Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke Router & Routing

GELÖST

VPN per FritzBox

Mitglied: Winfried-HH

Winfried-HH (Level 2) - Jetzt verbinden

03.02.2015, aktualisiert 17:54 Uhr, 2762 Aufrufe, 14 Kommentare

Moin!

wie schätzt ihr die Sicherheit einer Kopplung zweier Standorte über das in der FritzBox (konkret 7390) implementierte VPN ein? Das ist doch ein IPSec im Aggressive Mode, oder?


Gruß von der Elbe
Winfried
Mitglied: Mike66
03.02.2015 um 16:57 Uhr
Moin, moin,

die Sicherheit einer Fritzbox mit einem IPSEC-basierendem VPN mit einem PSK würde ich genauso einschätzen wie alle derartigen Ansätze - relativ gut im Verhältnis zum geringen Aufwand. Diesbezügliche Angriffe auf die Fritzboxen sind mir auch nicht bekannt. Allerdings sollte man nie die automatisch generierten Files aus den AVM-Tools unverändert benutzen. Diese glänzen durch Freizügigkeit. Wenn man sich ein paar Beispiele angesehen hat, kann man jedoch schnell das Prinzip erkennen und entsprechende Einschränkungen vornehmen.

Ein großes Manko ist die höchst spärliche Doku der VPN-Implementierung. Hier rückt AVM zwar viele Beispielskonfigurationen und einige Whitepaper ( http://avm.de/service/vpn/praxis-tipps/anpassung-einer-vpn-verbindung-v ... ) zu den Sicherheitsstrategien der IKE-Phasen heraus, für das gesamte Konfigurationsfile fehlt aber eine detaillierte Dokumentation. Den Modus kann man allerdings via Parameter im config-File von Agressive auf Main umstellen: mode = phase1_mode_aggressive oder eben mode = phase1_mode_main, wobei Roadwarrior naturgemäß nur im agressive Mode funktionieren, Lan2Lan unterstützt auch den Main-Mode.

Gruß von der Weser
Mike
Bitte warten ..
Mitglied: colinardo
03.02.2015, aktualisiert um 17:05 Uhr
Hallo Winfried,
Das ist doch ein IPSec im Aggressive Mode, oder?
Korrekt. In der Standardeinstellung ja.
wie schätzt ihr die Sicherheit einer Kopplung zweier Standorte über das in der FritzBox (konkret 7390) implementierte
VPN ein?
Alles steht oder fällt hier mit der Länge des PSKs und des ausgehandelten Hashing-Verfahrens in Phase 1, dieser sollte bei Verwendung des aggressive Modes so lange wie möglich sein, denn die Hashes werden hier im Klartext übertragen und nicht wie beim Mainmode zusätzlich verschlüsselt.

Nun, der Angreifer muss schon den Verbindungsaufbau mitschneiden damit er erstens an die Hashes kommt. Und zweitens jede Menge Rechen-Power um aus den Hashes wieder etwas brauchbares zu machen. In Zeiten von terabytegroßen Rainbow-Tables und Grafikkartenpower die man heutzutage anmieten kann, sind solche Hashes in annehmbarer Zeit knackbar, je nach Hashing-Verfahren, Länge des PSKs und Aufwand den man treibt. Es kommt aber auch darauf an was der Angreifer in eurem Netz erwartet bzw. wie viel er bereit ist auszugeben um an Informationen zu kommen

Einigermaßen sicher ist man heutzutage eigentlich nur mit zertifikatsbasierten IPSsec Verbindungen.

Bedenke immer, eine Fritzbox wurde für "Consumer" entwickelt und nicht für Firmen die extremen Wert auf Sicherheit legen.

Zwei Mikrotiks sind erstens billiger, zweitens kompatibler mit unterschiedlichsten VPN-Clients und drittens flexibel auch mit zertifikatsbasierter Authentifizierung schnell eingerichtet.

Grüße Uwe
Bitte warten ..
Mitglied: Winfried-HH
03.02.2015 um 17:05 Uhr
Zitat von Mike66:

Den Modus kann man allerdings via Parameter im config-File von Agressive auf Main umstellen:

Aber - zumindest behauptete das Draytek immer - den Main Mode kann man nur mit festen IP-Adressen nutzen. Oder habe ich da etwas falsch verstanden?


Winfried
Bitte warten ..
Mitglied: colinardo
03.02.2015, aktualisiert um 17:09 Uhr
Zitat von Winfried-HH:
Aber - zumindest behauptete das Draytek immer - den Main Mode kann man nur mit festen IP-Adressen nutzen. Oder habe ich da etwas falsch verstanden?
Nein, das ist schon richtig, die Adresse des Initiators muss dem Responder beim Verbindungsaufbau via Mainmode bekannt sein.
Bitte warten ..
Mitglied: Winfried-HH
03.02.2015 um 17:10 Uhr
Zitat von colinardo:

Zwei Mikrotiks sind erstens billiger, zweitens kompatibler mit unterschiedlichsten VPN-Clients und drittens flexibel auch mit
zertifikatsbasierter Authentifizierung schnell eingerichtet.

Billiger ist relativ - die Frizzen bräuchten wir ja trotzdem (als DSL-Modem und für VoIP).


Nun, der Angreifer muss schon den Verbindungsaufbau mitschneiden damit er erstens an die Hashes kommt. Und zweitens
jede Menge Rechen-Power um aus den Hashes wieder etwas brauchbares zu machen.
Es kommt aber auch darauf an was der Angreifer in eurem Netz erwartet bzw. wie viel er bereit ist auszugeben um an
Informationen zu kommen

Eben ;)

Aber die Sicherheitslücken der Frizzen, von denen man in letzter Zeit immer mal wieder gehört hat, betreffen nicht den VPN-Bereich, richtig?
Bitte warten ..
Mitglied: Winfried-HH
03.02.2015 um 17:11 Uhr
Zitat von colinardo:

Nein, das ist schon richtig, die Adresse des Initiators muss dem Responder beim Verbindungsaufbau via Mainmode bekannt sein.

Dann fällt Main Mode leider weg. Gibt es denn zertifikatsbasierte Lösungen im Aggressive Mode? Sonst brauche ich darüber gar nicht erst nachzudenken ...
Bitte warten ..
Mitglied: colinardo
03.02.2015 um 17:12 Uhr
Zitat von Winfried-HH:
Aber die Sicherheitslücken der Frizzen, von denen man in letzter Zeit immer mal wieder gehört hat, betreffen nicht den VPN-Bereich, richtig?
Die Fehler lagen hier allesamt im WebIF.
Bitte warten ..
Mitglied: colinardo
03.02.2015, aktualisiert um 17:25 Uhr
Zitat von Winfried-HH:
Dann fällt Main Mode leider weg. Gibt es denn zertifikatsbasierte Lösungen im Aggressive Mode? Sonst brauche ich
darüber gar nicht erst nachzudenken ...
Sicher, der Server weist sich mit einem Zertifikat aus und die Clients jeweils ebenfalls mit einem Client-Zertifikat.
Können die Mikrotiks ebenfalls out of the box.


Billiger ist relativ - die Frizzen bräuchten wir ja trotzdem (als DSL-Modem und für VoIP).
Wieso? VDSL Modems gibt es auch andere und VoIP ist schon lange nicht mehr an die Hardware gekoppelt. Und mit einem "Single Point of Failure" wollte ich kein Netz betreiben wollen, wenn dann mindestens zwei Router im VRRP Verbund redundant.

In einer Firma wollte ich nicht mit einer Fritte hantieren wollen, das steht schonmal fest - zumindest nicht ab einer bestimmten Größe.

Grüße Uwe
Bitte warten ..
Mitglied: Winfried-HH
03.02.2015 um 17:46 Uhr
Zitat von colinardo:

Wieso? VDSL Modems gibt es auch andere und VoIP ist schon lange nicht mehr an die Hardware gekoppelt.

Klar, aber drei Geräte (DSL-Modem + VoIP-Telefonanlage + VPN-Router) sind dann sicher nicht mehr billiger als eine FritzBox


Und mit einem "Single Point of Failure" wollte ich kein Netz betreiben wollen, wenn dann mindestens zwei Router im VRRP Verbund redundant.

Sicher eine gute Sache, wenn man Geld hat - oder wenn ein Ausfall Geld kosten würde ....


In einer Firma wollte ich nicht mit einer Fritte hantieren wollen, das steht schonmal fest

Wir sind ja "nur" eine Schule
Bitte warten ..
Mitglied: colinardo
03.02.2015, aktualisiert um 17:54 Uhr
Zitat von Winfried-HH:
Klar, aber drei Geräte (DSL-Modem + VoIP-Telefonanlage + VPN-Router) sind dann sicher nicht mehr billiger als eine FritzBox

Für den selben Preis krieg ich das problemlos hin .

Sicher eine gute Sache, wenn man Geld hat - oder wenn ein Ausfall Geld kosten würde ....

Geld spielt da garkeine so große Rolle. OpenSource kriegst du das sogar fast kostenlos hin. Know How spart da eine Menge Geld.

Wir sind ja "nur" eine Schule
OK, aber selbst da gibt's sicherlich stunk von den Kollegen wenn den ganzen Tag das Netz weg ist

Jedem das seine...
Bitte warten ..
Mitglied: Winfried-HH
03.02.2015 um 17:55 Uhr
Zitat von colinardo:

Geld spielt da garkeine so große Rolle. OpenSource kriegst du das sogar fast kostenlos hin. Know How spart da eine Menge Geld.

OpenSource wäre aber nur die Software. Ich bräuchte immer noch drei Geräte, auf denen die Software läuft.
Bitte warten ..
Mitglied: colinardo
03.02.2015, aktualisiert um 18:01 Uhr
Zitat von Winfried-HH:
OpenSource wäre aber nur die Software. Ich bräuchte immer noch drei Geräte, auf denen die Software läuft.
Da reicht ein ausrangierter PC/Raspi/Alix/Mikrotik/ etc. allesamt unter 50€ zu bekommen ...

Aber die Diskussion bringt hier ja jetzt nix. Ich seh schon du bist nicht von der Frittenbude abzubekommen. Für Ottonormaluser ist sie ja auch OK.

Wenn dann aber Sonderwünsche kommen, steht man sehr schnell auf dem Schlauch
Bitte warten ..
Mitglied: Winfried-HH
03.02.2015, aktualisiert um 18:13 Uhr
Zitat von colinardo:

Aber die Diskussion bringt hier ja jetzt nix. Ich seh schon du bist nicht von der Frittenbude abzubekommen.

Ich überlege noch. Zertifikatsbasiertes VPN hätte natürlich schon Vorteile. Aber ich würde ungern alles ersetzen, schon gar nicht mit "ausrangierten" (also offenbar gebrauchten) Geräten. Also, was würde ein Router, der ein zertifikatsbasiertes VPN im Agressive Mode unterstützt und den man in ein bestehendes LAN (z.B. an hinter einer FritzBox) hängen kann, ungefähr kosten? Bei der Hardware aber bitte nix Gebrauchtes ....
Bitte warten ..
Mitglied: aqui
03.02.2015 um 18:17 Uhr
Hier bekommst du Übersicht (kurz) was sinnvolle HW ist...jedenfalls im billigen Consumer Bereich der Plaste Router:
http://www.administrator.de/wissen/ipsec-vpn-cisco-mikrotik-pfsense-m0n ...
Wenn du was reelles nehmen willst was auch den VPN Throughput schafft (kann die FB nicht !) dann nimm was von Lancom, Bintec oder:
http://www.administrator.de/wissen/konfiguration-cisco-886va-adsl-vdsl- ...
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
FritzBOX VPN FritzBox kein Verbindungsaufbau
gelöst Frage von Dett18LAN, WAN, Wireless17 Kommentare

Einen schönen Sonnigen guten Tag liebe Gemeinde. Leider habe ich ein VPN Problem zwischen zwei Fritz!Boxen. Nach einer Woche ...

LAN, WAN, Wireless
Mikrotik als VPN-Client hinter Fritzbox zu Fritzbox
gelöst Frage von PharITLAN, WAN, Wireless5 Kommentare

Hallo allerseits, im Netzwerk meiner Freundin versuche ich derzeit hinter ihrer Fritz!box meinen Mikrotik Router nach dem Guide von ...

Windows 10
Win 10 - FritzBox - VPN
gelöst Frage von christian.mahrWindows 1013 Kommentare

Hallo Zusammen, in der Vergangenheit hatte ich eine VPN Verbindung über FritzFernzugang zu meiner FB im Büro aufgebaut. Lief ...

Netzwerkgrundlagen
Vpn FritzBox Synology Frage
gelöst Frage von OsiMacNetzwerkgrundlagen7 Kommentare

Hallo ich habe mal eine Verständnisfrage. Ich habe eine FritzBox 6490 für Kabel Internet. Dahinter habe ich eine Synology ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 3 TagenSicherheit12 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall10 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS9 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen9 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...

Windows Netzwerk
Zugriff auf den Desktop Ordner eines anderen Rechners in der gleichen Domäne
gelöst Frage von JensNomaWindows Netzwerk6 Kommentare

Guten Abend, ich war neulich mit unserem Admin am Tisch gesessen. Er an seinem Notebook angemeldet mit dem Domänen-Admin, ...