Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN per FritzBox

Frage Netzwerke Router & Routing

Mitglied: Winfried-HH

Winfried-HH (Level 2) - Jetzt verbinden

03.02.2015, aktualisiert 17:54 Uhr, 2228 Aufrufe, 14 Kommentare

Moin!

wie schätzt ihr die Sicherheit einer Kopplung zweier Standorte über das in der FritzBox (konkret 7390) implementierte VPN ein? Das ist doch ein IPSec im Aggressive Mode, oder?


Gruß von der Elbe
Winfried
Mitglied: Mike66
03.02.2015 um 16:57 Uhr
Moin, moin,

die Sicherheit einer Fritzbox mit einem IPSEC-basierendem VPN mit einem PSK würde ich genauso einschätzen wie alle derartigen Ansätze - relativ gut im Verhältnis zum geringen Aufwand. Diesbezügliche Angriffe auf die Fritzboxen sind mir auch nicht bekannt. Allerdings sollte man nie die automatisch generierten Files aus den AVM-Tools unverändert benutzen. Diese glänzen durch Freizügigkeit. Wenn man sich ein paar Beispiele angesehen hat, kann man jedoch schnell das Prinzip erkennen und entsprechende Einschränkungen vornehmen.

Ein großes Manko ist die höchst spärliche Doku der VPN-Implementierung. Hier rückt AVM zwar viele Beispielskonfigurationen und einige Whitepaper ( http://avm.de/service/vpn/praxis-tipps/anpassung-einer-vpn-verbindung-v ... ) zu den Sicherheitsstrategien der IKE-Phasen heraus, für das gesamte Konfigurationsfile fehlt aber eine detaillierte Dokumentation. Den Modus kann man allerdings via Parameter im config-File von Agressive auf Main umstellen: mode = phase1_mode_aggressive oder eben mode = phase1_mode_main, wobei Roadwarrior naturgemäß nur im agressive Mode funktionieren, Lan2Lan unterstützt auch den Main-Mode.

Gruß von der Weser
Mike
Bitte warten ..
Mitglied: colinardo
03.02.2015, aktualisiert um 17:05 Uhr
Hallo Winfried,
Das ist doch ein IPSec im Aggressive Mode, oder?
Korrekt. In der Standardeinstellung ja.
wie schätzt ihr die Sicherheit einer Kopplung zweier Standorte über das in der FritzBox (konkret 7390) implementierte
VPN ein?
Alles steht oder fällt hier mit der Länge des PSKs und des ausgehandelten Hashing-Verfahrens in Phase 1, dieser sollte bei Verwendung des aggressive Modes so lange wie möglich sein, denn die Hashes werden hier im Klartext übertragen und nicht wie beim Mainmode zusätzlich verschlüsselt.

Nun, der Angreifer muss schon den Verbindungsaufbau mitschneiden damit er erstens an die Hashes kommt. Und zweitens jede Menge Rechen-Power um aus den Hashes wieder etwas brauchbares zu machen. In Zeiten von terabytegroßen Rainbow-Tables und Grafikkartenpower die man heutzutage anmieten kann, sind solche Hashes in annehmbarer Zeit knackbar, je nach Hashing-Verfahren, Länge des PSKs und Aufwand den man treibt. Es kommt aber auch darauf an was der Angreifer in eurem Netz erwartet bzw. wie viel er bereit ist auszugeben um an Informationen zu kommen

Einigermaßen sicher ist man heutzutage eigentlich nur mit zertifikatsbasierten IPSsec Verbindungen.

Bedenke immer, eine Fritzbox wurde für "Consumer" entwickelt und nicht für Firmen die extremen Wert auf Sicherheit legen.

Zwei Mikrotiks sind erstens billiger, zweitens kompatibler mit unterschiedlichsten VPN-Clients und drittens flexibel auch mit zertifikatsbasierter Authentifizierung schnell eingerichtet.

Grüße Uwe
Bitte warten ..
Mitglied: Winfried-HH
03.02.2015 um 17:05 Uhr
Zitat von Mike66:

Den Modus kann man allerdings via Parameter im config-File von Agressive auf Main umstellen:

Aber - zumindest behauptete das Draytek immer - den Main Mode kann man nur mit festen IP-Adressen nutzen. Oder habe ich da etwas falsch verstanden?


Winfried
Bitte warten ..
Mitglied: colinardo
03.02.2015, aktualisiert um 17:09 Uhr
Zitat von Winfried-HH:
Aber - zumindest behauptete das Draytek immer - den Main Mode kann man nur mit festen IP-Adressen nutzen. Oder habe ich da etwas falsch verstanden?
Nein, das ist schon richtig, die Adresse des Initiators muss dem Responder beim Verbindungsaufbau via Mainmode bekannt sein.
Bitte warten ..
Mitglied: Winfried-HH
03.02.2015 um 17:10 Uhr
Zitat von colinardo:

Zwei Mikrotiks sind erstens billiger, zweitens kompatibler mit unterschiedlichsten VPN-Clients und drittens flexibel auch mit
zertifikatsbasierter Authentifizierung schnell eingerichtet.

Billiger ist relativ - die Frizzen bräuchten wir ja trotzdem (als DSL-Modem und für VoIP).


Nun, der Angreifer muss schon den Verbindungsaufbau mitschneiden damit er erstens an die Hashes kommt. Und zweitens
jede Menge Rechen-Power um aus den Hashes wieder etwas brauchbares zu machen.
Es kommt aber auch darauf an was der Angreifer in eurem Netz erwartet bzw. wie viel er bereit ist auszugeben um an
Informationen zu kommen

Eben ;)

Aber die Sicherheitslücken der Frizzen, von denen man in letzter Zeit immer mal wieder gehört hat, betreffen nicht den VPN-Bereich, richtig?
Bitte warten ..
Mitglied: Winfried-HH
03.02.2015 um 17:11 Uhr
Zitat von colinardo:

Nein, das ist schon richtig, die Adresse des Initiators muss dem Responder beim Verbindungsaufbau via Mainmode bekannt sein.

Dann fällt Main Mode leider weg. Gibt es denn zertifikatsbasierte Lösungen im Aggressive Mode? Sonst brauche ich darüber gar nicht erst nachzudenken ...
Bitte warten ..
Mitglied: colinardo
03.02.2015 um 17:12 Uhr
Zitat von Winfried-HH:
Aber die Sicherheitslücken der Frizzen, von denen man in letzter Zeit immer mal wieder gehört hat, betreffen nicht den VPN-Bereich, richtig?
Die Fehler lagen hier allesamt im WebIF.
Bitte warten ..
Mitglied: colinardo
03.02.2015, aktualisiert um 17:25 Uhr
Zitat von Winfried-HH:
Dann fällt Main Mode leider weg. Gibt es denn zertifikatsbasierte Lösungen im Aggressive Mode? Sonst brauche ich
darüber gar nicht erst nachzudenken ...
Sicher, der Server weist sich mit einem Zertifikat aus und die Clients jeweils ebenfalls mit einem Client-Zertifikat.
Können die Mikrotiks ebenfalls out of the box.


Billiger ist relativ - die Frizzen bräuchten wir ja trotzdem (als DSL-Modem und für VoIP).
Wieso? VDSL Modems gibt es auch andere und VoIP ist schon lange nicht mehr an die Hardware gekoppelt. Und mit einem "Single Point of Failure" wollte ich kein Netz betreiben wollen, wenn dann mindestens zwei Router im VRRP Verbund redundant.

In einer Firma wollte ich nicht mit einer Fritte hantieren wollen, das steht schonmal fest - zumindest nicht ab einer bestimmten Größe.

Grüße Uwe
Bitte warten ..
Mitglied: Winfried-HH
03.02.2015 um 17:46 Uhr
Zitat von colinardo:

Wieso? VDSL Modems gibt es auch andere und VoIP ist schon lange nicht mehr an die Hardware gekoppelt.

Klar, aber drei Geräte (DSL-Modem + VoIP-Telefonanlage + VPN-Router) sind dann sicher nicht mehr billiger als eine FritzBox


Und mit einem "Single Point of Failure" wollte ich kein Netz betreiben wollen, wenn dann mindestens zwei Router im VRRP Verbund redundant.

Sicher eine gute Sache, wenn man Geld hat - oder wenn ein Ausfall Geld kosten würde ....


In einer Firma wollte ich nicht mit einer Fritte hantieren wollen, das steht schonmal fest

Wir sind ja "nur" eine Schule
Bitte warten ..
Mitglied: colinardo
03.02.2015, aktualisiert um 17:54 Uhr
Zitat von Winfried-HH:
Klar, aber drei Geräte (DSL-Modem + VoIP-Telefonanlage + VPN-Router) sind dann sicher nicht mehr billiger als eine FritzBox

Für den selben Preis krieg ich das problemlos hin .

Sicher eine gute Sache, wenn man Geld hat - oder wenn ein Ausfall Geld kosten würde ....

Geld spielt da garkeine so große Rolle. OpenSource kriegst du das sogar fast kostenlos hin. Know How spart da eine Menge Geld.

Wir sind ja "nur" eine Schule
OK, aber selbst da gibt's sicherlich stunk von den Kollegen wenn den ganzen Tag das Netz weg ist

Jedem das seine...
Bitte warten ..
Mitglied: Winfried-HH
03.02.2015 um 17:55 Uhr
Zitat von colinardo:

Geld spielt da garkeine so große Rolle. OpenSource kriegst du das sogar fast kostenlos hin. Know How spart da eine Menge Geld.

OpenSource wäre aber nur die Software. Ich bräuchte immer noch drei Geräte, auf denen die Software läuft.
Bitte warten ..
Mitglied: colinardo
03.02.2015, aktualisiert um 18:01 Uhr
Zitat von Winfried-HH:
OpenSource wäre aber nur die Software. Ich bräuchte immer noch drei Geräte, auf denen die Software läuft.
Da reicht ein ausrangierter PC/Raspi/Alix/Mikrotik/ etc. allesamt unter 50€ zu bekommen ...

Aber die Diskussion bringt hier ja jetzt nix. Ich seh schon du bist nicht von der Frittenbude abzubekommen. Für Ottonormaluser ist sie ja auch OK.

Wenn dann aber Sonderwünsche kommen, steht man sehr schnell auf dem Schlauch
Bitte warten ..
Mitglied: Winfried-HH
03.02.2015, aktualisiert um 18:13 Uhr
Zitat von colinardo:

Aber die Diskussion bringt hier ja jetzt nix. Ich seh schon du bist nicht von der Frittenbude abzubekommen.

Ich überlege noch. Zertifikatsbasiertes VPN hätte natürlich schon Vorteile. Aber ich würde ungern alles ersetzen, schon gar nicht mit "ausrangierten" (also offenbar gebrauchten) Geräten. Also, was würde ein Router, der ein zertifikatsbasiertes VPN im Agressive Mode unterstützt und den man in ein bestehendes LAN (z.B. an hinter einer FritzBox) hängen kann, ungefähr kosten? Bei der Hardware aber bitte nix Gebrauchtes ....
Bitte warten ..
Mitglied: aqui
03.02.2015 um 18:17 Uhr
Hier bekommst du Übersicht (kurz) was sinnvolle HW ist...jedenfalls im billigen Consumer Bereich der Plaste Router:
http://www.administrator.de/wissen/ipsec-vpn-cisco-mikrotik-pfsense-m0n ...
Wenn du was reelles nehmen willst was auch den VPN Throughput schafft (kann die FB nicht !) dann nimm was von Lancom, Bintec oder:
http://www.administrator.de/wissen/konfiguration-cisco-886va-adsl-vdsl- ...
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Router & Routing
VPN Fritzbox mit Draytek LAN-to-LAN (1)

Frage von macjolo zum Thema Router & Routing ...

Windows Server
gelöst Windows Server 2012 mit Fritzbox per VPN verbinden (13)

Frage von StefanT81 zum Thema Windows Server ...

Netzwerkmanagement
Heimnetzwerk über Fritzbox per VPN mit vServer verbinden (6)

Frage von StefanT81 zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (22)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (19)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...