[PPTP] Encryptie tussen client en router

Pagina: 1
Acties:

  • RedCellNL
  • Registratie: September 2003
  • Laatst online: 11-04-2024
Goedenavond !

Ben sinds een aantal weken aan het orienteren op het PPTP protocol. Nu heb ik een vraag waar ik tot op heden geen antwoord op heb kunnen vinden. Namelijk in de volgende situatie:

client -> router -> INTERNET -> firewall -> vpn server -> netwerk


Nu is de vraag of het PPTP ook het verkeer tussen 'client -> router' en 'firewall - > vpn server -> netwerk' via encryptie loopt.

Iemand hier een antwoord op? De verschillende documentatie bieden me hier geen antwoord op.


Daarnaast heb ik de vraag hoe mensen de VPN verbinding hebben beveiligd met betrekking tot diefstal van bv. een laptop. De dief kan dan namelijk inloggen als de gebruiker zijn wachtwoord opslaat.

Werken de meeste mensen met tijdgebonden inlogtijden (bv van 18:00 tot 23:00) en IP nummers van thuiswerkers ?

En hoe hebben jullie afgeschermd dat gebruikers niet hun connectie kopieren naar een andere pc thuis? Zodat een onveilig systeem (virussen, spyware) deel uit maakt van het netwerk.


Hoop dat jullie me hier meer informatie over kunnen geven.

  • Equator
  • Registratie: April 2001
  • Laatst online: 17:36

Equator

Crew Council

#whisky #barista

Er vanuit gaande dat de client in jou verhaal de connectie opzet, dan moet je begrijpen dat de tunnel wordt gemaakt tussen de client, en de vpn server.

Alle verkeer die over die tunnel loopt, is dus 'beschermd' door de tunnel.
In jou verhaal, is alleen het verkeer vanaf de vpn server het netwerk op pas weer onbeschermd.

Let op, deze encryptie is geen hele heftige versleuteling. Hoe veilig deze verbinding is, hangt vooral af aan wat voor connecties de server accepteerd.

Wat betreft de opgeslagen wachtwoorden: Zorg dat deze niet opgeslagen kunnen worden. Kijk bij voorbeeld eens naar EAP/TLS. En dan vooral de mogelijkheid om met certificaten in te loggen.
En dan bedoel ik certificaten op een USB token, of een smartcard waarvoor je een pin code moet invoeren om de verbinding tot stand te brengen.

Er zijn echt verschrikkelijk veel mogelijkheden met EAP/TLS.

  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Kijk eens naar Middleware 2.3 van Vasco VACMAN. Dit werkt met OTP die een combinatie zijn van pincodes en een token. Je moet dus de laptop stelen, de pincode weten en de juiste token stelen om in te kunnen loggen.

Daarnaast is PPTP verkeer unencrypted en kan iedereen op het LAN en op Internet die 'in de stroom' zit lekker meekijken. Wil je je verkeer encrypten dan moet je een IPSec tunnel opzetten. Als je an een PPTP VPN hebt kun je er ook IPSec in transportmode overeen sturen. Dat ik ook encrypted. Houd er wel rekening mee dat je maar max. 1 VPN tunnel kan natten. Om dit te voorkomen moet de endpoint van de tunnel moet dus voor je outside interface zitten. Overigens zal door ipsec encryptie de troughput van je firewall met 60 tot 70% afnemen. (als je tenminste op de firewall termineert)

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.


  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37
sinds waneer is pptp unencrypted :? das echt grote onzin. tis niet superveilig maar unencrypted is het zeker niet

A wise man's life is based around fuck you


  • Taigu
  • Registratie: Februari 2002
  • Laatst online: 18-02 14:25
PPTP is standaard niet ge-encrypt. Je kan evt onder windows gewoon de optie "require encryption" aanzetten, dan heb je wel een gencrypte verbinding

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.


  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37
buddhole schreef op donderdag 10 maart 2005 @ 21:17:
PPTP is standaard niet ge-encrypt. Je kan evt onder windows gewoon de optie "require encryption" aanzetten, dan heb je wel een gencrypte verbinding
welke mafkees zet er dan ook een vpn op met pptp zonder dat encryptie vereist is :?

btw: windows XP zet per default 'require encryption' aan :)

[ Voor 10% gewijzigd door Zwelgje op 10-03-2005 21:44 ]

A wise man's life is based around fuck you


  • StevenK
  • Registratie: Februari 2001
  • Laatst online: 16:18
RedCellNL schreef op donderdag 10 maart 2005 @ 19:47:
Goedenavond !

Ben sinds een aantal weken aan het orienteren op het PPTP protocol. Nu heb ik een vraag waar ik tot op heden geen antwoord op heb kunnen vinden. Namelijk in de volgende situatie:

client -> router -> INTERNET -> firewall -> vpn server -> netwerk


Nu is de vraag of het PPTP ook het verkeer tussen 'client -> router' en 'firewall - > vpn server -> netwerk' via encryptie loopt.
Als je nou eens het osi-model erbij pakt en kijkt op welke doos er op welke laag welk protocol gepraat wordt, dan kun je ook zien waar je wel en niet je pptp draait en dus ook waar je alleen maar tcp of ip draait.

Was advocaat maar vindt het juridische nog steeds leuk. Doet tegenwoordig iets in de metaal.


  • Taigu
  • Registratie: Februari 2002
  • Laatst online: 18-02 14:25
@erik: True, maar niet iedereen heeft win xp :p MPPE gebruik je dan btw, maybe handig voor TS. Draytek *kuch* pptp VPN's vereisen standaard geen encryptie...
Houd er wel rekening mee dat je maar max. 1 VPN tunnel kan natten. Om dit te voorkomen moet de endpoint van de tunnel moet dus voor je outside interface zitten. Overigens zal door ipsec encryptie de troughput van je firewall met 60 tot 70% afnemen. (als je tenminste op de firewall termineert)
Ik weet niet waar je dit op baseert, maar dit verdient wat kanttekeningen. Uitgaande IPSec VPN's natten is zeer lastig voor de gemiddelde NAT router, meerdere IPSEC VPN's inkomend natten lukt vaak beter, als blijft een public subnetje gewenst. Definieer de term outside interface aub, ik neem aam dat je bedoelt voor je NAT. De troughput van je firewall afnemen zodra je IPsec gaat gebruiken ? Dat kun je niet zo zeggen, de troughput van je firewall is oa afhankelijk van de snelheid van de internetverbinding aan beide kanten van de tunnel, de encryptie- en authenticatiemethodes die je gebruikt en de hardwarespecs van de firewall zelf spelen ook aardig mee.

[ Voor 4% gewijzigd door Taigu op 10-03-2005 22:25 ]

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.


  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

buddhole schreef op donderdag 10 maart 2005 @ 22:24:
Ik weet niet waar je dit op baseert, maar dit verdient wat kanttekeningen. Uitgaande IPSec VPN's natten is zeer lastig voor de gemiddelde NAT router, meerdere IPSEC VPN's inkomend natten lukt vaak beter, als blijft een public subnetje gewenst.
idd. de goedkope routers hebben echt problemen met IPSec tunnels over NAT. Als je een wat professioneler model hebt, kun je NAT-T toe gaan passen om je IPSec over UDP te gaan doen.
Het probleem komt echter als je broadcast of multicast verkeer over je tunnel wilt voor o.a. OSPF/ RIPv2. Je moet dan een GRE tunnel met IPSec transport. De NAT Engine kan dan de tunnelinterfaces niet meer uit elkaar houden (omdat die allemaal de zelfde Source Address hebben).
Definieer de term outside interface aub, ik neem aam dat je bedoelt voor je NAT.
Je outside interface waar je NAT op toepast (waar dus de getransleerde pakketten uit gaan).
Als je hier de VPN termineert moeten de VPN users wel door de rulebase heen, maar hoeven de tunnels niet geNAT te worden.
De troughput van je firewall afnemen zodra je IPsec gaat gebruiken ? Dat kun je niet zo zeggen, de troughput van je firewall is oa afhankelijk van de snelheid van de internetverbinding aan beide kanten van de tunnel, de encryptie- en authenticatiemethodes die je gebruikt en de hardwarespecs van de firewall zelf spelen ook aardig mee.
Inderdaad is je internetverbinding een bottleneck. Bij authenticatiesmethodes ga ik uit van de veilige protocollen zoals 3DES en AES. Vervolgens maken de hardware specs niet uit. Zowel de dikste firewall als de kleinste firewall zal een afname van troughput laten zien als je hierop IPSec termineert. Wat ik echter wil zeggen is als je een FW hebt met bijv. een troughput van 80mbps, en je laat deze IPSec doen, dat je meestal maar rond de 20 a 30 mbps verkeer realtime kan encrypten. Beetje gouden regel principe, IPSec = +/- 33% van de normale FW troughput.

Cisco 525:
Cleartext = 330Mbps
AES = 135MBps
= 40%

Netscreen 208:
Cleartext = 550Mbps
3DES = 200MBps
= 36%

Astaro 220:
Cleartext =280Mbps
3DES = 105MBps
= 37%

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.

Pagina: 1