Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN PPTP Sicher? (DI-804 HV)

Frage Netzwerke Router & Routing

Mitglied: radimobil

radimobil (Level 1) - Jetzt verbinden

24.03.2007, aktualisiert 25.03.2007, 7624 Aufrufe, 14 Kommentare

Privates Netzwerk mit 1 Server und 3 Clients

Hallo zusammen,

ich habe vor kurzem eine VPN-Verbindung über meinen Router eingerichet
(D-Link DI 804 HV).
Das ganze funktioniert wunderbar über den Routereigenen PPTP-Server.

Wenn ich nun einen Portscann mache zeigt es mir den Port 1723 VPN als offen an.
Ich denke das ist normal ?!?

Meine Frage nun: Ist dieses Verfahren sicher oder bestehen erhebliche Sicherheitslücken?

Im Vorraus vielen Dank für eure Antworten.
Mitglied: Dani
24.03.2007 um 22:28 Uhr
G' Abend,
dieser Port wird für PPTP nun mal gebraucht. Sicher ist immer so eine Definition. *gg*
Also höheren Sicherheitsstandard würde L2TP mit IPSec mit sich bringen.

Hier ein kl. Zitat:
01.
Zur Vergößerung der Sicherheit im verwendeten Tunnels wird dieser von PPTP (Point-to- 
02.
Point-Tunneling Protocol) auf einen L2TP (Layer-Two Tunneling Protocol) umgestellt.  
03.
Mit L2TP ist es erst möglich innerhalb der Verbindung IPSec zu tunneln. Diese Möglichkeit ist 
04.
im PPTP nicht gegeben. PPTP verschlüsselt die Pakete nach einem RC4 Verfahren mit 40, 56 
05.
oder 128 Bit (welches wir eingestellt hatten), aber hat keine Integritätsprüfung der Pakete 
06.
implemetiert und kann nicht zusammen mit IPSec verwendet werden. 
Quelle: http://www.gruppenrichtlinien.de

Hier noch ein Hinweis für WindowsXP mit SP2:
01.
.... der von einer Änderung von IPSec bei Windows XP mit SP2 über NAT-T und Problemen 
02.
 damit berichtet... schau Dir das mal an 
03.
http://support.microsoft.com/default.aspx?scid=kb;en-us;885348
Funktioniert wunderbar!! Muss auch am Server umgestellt werden danach den
Routingdienst neustarten.

L2TP benötigt folgende Ports: UDP 1701, UDP 500, UDP 5500, UDP 4500


Grüße
Dani
Bitte warten ..
Mitglied: radimobil
24.03.2007 um 22:36 Uhr
Hallo Dani,

vielen Dank für die schnelle Antwort!
Ratest du mir dringend auf L2TP umzustellen oder kann ich
es unter PPTP weiter laufen lassen?

Ich bin ein ganz normaler Privat-Anwender, es sind also keine
hochsensibele Daten auf dem System gespeichert.

Grüße
radimobil
Bitte warten ..
Mitglied: Dani
25.03.2007 um 00:25 Uhr
In diesem Fall würde ich nicht umstellen. Nur sicherstellen, dass die Kennwört nicht zu einfach sind!


Grüße
Dani
Bitte warten ..
Mitglied: Ickmus
25.03.2007 um 00:53 Uhr
Hallo,

Meine Frage nun: Ist dieses Verfahren
sicher oder bestehen erhebliche
Sicherheitslücken?

PPTP ist schon seit 2001 nicht mehr sicher:
http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/195 ...

Versuch lieber IPSEC...

Karsten
Bitte warten ..
Mitglied: spacyfreak
25.03.2007 um 08:22 Uhr
PPTP ist für den genannten Einsatzzweck mehr als ausreichend - doch das Passwort sollte möglichst komplex und lang sein. Knacken kann man alles - die Frage ist nur mit welchem Aufwand und wie lange es dauert den Schlüssel zu knacken. PPTP hat eine kleine Designschwäche, diese auszunutzen ist aber recht schwierig - und würde auch in keinem Verhältnis zum "Ertrag" (sensible Daten, die Geld bringen könnten) stehen.

Ein Hacker der es echt auf DEIN Netz abgesehen hat würde garnicht den Tunnel knacken wollen - viel leichter wäre es dir emails mit keylogger-anhang zu senden, und wenn du den installierst, hat er dein passwort. Da wärest du bei Einsatz von IPSEC auch nicht davor geschützt.
Der Weg des leichtesten Widerstandes ist meist der effektivste.

Der CIA oder NSA könnte wohl deinen PPTP Tunnel knacken, oder paar chinesische Studenten, die grade nichts besseres zu tun haben. Aber auch nur unter bestimmten Umständen, die recht unwahrscheinlich sind.
Bitte warten ..
Mitglied: Ickmus
25.03.2007 um 12:08 Uhr
Rehallo,

dieser artikel ist nur das was ich auf die schnelle gefunden habe.
Es gab mal einen Artikel in der CT der besagte, dass man wenn man die ersten beiden Pakete der PPTP Kommunikation mitschneidet daraus das Passwort errechnen kann.
Und damals hat das ein Student mit einem 8 Zeichen Passwort und einem Celeron800 in etwas über 12 Stunden gemacht. Heute mit 3GHz DualCore Rechnern, preiswerten Clustern lässt sich das eheblich verkürzen.
Es geht aber auch noch einfacher:
http://www.securityfocus.com/tools/5

Ausserdem empfiehlt das Bundesamt für Sicherheit in der Informationstechnik ausdrücklich PPTP nicht zu verwenden:
http://www.bsi.de/fachthem/sinet/loesungen_transport/VPN.pdf

Karsten
Bitte warten ..
Mitglied: Dani
25.03.2007 um 12:25 Uhr
G' Morgen,
also ich schließe mich "einfach-mal-die-klappe-halten" an. Wie schon gesagt, wenn einer eindringen möchte, gibt es vorher noch andere Möglichkeiten. Es ist auch immer noch eine Frage, wie gut der Router konfiguriert ist bzw. was das Gerät kann!
Von dem her, würde ich bei PPTP bleiben. Angriffspunkte findet ein guter Hacker immer. Und da der Benutzer nichts macht, was nicht für die Öffentlichkeit gedacht ist (Daten, E-Mails) würde der Aufwand sich nicht lohnen. Des weiteren muss der Router erstmal L2TP können. Das ist bei Billig-Routern selten der Fall!!!


Grüße
Dani
Bitte warten ..
Mitglied: spacyfreak
25.03.2007 um 14:25 Uhr
Yo - ich kenne die Knacktools recht gut.

Wie gesagt KANN man alles knacken.
Cain wird für nen komplexen Hash auf nem aktuellen Heim-Rechner jedoch paar Jahre brauchen.

Es gibt Firmen, die finden sogar RDP Zugriff aufs Intranet ok - alles ne Frage der paranoia.
Dort wird auch regelmässig kontrolliert, von wo wer zugegriffen hat, und die letzten jahre gab es meines Wissens keinen Einbruchsversuch, obwohl RDP ne verhältnismässig schwache Verschlüsselung benutzt.

Das Email-Anhang klicken oder surfen mit Adminrechten auf zwielichten Webseiten bringt viel mehr Risiko als PPTP zu verwenden.
Bitte warten ..
Mitglied: Ickmus
25.03.2007 um 14:29 Uhr
Hacker immer. Und da der Benutzer nichts
macht, was nicht für die
Öffentlichkeit gedacht ist (Daten,
E-Mails) würde der Aufwand sich nicht
lohnen. Des weiteren muss der Router erstmal
Wozu dann VPN??

L2TP können. Das ist bei Billig-Routern
selten der Fall!!!
Der Router kann IPSec (lt. http://www.dlink.de/?go=gNTyP9CgrdFOIC4AStFCF834mptYKO9ZTdvhLPG3yV3oV4F ... ). Das ist erheblich sicherer als PPTP.
Wenn VPN, dann lieber sicher, antelle nur so einer halbgaren Lösung.

Karsten
Bitte warten ..
Mitglied: radimobil
25.03.2007 um 14:34 Uhr
Hallo zusammen und vielen Dank für die
zahlreichen Beiträge!

Mein Router kann IPSec! Auf dem Router den LP2TP einzurichten ist
auch kein Problem.
Schwierigkeiten gibt es nur bei der Einwahl. Was mache ich falsch? Ich gehe genau so vor wie bei PPTP
Er fragt nach einem Sicherheitszertifikat oder so...?!?

Grüße
radimobil
Bitte warten ..
Mitglied: spacyfreak
25.03.2007 um 17:58 Uhr
IPSEC braucht ein zertifikat, oder ein PSK.
Bitte warten ..
Mitglied: spacyfreak
25.03.2007 um 17:58 Uhr
IPSEC braucht ein zertifikat, oder ein PSK.
Bitte warten ..
Mitglied: radimobil
25.03.2007 um 18:08 Uhr
ok, wie muß ich vorgehen?
Bitte warten ..
Mitglied: spacyfreak
25.03.2007 um 19:23 Uhr
Das erklärt dir am besten der, der dir zu IPSEC geraten hat.
Aber klar - wenn das Gerät schon IPSEC kann, dann kann man auch IPSEC verwenden - falls man es zum Laufen kriegt.

Wenn es NUR mit Zertifikat geht, musst du eine CA (Zertifizierungsstelle) aufsetzen und dir ein Zertfikat ausstellen. Oder du kaufst ein Zertifikat bei Verisign für paar hundert Euro.
Oder ein Blick in die Anleitung könnte nicht schaden, falls PSK auch funktioniert - doch ein PSK ist auch nix anderes als ein Passwort übrigens.

Ferner braucht IPSEC mehrere Ports (je nachdem wie das D-Link macht Ports 50, 51, 500, 4500, 10000). Ob du von ÜBERALL den IPSEC Tunnel aufbauen können wirst hängt also davon ab, ob DORT wo du dich aufhälst diese Port freigeschaltet sind.
PPTP braucht meines Wissens nur Port 1723 und ist wahrscheinlich einfacher zu konfigurieren.
Hatte ich erwähnt, dass du für IPSEC auch einen passenden VPN Ipsec Client brauchst?
PPTP kann Windows von Haus aus.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(2)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows Netzwerk
PPTP-VPN Abbruch nach 20 Sekunden (13)

Frage von Otomombe zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...