VPN Knackbar

[Harry_89]

Hallo,

ich hab gerade folgenden Artikel gefunden.

http://www.heise.de/newsticker/meld...kt-VPN-Passwoerter-in-24-Stunden-1654958.html

Ich hab gerade keine DS zur Hand aber meines Wissens nach kann die DS nur PAP & MS-CHAP v2 oder?

Dass ist meines Erachtens etwas beunruhigend.

Mfg

 

[jahlives]

DES gilt schon länger nicht mehr als ausreichend sicher. Drum wird bei den meisten WLAN-Routern heute ab Werk WPA2 mit AES eingestellt. AES gilt als sehr sicher und ist für die Verschlüsselung geheimer Dokumente ausreichend.
Setz also besser OpenVPN ein, denn dort hast du mindestens 3DES bzw AES als Algo und das reicht mehr als genug

 

[Elador]

Das macht mit gerade sehr grosse Angst!
OpenVPN ist allerdings keine Option, da nicht vom iPhone unterstützt...

Was habe ich für Alternativen?

Unter welchen Bedingungen kann denn jemand mit diesem Verfahren das PPTP VPN knacken?

 

[king_dingeling]

Das macht mit gerade sehr grosse Angst!
OpenVPN ist allerdings keine Option, da nicht vom iPhone unterstützt...

Sonst halt IPSec

 

[Matthieu]

Unter welchen Bedingungen kann denn jemand mit diesem Verfahren das PPTP VPN knacken?

Wirkliche Alternativen gibt es keine, aber solche gezielten Angriffe sind durchaus kostspielig und nicht gerade Alltag. Wenn du "nur" private Daten überträgst, sehe ich keinen Grund zur Sorge. Da wird dich wohl kaum jemand angreifen. Bei Unternehmen wo Informationssicherheit eine große Rolle spielt sollte das eh ein erfahrener Admin übernehmen.

MfG Matthieu

 

[Elador]

Sonst halt IPSec

IPSec auf der DS? Wie?

Wirkliche Alternativen gibt es keine, aber solche gezielten Angriffe sind durchaus kostspielig und nicht gerade Alltag. Wenn du "nur" private Daten überträgst, sehe ich keinen Grund zur Sorge. Da wird dich wohl kaum jemand angreifen. Bei Unternehmen wo Informationssicherheit eine große Rolle spielt sollte das eh ein erfahrener Admin übernehmen.

Also wenn ich es richtig verstehe, muss einmalig einer mich beim Handshake (sprich Verbindungsaufbau mit dem DS VPN Server) "belauschen", dann kann er (mit welchem Aufwand/Kosten auch immer) mein VPN Passwort entschlüsseln, und hat somit direkten Zugriff auf mein ganzes internes LAN, meine ganzen DS shares mit all meinen Daten (!!!) und alles was dazugehört!
Es geht also beileibe nicht "nur" um die Datenübertragung??? Oder verstehe ich da etwas falsch?

 

[Matthieu]

Man muss sich trotzdem noch gegenüber den Diensten der DS authentifizieren (sprich FTP, SMB, usw.).
Desweiteren ist es im Internet kein leichtes Unterfangen, sich zwischen die Verbindung zu hängen. Es wird wohl kaum jemand sich bei der Telekom hinstellen an den Switch/Router und darauf warten dass du mal ein VPN aufbaust.
Wenn man es so auf die Spitze treibt, muss man den Internetzugriff komplett sein lassen. Bei vielen anderen Diensten genügen deutlich kleinere Lücken für einen Vollzugriff.

MfG Matthieu

 

[Elador]

Man muss sich trotzdem noch gegenüber den Diensten der DS authentifizieren (sprich FTP, SMB, usw.).

Stimmt. Aber das VPN Passwort auf der DS ist doch das "user-passwort" sprich wenn einer das VPN passwort hat, hat er auch das zu meinen shares? Wenn ich es richtig sehe, kann man das Passwort für den VPN auch nicht ändern. Also wäre eine gute Lösung, für VPN einen separaten User zu erstellen mit separatem Passwort?

Desweiteren ist es im Internet kein leichtes Unterfangen, sich zwischen die Verbindung zu hängen.

Ok. Ausser natürlich in WLAN's (zB Hotels), oder? also genau dort, wo man egtl gerne meistens eine sichere VPN Verbindung hätte.
Wie siehts mit dem zwischenhängen bei einer 3G/HSPA Verbindung aus? Kommt man da leicht ran an die Pakete?

 

[Ap0phis]

Stimmt. Aber das VPN Passwort auf der DS ist doch das "user-passwort" sprich wenn einer das VPN passwort hat, hat er auch das zu meinen shares?

Gut beobachtet! ... wenn man es denn wirklich so macht!

Wenn ich es richtig sehe, kann man das Passwort für den VPN auch nicht ändern. Also wäre eine gute Lösung, für VPN einen separaten User zu erstellen mit separatem Passwort?

Das mache ich schon immer so, und alle anderen VPN-Zugänge - vor allem der admin(!) - sind gesperrt!

Das sind die geringsten Sicherheitsmaßnahmen, die man ohne Anstrengung selber realisieren kann.
Deshalb mache ich mir hier nicht die großen Sorgen. Privat schon gar nicht!

 

[Matthieu]

Das Thema offenes WLAN ist natürlich ein guter Einwand, aber wenn sich jemand neben dich setzt um an dein VPN zu kommen, ist es schon ziemlich weit. Da will dann jemand unbedingt an deine Daten. Der durchschnittliche Hacker im WLAN dürfte wohl eher auf "einfachen" Verkehr aus sein, sprich HTTP. Wenn der verschlüsselten VPN-Verkehr sieht, streicht er die Segel. Es sei denn er hat es speziell auf dich abgesehen.
Ausschließen kann man es trotzdem nicht, das ist richtig.

Funkverkehr ist zwar prinzipiell einfacher abfangbar als ein DSL-Anschluss, aber auch da ist enorme kriminelle Energie von Nöten. Bei UMTS/3G halte ich es für ziemlich schwer. Mir fällt da auf Anhieb nur ein dass sich jemand als Funkmast ausgibt. Bei LTE ist die Diskussion schon etwas größer, weil die Basisstationen da erstmals auch neben der Antenne auf dem (häufig leicht zugänglichen) Dach stehen dürfen. Bisher waren die stets im abgeschlossenen Keller zu finden.

MfG Matthieu

 

[Elador]

Das mache ich schon immer so, und alle anderen VPN-Zugänge - vor allem der admin(!) - sind gesperrt!

Vielen Dank für den Tipp! (dass man den admin sperrt sollte aber klar sein )

Das Thema offenes WLAN ist natürlich ein guter Einwand, aber wenn sich jemand neben dich setzt um an dein VPN zu kommen, ist es schon ziemlich weit. Da will dann jemand unbedingt an deine Daten. Der durchschnittliche Hacker im WLAN dürfte wohl eher auf "einfachen" Verkehr aus sein, sprich HTTP. Wenn der verschlüsselten VPN-Verkehr sieht, streicht er die Segel. Es sei denn er hat es speziell auf dich abgesehen.
Ausschließen kann man es trotzdem nicht, das ist richtig.

Wie gesagt geht es nicht darum, dass jemand meinen verschlüsselten Traffic im Hotel abhört, das ist mir doch piepegal (oder wie gesagt der Hacker nicht interessiert daran im Normalfall). Es geht darum, dass es sehr sehr einfach ist, Pakete mitzusniffen, und in 2 Sekunden hast du im Sniffer einen Filter erstellt, der dann halt entweder HTTP oder eben die VPN Handshakes anzeigt (im Plaintext). Und die kann man dann decrypten, und mit dem hat man dann Zugriff in mein internes Netz!

Funkverkehr ist zwar prinzipiell einfacher abfangbar als ein DSL-Anschluss, aber auch da ist enorme kriminelle Energie von Nöten. Bei UMTS/3G halte ich es für ziemlich schwer. Mir fällt da auf Anhieb nur ein dass sich jemand als Funkmast ausgibt. Bei LTE ist die Diskussion schon etwas größer, weil die Basisstationen da erstmals auch neben der Antenne auf dem (häufig leicht zugänglichen) Dach stehen dürfen. Bisher waren die stets im abgeschlossenen Keller zu finden.

Vielen Dank für die Erklärung!

MfG

 

[Matthieu]

Zum Knacken des VPN mit dem oben verlinkten Dienst ist IMHO mitgeschnittener Traffic (daher der Bezug zum WLAN) und ordentlich Zeit notwendig. Wenn ich mich nicht verlesen habe bis zu einem Tag. Es geht also nicht darum dass jemand binnen Sekunden oder auch nur Minuten den Traffic entschlüsseln kann.

MfG Matthieu

 

[P4ddy]

hier noch ein weiterer Artikel von Microdoof:

http://www.heise.de/newsticker/meldung/Microsoft-warnt-vor-PPTP-und-MS-CHAP-1671706.html