kostenlos hin. Know How spart da eine Menge Geld.
Geld spielt da garkeine so große Rolle. OpenSource kriegst du das sogar fast kostenlos hin. Know How spart da eine Menge Geld.
OpenSource wäre aber nur die Software. Ich bräuchte immer noch drei Geräte, auf denen die Software läuft.
Zitat von @Winfried-HH:
OpenSource wäre aber nur die Software. Ich bräuchte immer noch drei Geräte, auf denen die Software läuft.
Da reicht ein ausrangierter PC/Raspi/Alix/Mikrotik/ etc. allesamt unter 50€ zu bekommen ...OpenSource wäre aber nur die Software. Ich bräuchte immer noch drei Geräte, auf denen die Software läuft.
Aber die Diskussion bringt hier ja jetzt nix. Ich seh schon du bist nicht von der Frittenbude abzubekommen. Für Ottonormaluser ist sie ja auch OK.
Wenn dann aber Sonderwünsche kommen, steht man sehr schnell auf dem Schlauch
Zitat von @colinardo:
Aber die Diskussion bringt hier ja jetzt nix. Ich seh schon du bist nicht von der Frittenbude abzubekommen.
Aber die Diskussion bringt hier ja jetzt nix. Ich seh schon du bist nicht von der Frittenbude abzubekommen.
Ich überlege noch. Zertifikatsbasiertes VPN hätte natürlich schon Vorteile. Aber ich würde ungern alles ersetzen, schon gar nicht mit "ausrangierten" (also offenbar gebrauchten) Geräten. Also, was würde ein Router, der ein zertifikatsbasiertes VPN im Agressive Mode unterstützt und den man in ein bestehendes LAN (z.B. an hinter einer FritzBox) hängen kann, ungefähr kosten? Bei der Hardware aber bitte nix Gebrauchtes ....
Hier bekommst du Übersicht (kurz) was sinnvolle HW ist...jedenfalls im billigen Consumer Bereich der Plaste Router:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Wenn du was reelles nehmen willst was auch den VPN Throughput schafft (kann die FB nicht !) dann nimm was von Lancom, Bintec oder:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Wenn du was reelles nehmen willst was auch den VPN Throughput schafft (kann die FB nicht !) dann nimm was von Lancom, Bintec oder:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
