8
VPN - Schwächt es die Netzwerksicherheit ?
Hallo zusammen,
ich arbeite momentan an meinem Abschlussprojekt und muss in zuge dessen auch ein Sicherheitskonzept entwerfen.
Da unsere Mutter Firma per VPN Leitung an das Netzwerk unserer Torchterfirma gekoppelt ist, habe ich mich gefragt, ob durch den Einsatz von VPN weitere Sicherheitslücken entstehen.
Konnte bis jetzt aber leider nichts bei google finden.
Gibt es allgemein Probleme/Sicherheitslücken mit VPN ?
Es geht sich nicht um den Angriff der VPN Verbindung, sondern um die Frage, ob das Einrichten eines VPN Tunnels z.b. Lücken in einer Firewall eines Netzwerks öffnet, oder ähnliches....
Hoffe ihr versteht was ich meine, und könnt mir helfen
Vielen Dank schonmal !
ich arbeite momentan an meinem Abschlussprojekt und muss in zuge dessen auch ein Sicherheitskonzept entwerfen.
Da unsere Mutter Firma per VPN Leitung an das Netzwerk unserer Torchterfirma gekoppelt ist, habe ich mich gefragt, ob durch den Einsatz von VPN weitere Sicherheitslücken entstehen.
Konnte bis jetzt aber leider nichts bei google finden.
Gibt es allgemein Probleme/Sicherheitslücken mit VPN ?
Es geht sich nicht um den Angriff der VPN Verbindung, sondern um die Frage, ob das Einrichten eines VPN Tunnels z.b. Lücken in einer Firewall eines Netzwerks öffnet, oder ähnliches....
Hoffe ihr versteht was ich meine, und könnt mir helfen
Vielen Dank schonmal !
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 141157
Url: https://administrator.de/contentid/141157
Printed on: April 19, 2024 at 22:04 o'clock
8 Comments
Latest comment
Hallo,
ein VPN ist genauso gefährlich, wie ein Netzwerkkabel... Was durch geht musst Du kontrollieren.
Natürlich ist die Anbindung von einem weiteren Standort immer ein zusätzliches Risiko, weil auch von dort Angriffe kommen können. Das bedeutet jedoch nur, dass man sie absichern muss.
Phil
ein VPN ist genauso gefährlich, wie ein Netzwerkkabel... Was durch geht musst Du kontrollieren.
Natürlich ist die Anbindung von einem weiteren Standort immer ein zusätzliches Risiko, weil auch von dort Angriffe kommen können. Das bedeutet jedoch nur, dass man sie absichern muss.
Phil
Hi Phil,
ich dachte daran, dass ich ja eine zusätze Verbindung in der Firewall einrichten muss, die von außen in mein Netzwerk aufgebaut werden darf... und das bedeutet für mich eine zusätzliche Schwachstelle.
Gibt es Mechanismen die verhindern, dass ein fremder Teilnehmer einfach eine Verbindung über den VPN Port zu meinem Netz aufbauen kann ? klingt jetzt bestimmt dumm, aber ich habe davon jetzt nicht allzuviel Ahnung.
Wenn ja, könntest du mir da den ein oder anderen Begriff an den Kopf werfen, den ich mal recherchieren könnte ?
edit: kanns sein, dass einfach durch die Authentifizierung der Benutzer sichergestellt wird, ob es sich um den richtigen handelt ? xD
ich dachte daran, dass ich ja eine zusätze Verbindung in der Firewall einrichten muss, die von außen in mein Netzwerk aufgebaut werden darf... und das bedeutet für mich eine zusätzliche Schwachstelle.
Gibt es Mechanismen die verhindern, dass ein fremder Teilnehmer einfach eine Verbindung über den VPN Port zu meinem Netz aufbauen kann ? klingt jetzt bestimmt dumm, aber ich habe davon jetzt nicht allzuviel Ahnung.
Wenn ja, könntest du mir da den ein oder anderen Begriff an den Kopf werfen, den ich mal recherchieren könnte ?
edit: kanns sein, dass einfach durch die Authentifizierung der Benutzer sichergestellt wird, ob es sich um den richtigen handelt ? xD
Moin,
natürlich kann sich nicht "jeder" mit Eurem VPN verbinden, da läuft schon eine Athentifizierung und darauf folgend eine Autorisierung, die aber unterschiedlich implementiert sein kann. Natürlich kann auch versucht werden, das zu "knacken". Wenn alle beteiligten Stellen feste IPs haben, könnte man z. B. zusätzlich VPN-Verbindungen nur von diesen IPs annehmen - aber auch das ist kein 100%iger Schutz (IP-Spoofing).
Nach derzeitigem Kenntnisstand ist ein richtig konfiguriertes VPN aber hinreichend sicher. Absolute Sicherheit gibt es nicht (es könnte ja auch jemand bei Euch einbrechen, und in ein Netzwerkkabel einen Sniffer einschleifen, und nein, dies ist keine Anleitung...).
Grüße
natürlich kann sich nicht "jeder" mit Eurem VPN verbinden, da läuft schon eine Athentifizierung und darauf folgend eine Autorisierung, die aber unterschiedlich implementiert sein kann. Natürlich kann auch versucht werden, das zu "knacken". Wenn alle beteiligten Stellen feste IPs haben, könnte man z. B. zusätzlich VPN-Verbindungen nur von diesen IPs annehmen - aber auch das ist kein 100%iger Schutz (IP-Spoofing).
Nach derzeitigem Kenntnisstand ist ein richtig konfiguriertes VPN aber hinreichend sicher. Absolute Sicherheit gibt es nicht (es könnte ja auch jemand bei Euch einbrechen, und in ein Netzwerkkabel einen Sniffer einschleifen, und nein, dies ist keine Anleitung...).
Grüße
Moin,
die Frage ist etwas schwammig gestellt. Wenn ich natürlich in der Firewall sage "VPN eingehend von überall zulassen", dann nen User erstelle mit Usernamen "VPN", passwort "VPN" -> dann hab ich ne gewaltige Schwachstelle im System.
Meistens hat man aber bei Firmen (d.h. Site-to-Site-Netze) feste IPs. D.h. ich brauche in der Firewall die VPN-Verbindung nur von diesen IPs zulassen. Kommst du jetzt mit deiner dynamischen IP daher -> die Firewall kickt dich einfach raus.
Dazu kommt dann noch die Art der VPN-Verbindung. Hier kann ich komplexe Passwörter, Schlüsselverfahren mit z.B. 2048-Bit-Schlüsseln usw. nehmen. Grad wenn ich ein Schlüssel-Verfahren nehme dann hast du nichtmal eine Chance wenn du dich als mein VPN-Zielsystem ausgibst. Denn dann hast du nur einen Teil des Schlüssels - die andere hälfte fehlt dir. Sofern der Schlüssel dann noch an ne IP gebunden ist dürfte für dich definitiv Endstation sein...
Etwas anders sieht es natürlich aus wenn ich VPN-Verbindungen z.B. fürs Laptop nutze. Hier schaffe ich durchaus Lücken. Erstmal kann ich da keinen IP-Filter einsetzen -> wenn mein Chef sich vom Flughafen in Timbuktu einwählen will dann habe ich dessen IP nicht vorher. Und je größer die Bequemlichkeit sein soll umso größer ist die Lücke -> bis hin zum "Worst-Case": Chef sitzt am Laptop bei dem das Anmeldepasswort leer ist oder was sich automatisch anmeldet. Das Passwort fürs VPN ist gespeichert -> verliert der Chef das Notebook hast du ein ernstzunehmendes Problem...
Daher würde ich sagen: Ob eine VPN-Einrichtung die Sicherheit des Netzes beeinträchtigt hängt großteils davon ab wieviel die Person die es einrichtet davon versteht... Das ist nicht viel anders als nen Netzwerkkabel: Hast du nen "high-security-netz" dann hast du keine Netzwerkdosen belegt die nicht auch gebraucht werden, Rechner müssen sich am Switch authentifizieren,... Hast du den Worst-Case dann hast du nen Netz wo alles belegt ist, keine Kennwörter für User-Accounts vorhanden sind und das WLAN ungesichert in der Gegend rumfunkt (während es ne Reichweite bis zur Strasse / den nächsten 3 Etagen geht). Und je nachdem wie fähig der Admin ist wirst du irgendwo dazwischen liegen...
die Frage ist etwas schwammig gestellt. Wenn ich natürlich in der Firewall sage "VPN eingehend von überall zulassen", dann nen User erstelle mit Usernamen "VPN", passwort "VPN" -> dann hab ich ne gewaltige Schwachstelle im System.
Meistens hat man aber bei Firmen (d.h. Site-to-Site-Netze) feste IPs. D.h. ich brauche in der Firewall die VPN-Verbindung nur von diesen IPs zulassen. Kommst du jetzt mit deiner dynamischen IP daher -> die Firewall kickt dich einfach raus.
Dazu kommt dann noch die Art der VPN-Verbindung. Hier kann ich komplexe Passwörter, Schlüsselverfahren mit z.B. 2048-Bit-Schlüsseln usw. nehmen. Grad wenn ich ein Schlüssel-Verfahren nehme dann hast du nichtmal eine Chance wenn du dich als mein VPN-Zielsystem ausgibst. Denn dann hast du nur einen Teil des Schlüssels - die andere hälfte fehlt dir. Sofern der Schlüssel dann noch an ne IP gebunden ist dürfte für dich definitiv Endstation sein...
Etwas anders sieht es natürlich aus wenn ich VPN-Verbindungen z.B. fürs Laptop nutze. Hier schaffe ich durchaus Lücken. Erstmal kann ich da keinen IP-Filter einsetzen -> wenn mein Chef sich vom Flughafen in Timbuktu einwählen will dann habe ich dessen IP nicht vorher. Und je größer die Bequemlichkeit sein soll umso größer ist die Lücke -> bis hin zum "Worst-Case": Chef sitzt am Laptop bei dem das Anmeldepasswort leer ist oder was sich automatisch anmeldet. Das Passwort fürs VPN ist gespeichert -> verliert der Chef das Notebook hast du ein ernstzunehmendes Problem...
Daher würde ich sagen: Ob eine VPN-Einrichtung die Sicherheit des Netzes beeinträchtigt hängt großteils davon ab wieviel die Person die es einrichtet davon versteht... Das ist nicht viel anders als nen Netzwerkkabel: Hast du nen "high-security-netz" dann hast du keine Netzwerkdosen belegt die nicht auch gebraucht werden, Rechner müssen sich am Switch authentifizieren,... Hast du den Worst-Case dann hast du nen Netz wo alles belegt ist, keine Kennwörter für User-Accounts vorhanden sind und das WLAN ungesichert in der Gegend rumfunkt (während es ne Reichweite bis zur Strasse / den nächsten 3 Etagen geht). Und je nachdem wie fähig der Admin ist wirst du irgendwo dazwischen liegen...
Hallo MrMini,
ich schon wieder....
Der_Phil hat da schon recht, Du mußt alles kontrollieren was reinkommt, egal woher es kommt.
Das ist jetzt wahrscheinlich "ein Haufen Holz" sich noch durch Theorie und Praxis von TCP/IP und Ports durchzukämpfen.
Vielleicht hab ich da ein paar Gedanken dazu...
Stell Di vor Du besuchst die Web-Site von IBM.COM mit dem Browser. Das heißt laienhaft, daß Du "die gleiche Sprache" spechen mußt, wie Dein Gegenüber. Nur was ist die richtige Sprache? Nun das hängt davon ab, mit welchem Programm Du sprechen möchtest. (HTTP in dem Fall)
Ich geb zu IBM.COM war jetzt nicht das beste Beispiel, die haben schließlich nicht nur einen Server, aber stell Dir mal die kleine Schrauberklitsche an der Ecke vor...
Der hat einen Server in der Ecke stehen, da laufen der Webserver drauf (Für seine Homepage) und vielelicht auch noch der Mail-Server, vielleicht auch noch ein FTP-Server damit er Treiber zu verfügung stellen kann...
Aber mit welchen der drei "Dienste" die der Server (und der hat nur eine IP!) zur Verfügung stellt, willst Du sprechen?? Ports geben die Antwort, unterschiedliche Dienst laufen auf unterschiedlichen Ports...
An der Stelle, Da könntest Du schon eine Bremse reinhauen, Du kannst mit einer Firewall verhindern, daß Du überhaupt Kontakt mit jemanden aufnehmen kannst oder willst...
Wenn Du dann aber den Kontakt hast, ist es eine Frage der Authentifizierung, daß Du der bist, der Du vorgibst zu sein, um weitere Kommunikation zuzulassen.
Da gibt es jetzt auch verschiedene Verfahren (Biometrie, User/Password, Realtime-Response und was es da noch alles gibt)...
UND MERKE: Für jede Sperre gibt es eine Stelle, an der Du Sperre aushebeln kannst...
LG Roger
ich schon wieder....
Der_Phil hat da schon recht, Du mußt alles kontrollieren was reinkommt, egal woher es kommt.
Das ist jetzt wahrscheinlich "ein Haufen Holz" sich noch durch Theorie und Praxis von TCP/IP und Ports durchzukämpfen.
Vielleicht hab ich da ein paar Gedanken dazu...
Stell Di vor Du besuchst die Web-Site von IBM.COM mit dem Browser. Das heißt laienhaft, daß Du "die gleiche Sprache" spechen mußt, wie Dein Gegenüber. Nur was ist die richtige Sprache? Nun das hängt davon ab, mit welchem Programm Du sprechen möchtest. (HTTP in dem Fall)
Ich geb zu IBM.COM war jetzt nicht das beste Beispiel, die haben schließlich nicht nur einen Server, aber stell Dir mal die kleine Schrauberklitsche an der Ecke vor...
Der hat einen Server in der Ecke stehen, da laufen der Webserver drauf (Für seine Homepage) und vielelicht auch noch der Mail-Server, vielleicht auch noch ein FTP-Server damit er Treiber zu verfügung stellen kann...
Aber mit welchen der drei "Dienste" die der Server (und der hat nur eine IP!) zur Verfügung stellt, willst Du sprechen?? Ports geben die Antwort, unterschiedliche Dienst laufen auf unterschiedlichen Ports...
An der Stelle, Da könntest Du schon eine Bremse reinhauen, Du kannst mit einer Firewall verhindern, daß Du überhaupt Kontakt mit jemanden aufnehmen kannst oder willst...
Wenn Du dann aber den Kontakt hast, ist es eine Frage der Authentifizierung, daß Du der bist, der Du vorgibst zu sein, um weitere Kommunikation zuzulassen.
Da gibt es jetzt auch verschiedene Verfahren (Biometrie, User/Password, Realtime-Response und was es da noch alles gibt)...
UND MERKE: Für jede Sperre gibt es eine Stelle, an der Du Sperre aushebeln kannst...
LG Roger
ob durch den Einsatz von VPN weitere Sicherheitslücken entstehen.
Jup.
Doof gewählte VPN-Kennwörter,
unsicher konfigurierte Firewalls,
Implementations-Bugs in Firewalls und VPN-Software
Also im Prinzip das Übliche...
ihr habt mir alle schon sehr weitergeholfen !
am Wochenende werd cih dann noch ein Buch zu VPN durcharbeiten, um mir das ganze ein wenig näher zu bringen ^^
Vielen Dank für eure Zahlreichen Antworten !
am Wochenende werd cih dann noch ein Buch zu VPN durcharbeiten, um mir das ganze ein wenig näher zu bringen ^^
Vielen Dank für eure Zahlreichen Antworten !
Hallo,
die wichtigsten Punkte sind einfach:
Ist das VPN "sicher" eingerichtet (verschlüsselt, sichere Passworte bzw. Zertifikate, die nicht irgendwo "rumliegen"), ist es auch sehr sicher, dass kein Fremder dieses VPN nutzen kann. Verliert der gerne angesprochene Chef natürlich sein Notebook im Ausland mit den Passworten und/oder Zertifikaten, ist die Kacke natürlich am dampfen.
Steht das VPN und hast Du sicher gestellt, dass wirklich nur die entsprechende Endstelle den Key/das Zertifikat hat, ist die VPN-Geschichte erst einmal erledigt. Dann musst Du das VPN wirklich nur noch betrachten, wie ein LAN-Kabel. Durch das VPN kann erst einmal alles kommen. Was dann erlaubt ist, regelst Du nicht auf VPN-Ebene, sondern in einem stink normalen Firewall-Reglement.
Phil
die wichtigsten Punkte sind einfach:
Ist das VPN "sicher" eingerichtet (verschlüsselt, sichere Passworte bzw. Zertifikate, die nicht irgendwo "rumliegen"), ist es auch sehr sicher, dass kein Fremder dieses VPN nutzen kann. Verliert der gerne angesprochene Chef natürlich sein Notebook im Ausland mit den Passworten und/oder Zertifikaten, ist die Kacke natürlich am dampfen.
Steht das VPN und hast Du sicher gestellt, dass wirklich nur die entsprechende Endstelle den Key/das Zertifikat hat, ist die VPN-Geschichte erst einmal erledigt. Dann musst Du das VPN wirklich nur noch betrachten, wie ein LAN-Kabel. Durch das VPN kann erst einmal alles kommen. Was dann erlaubt ist, regelst Du nicht auf VPN-Ebene, sondern in einem stink normalen Firewall-Reglement.
Phil
