Hallo, welche echte Gefahr geht bei der Verwendung von PPTP für VPN aus? Und ich meine keine "theoretische 128bit sind unsicher aus. Was kann einem passieren, konkret und nicht NSA. Sondern bei Herr Huber und seinen 3 Rechnern ? :)
Im Kurzen Heise: https://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.html Und hier praktische Anwendung mit FPGAs: https://www.youtube.com/watch?v=qjBHTS6BKX4
:
Bearbeitet durch User
Zusätzlich zu den schon verlinkten Punkten: Die Authentifizierung ist nur in eine Richtung, vom Client zum Server. Der Server authentifiziert sich nicht gegenüber dem Client. Das ermöglicht Man-in-the-Middle-Angriffe: Du denkst Du verbindest Dich vom WLAN im Hotel oder am Flughafen in Dein Firmennetz. Das WLAN ist aber gecrackt und leitet die Verbindung zu den Angreifern um. Die nehmen jetzt Deine PPTP-Verbindung entgegen und akzeptieren jegliches Login oder Passwort. Im Client sieht es so aus als ob alles normal verbunden wäre. Jetzt willst Du Dich durch das VPN z.B. auf den Mailserver im Firmennetz verbinden. Das merkt der Angreifer und tut so, als ob er der Mailserver wäre. Er emuliert dafür einfach die gängigen Protokolle. Er fordert Plaintext-Authentifizeriung. Sehr viele Emailprogramme verwenden hier eine Auto-Erkennung. Wenn der Server nur Plaintext anbietet, nutzen sie halt das. Dann senden sie Nutzername und Passwort. Das dürfte in den meisten Fällen die selben Logindaten sein wie beim PPTP selbst. Schon hat der Angreifer alles was er braucht um sich selbst beim richtigen VPN anzumelden. Das selbe funktioniert genauso für Dateifreigabe per SMB, Remote Desktop und so weiter. Manchmal kommt eine Warnung daß der Server bisher unbekannt wäre, aber da das ja durch ein VPN hindurch ist denken sehr viel Nutzer erfahrungsgemäß daß das sicher ist und kein Problem darstellt und klicken auf weiter.
Inzwischen geht das Knacken auch schon schneller. Was spricht denn gegen OpenVPN?
Mw E. schrieb: > Was spricht denn gegen OpenVPN? Ist kein herstellerübergreifender Standard, sondern nur ein Programm, mit sich mit den Versionen ändernden Eigenschaften. Du musst daher auf Client und Server immer die selben Majorversionen nehmen. Das macht ein Upgrade unnötig schwer. Außerdem hast Du oft das Problem von TCP-in-TCP-Tunneling was Retransmit-Stürme verursacht. Ich empfehle daher eher IPSec. Das ist ein offener, herstellerübergreifender Standard. Jeder einigermaßen brauchbare Router oder Firewall kann das und es gibt für alle Plattformen mehrere Clients zur Auswahl. Wenn wegen NAT nicht ESP verwendet werden kann, wird in UDP getunnelt und damit keine Gefahr von Retransmit-Stürmen.
Gerd E. schrieb: > Mw E. schrieb: >> Was spricht denn gegen OpenVPN? > > Ist kein herstellerübergreifender Standard, Korrekt. Allerdings mittlerweile schon fast sowas wie ein "Industriestandard". > sondern nur ein Programm, > mit sich mit den Versionen ändernden Eigenschaften. Auch korrekt. > Du musst daher auf > Client und Server immer die selben Majorversionen nehmen. Wer sagt das? Wo steht das? Natürlich lassen sich Versionsinkompatibilitäten nicht immer völlig ausschließen, aber standardmäßig ist es gar kein Problem, wenn beide Seiten unterschiedliche Versionen haben. Viele der Optionen werden ausgehandelt. Wenn es hart auf hart kommt, und man vielleicht serverseitig weiß, dass da irgendein hornalter Client herumgeistert, der sich an irgendeinem neueren Feature verschlucken würde, kann man auch den Client-Script für diesen Client passend schneidern. > Außerdem hast Du oft das Problem von TCP-in-TCP-Tunneling was > Retransmit-Stürme verursacht. Deshalb vermeidet man auch TCP für den Tunnel. > Ich empfehle daher eher IPSec. IPsec ist auch nicht schlecht. Habe ich früher gemacht. Aber ich muss ehrlich zugeben, dass OpenVPN ihm bezüglich der Einfachheit der Konfiguration durchaus den Rang abgelaufen hat. Ein IPsec-Tunnel macht in den meisten Setups mehr Arbeit beim Einrichten. Und, let's face it: Einfachheit beim Einrichten ist genau das, weshalb sich das kryptographisch völlig idiotische PPTP so lange überhaupt gehalten hat. Insofern muss man es OpenVPN lassen, dass sie exakt an der richtigen Stelle angesetzt haben, um diesen alten Mist durch etwas Vernünftiges zu ersetzen.
Jörg W. schrieb: >> Du musst daher auf >> Client und Server immer die selben Majorversionen nehmen. > > Wer sagt das? Wo steht das? Bei irgendeinem der letzten größeren Versionssprünge (weiß leider nicht mehr genau welcher), konntest Du nicht alte und neue Clients auf dem selben Server betreiben, sonder musstest für die neuen Clients eine andere Portnummer nehmen. Das ist für ein kleines Netz vielleicht nicht so schlimm, aber wenn Du das als professioneller Hersteller in Dein Produkt integrieren willst, ist das ein absolutes no-go. Das zeugt von einer Herstellerpolitik die soetwas nicht bedenkt und beim nächsten mal evtl. auch wieder die Nutzer über die Klinge springen lässt. Bei IPSec kannst Du dagegen problemlos IKEv1 und IKEv2 über den selben Server laufen lassen und nach Lust und Laune vorwärts und rückwärts migrieren. So geht verlässlicher Standard. > IPsec ist auch nicht schlecht. Habe ich früher gemacht. Aber ich muss > ehrlich zugeben, dass OpenVPN ihm bezüglich der Einfachheit der > Konfiguration durchaus den Rang abgelaufen hat. Ein IPsec-Tunnel macht > in den meisten Setups mehr Arbeit beim Einrichten. Sehe ich anders. Beim OpenVPN werden die zu routenden Netze dynamisch ausgehandelt und übermittelt. Was in der Praxis dann in der Routingtabelle landet hängt unter anderem von der Reihenfolge ab, in der die Dinger aufgebaut wurden. Das kann zu extrem schwer zu debuggenden Problemen führen. Bei IPSec wird das ganze Routing daher zur Konfigurationszeit festgelegt und nur einmal in die Routingtabelle geladen. Es werden im Betrieb dann nur die SAs deaktiviert oder aktiviert, das hat aber keinen Einfluss auf den Weg der Pakete. Das macht das Ganze konsistent und nachvollziehbar.
Gerd E. schrieb: > Bei irgendeinem der letzten größeren Versionssprünge (weiß leider nicht > mehr genau welcher), konntest Du nicht alte und neue Clients auf dem > selben Server betreiben, sonder musstest für die neuen Clients eine > andere Portnummer nehmen. Das ist natürlich wirklich mehr als unschön. Habe ich so nicht mitbekommen. > Sehe ich anders. Beim OpenVPN werden die zu routenden Netze dynamisch > ausgehandelt und übermittelt. Kannst du aber über die Client-Scripts auch statisch vorgeben. Ich fand IPsec von der Idee her nicht schlecht (auch, dass es sauber standardisiert ist), aber es dann tatsächlich für einen Client auszurollen, hatte mir doch einiges an Arbeit gemacht. Hatte das damals mal zwischen mir zu Hause und der Firma als VPN aufgesetzt. Zuverlässig funktioniert hat es allerdings, gar keine Frage.
Statt PPTP empfiehlt sich der Einsatz von PVAC: http://www.chemgapedia.de/vsengine/vlu/vsc/de/ch/9/mac/andere/polyvinylacetat.vlu.html
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.