[Meatwad]

hi,
*gg* schonwieder eine frage meinerseits...

kann mir jemand einen sicheren VPN-server nennen? am besten auchnoch irgendein client.
also der braucht jetzt nicht irgendwie ne ultra-verschlüsselung oder soetwas, aber schon, dass nicht jedes scrptkiddy in mein netzwerk kommt.

Meatwad

[[U]nixchecker]

Für was benötigst du überhaupt vpn?

Ich hab hier sogar ne Hardwarefirewall mit VPN, habs noch nie benützt, da ich entweder alles mit ssh mache oder unter Windows über RDP was beides ja verschlüsselt ist.

[Meatwad]

damit en freund und ich praktisch aufeinander zugreifen können und wir nicht FTP verwenden müssen, denn im windows-explorer ists dann doch einfacher als mim FTP.

und halt auch wenn ich im urlaub bin oder so. ich weiß, FTP ist ne gute alternative aber für meine zwecke keine atraktive lösung ;-)

und für remots ists es halt so, dass ich vorher nicht weiß, auf welchen pc ich ne remote brauch und so...

Dieser Beitrag wurde von Meatwad bearbeitet: 14. Oktober 2005 - 06:18

[[U]nixchecker]

[QUOTE]damit en freund und ich praktisch aufeinander zugreifen können und wir nicht FTP verwenden müssen, denn im windows-explorer ists dann doch einfacher als mim FTP.[QUOTE]

Ja aber da ist doch ssh viel besser, denn der Vorteil ist, bei nem VPN musst du ja immer bei dem PC-Client den du benutzt erst die VPN connection konfigurieren bei ssh nicht, einfach passwort eingeben.
Explorer like bekommste es ja mit WinSCP: [url="http://winscp.net/eng/docs/screenshots"]http://winscp.net/eng/docs/screenshots[/url]

Willste du von nem Linuxclient mit kde connecten, dann nutzt du einfach den Konqueror und gibst:

fish://ip

oder

fish://meindyndns.nu

ein

[QUOTE]und halt auch wenn ich im urlaub bin oder so[/QUOTE]

Ja eben, möchtest du im Urlaub in nem Internet Cafe VPN einrichten?

Da nimmst du nen USB Stick mit WinSCP drauf und das wars.

VPN ist erst interessant, wenn du Netze mit einander Verbinden willst, sprich du hast ein Netz mit mehreren Rechner und auf der anderen Seite auch, dann macht VPN Sinn.

[Meatwad]

ja, das ist es ja. mein freund hat ein netzwerk und ich. aber ich werde das auchmal mit ssh versuchen, möcht aba auch VPN ham.

[Nick_Speed]

Zitat

nixchecker' date='13.10.2005, 21:51' post='488542']
Für was benötigst du überhaupt vpn?

Ich hab hier sogar ne Hardwarefirewall mit VPN, habs noch nie benützt, da ich entweder alles mit ssh mache oder unter Windows über RDP was beides ja verschlüsselt ist.

Was weisst Du denn ueber die Verschluesselung bei RDP? Ich weiss, dass die selbe Verschluesselung zum Einsatz kommt wie bei WEP. Und ueber die Implementierung laesst Microsoft nicht viel verlauten. Wenn sie so fehlerbehaftet implementiert wurde wie bei WEP kannst Du es auch lassen. Und weisst Du auch in welche Richtung die Verschluesselung zum Einsatz kommt? Ach und ich glaube letztens etwas ueber eine Schwachstelle in den Terminaldiensten gelesen zu haben, mit der Du Deinen Rechner "remote" neustarten kannst...

[puppet]

Naja beim MS RDP ist aber nicht so eine schöne Angriffsfläche gegeben wie bei WEP
Und direkte Angriffe zur entschlüsselung einer RDP Session sind mir noch nicht untergekommen, ausserdem kann ja er wenn es 2k/XP/Srv2k3 Rechner sind (RDP-Server und RDP-Client) einfach IPSec-ESP benutzen.

@Meatwad: Du kannst ja mal einen Blick auf OpenVPN werfen. Da gibt es auch Windows Clients.

Dieser Beitrag wurde von puppet bearbeitet: 15. Oktober 2005 - 19:18

[Nick_Speed]

Zitat (puppet: 15.10.2005, 20:17)

Naja beim MS RDP ist aber nicht so eine schöne Angriffsfläche gegeben wie bei WEP
Und direkte Angriffe zur entschlüsselung einer RDP Session sind mir noch nicht untergekommen

Nicht? Schaust Du hier: http://www.oxid.it/d...ads/rdp-gbu.pdf und hier: http://www.heise.de/...kel/print/61945

[puppet]

Zitat (Nick_Speed: 15.10.2005, 22:45)

Nicht?

Nein, hab' auch ehrlich gesagt nie wirklich danach gesucht, weil ich persönlich RDP nur zur verwaltung benutze, und Protokolle/Sessions/Verbindungen die der Verwaltung dienen sollte man ja sowieso extra absichern und wie schon erwähnt will der Op das ja sowieso alles (vorblidlich) über ein VPN machen.

Selbst wenn nicht gibt es ja seit Windows 2000 auch IPSec/ESP - und ohne Absicherung wäre das sicher genauso fahrlässig wie einen Router über Telnet oder HTTP zur administrieren.
Zumal ARP-Spoofing über das Internet sowieso so eine Sache ist und in Firmennetzwerken mit (nicht-Hobby)-Administration gibt es sowieso VLANs (oder wenn das Geld dafür nicht reicht Port Based MAC-ACLs oder IPSec).

Aber danke für die Links

[[U]nixchecker]

@Nick_Speed, thanks für die Links, wusste ich auch noch nicht, aber so unsicher fühle ich mich noch nicht, da ne man in the middle Attack schon einiges vorraussetzt und der Attacker im günstigsten Fall mein Passwort für den Useraccount auf meinem Server mitlesen könnte, er aber damit nix anfangen könnte, weil meine Firewall auf dem RDP Port nur connects von bestimmten IPs zulässt:-)

[C2KXDeaf]

Es wäre nicht schlecht:
VPN-Verbindung mit
L2TP Protokoll + Authentifizierung MS CHAT V2 + IPSec, ESP 3DES + MPPC Komprimierung + eigene (vorinstallierten) Schlüssel (für IPSec)

Mehr Info? Google + obengenannte Stichwörter suchen
;-)

[[U]nixchecker]

@C2KXDeaf:

Hat meiner alles und sogar AES 256 Verschlüsselung, guckst du hier, der Client zu meiner Firewall/Router:

http://www.netgear.c...N01L_VPN05L.php

Dieser Beitrag wurde von [U]nixchecker bearbeitet: 16. Oktober 2005 - 01:10

[C2KXDeaf]

Nur für "Preset configuration files available for NETGEAR VPN/Firewall routers" sind möglich oder? AES 256 klingt schön. Ansonsten reicht mir noch aus. ^^ (Bemerkung: Ich habe keine Router-Hardware. Das bringt kein Thema weiter.)

Dieser Beitrag wurde von C2KXDeaf bearbeitet: 16. Oktober 2005 - 09:53

[Rika]

Zitat

Port Based MAC-ACLs

Und andere Lächerlichkeiten. Du willst IEEE 802.1X.

Zitat

L2TP Protokoll + Authentifizierung MS CHAT V2 + IPSec, ESP 3DES + MPPC Komprimierung + eigene (vorinstallierten) Schlüssel (für IPSec)

Naja, fast richtig. Zwischen L2TP und IPSec liegt dann PPP, wo du neben einer initialen Authentifzierung der Leitung auch Verschlüsselung verwendet solltest, ansonsten werden die PPP-Header unverschlüsselt übertragen.
Dann wiederum hast du das Problem, daß das nahezu nirgendwo interoperabel ist.

Außerdem ist diese Protokollberg verdammt schwer zu verwalten.
Deshalb lieber intern IPSec im Transport Mode und extern alles mit OpenVPN, am Gateway terminierend.

[puppet]

Zitat (Rika: 16.10.2005, 15:17)

Und andere Lächerlichkeiten. Du willst IEEE 802.1X.

Ja, 802.1X wäre natürlich ideal, wobei das wieder mit mehr Aufwand verbunden wäre, zumal PB MAC-ACLs (keine schwachsinnigen IP-ACLs wie es einige billig-Hersteller anbieten) am Switch im wired LAN ja wunderbar das ARP Spoofing Problem löst und sich dies auch im Gegensatz zu 802.1X ohne größeren Aufwand (in kleineren LANs) einrichten lässt.

Dieser Beitrag wurde von puppet bearbeitet: 16. Oktober 2005 - 14:29