[2003] Veiligheid RAS VPN - Serversoftware en clouddiensten

vrijdag 13 januari 2006 16:13

Acties:

Topicstarter

Naar aanleiding van dit topic: [rml][ Exchange 2003] `Gegevens van Exchange server...' melding[/rml]

Ik had de situatie waarbij mijn RAS server voorzien was van een firewall. Deze firewall liet alleen verkeer van vertrouwde adressen door op poort 1723 (PPTP VPN). Iemand die zou willen proberen in te loggen op het netwerk zou dus niet door de firewall komen, en kan dus niet eens proberen om een wachtwoord te kraken.

Nu vraag ik me af of die firewall beveiliging nodig is? Omwille van de performance van o.a. Exchange wil ik die firewall er definitief af halen, maar alleen als ik (enigszins) zeker weet dat er niet teveel leaks, backdoors en vulnerabilities in RAS zitten.

Heeft iemand daar ervaring mee? Of inzicht in de betrouwbaarheid?

vrijdag 13 januari 2006 16:35

Acties:

Verwijderd

als je je machine zonder firewall direct aan internet gaat koppelen, zou vpn's mijn minste zorg zijn

vrijdag 13 januari 2006 17:28

Acties:

zneek

Topicstarter

Verwijderd schreef op vrijdag 13 januari 2006 @ 16:35:
als je je machine zonder firewall direct aan internet gaat koppelen, zou vpn's mijn minste zorg zijn

Ja doh, ik ben niet debiel

Hij hangt achter een packet filter (Linksys router)

[ Voor 5% gewijzigd door zneek op 13-01-2006 17:29 ]

vrijdag 13 januari 2006 17:42

Acties:

Verwijderd

zet je daar toch de iprestictie rules op over... of kan je alleen een simpele forward doen op port 1723 met die linksys?

verder lijkt me een simpele search wel te doen. pptp connecties zijn in principe vulnerable voor "man in the middle" attacks. Er zijn naar mijn weten geen exploits met ras, mits fully patched natuurlijk.

[ Voor 4% gewijzigd door Verwijderd op 13-01-2006 17:44 ]

zaterdag 14 januari 2006 17:08

Acties:

Rolfie

Waarom gebruik geen ISA firewall? Werkt goed en veilig. Tot zover ik weet heeft er in RRAS geen bugjes gezeten.

Hoeveilig is je linksys firewall, zitten daar geen bugs in? Of weet je dat niet.

Je kan je VPN verbinding ook nog beveiligen met een Lockout policy. Zit je goed.

Ik moet zeggen dat je wel erg ver gaat, VPN is een veilig protocol. Als je een Naam/Wachtwoord beveiliging hebt, dan is de beveiliging niet slecht, mits je niet een gemakkelijk wachtwoord hebt.
Menig bedrijf gebruikt het op deze mannier, ik geen gevallen van inbraak hiervan.
Je kan natuurlijk ook een Certificaat gebruiken als beveiliging.

zondag 15 januari 2006 12:36

Acties:

Taigu

VPN is een veilig protocol

VPN is geen protocol... Je kan met behulp van een aantal protocollen een VPN opbouwen.

Je kan prima VPN'en maar gebruik dan geen PPTP VPN's. SSL VPN's via OpenVPN of gebruik IPSec VPN's. De laatste met goede authenticatie(MD5/SHA-1) en encryptie (AES)

[ Voor 53% gewijzigd door Taigu op 15-01-2006 12:38 ]

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.

zondag 15 januari 2006 12:38

Acties:

Zwelgje

buddhole schreef op zondag 15 januari 2006 @ 12:36:
[...]

VPN is geen protocol... Je kan met behulp van een aantal protocollen een VPN opbouwen.

Je kan prima VPN'en maar gebruik dan geen PPTP VPN's. SSL VPN's via OpenVPN of gebruik IPSec VPN's.

och niets is veilig,

ipsec met DES encryptie is ook 3x niks

maar idd pptp heeft wat lekjes gehad (en nu nog) alleen het is wel makkelijk mbt nat routers thuis. ipsec wil wel eens lastig doen

A wise man's life is based around fuck you

zondag 15 januari 2006 12:38

Acties:

Taigu

Hij is al ge-edit

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.

zondag 15 januari 2006 19:07

Acties:

zneek

Topicstarter

Mmm, misschien tijd om een betere oplossing te zoeken. Ik heb al een paar keer naar IPsec zitten loeren, maar eens doorzetten denk ik. Stel dat ik dat doe, kan ik dan nog wel mijn huidige setup blijven hanteren? internet -> linksys router -> LAN-verbinding server? Oftewel, kan zon standaard router IPsec passthrough zoals nu met PPTP?

zondag 15 januari 2006 19:09

Acties:

Zwelgje

let wel dat je eindgebruiker niet altijd een ipsec tunnel kunnen opbouwen (hangt van de router van hun kant af)

dat is het voordeel van pptp, die hebben geen last van nat routers

A wise man's life is based around fuck you

zondag 15 januari 2006 19:10

Acties:

alt-92

ye olde farte

alleen last van overlappende IP ranges (overal speeddrollen op standaard 10.0.0.x reeksen

<< praktijkgevalletje)...

routeert niet zo

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 16 januari 2006 12:29

Acties:

Verwijderd

zneek schreef op zondag 15 januari 2006 @ 19:07:
Mmm, misschien tijd om een betere oplossing te zoeken. Ik heb al een paar keer naar IPsec zitten loeren, maar eens doorzetten denk ik. Stel dat ik dat doe, kan ik dan nog wel mijn huidige setup blijven hanteren? internet -> linksys router -> LAN-verbinding server? Oftewel, kan zon standaard router IPsec passthrough zoals nu met PPTP?

yup dat kan, alleen moet je AH uitzetten, waardoor het imho weer net zo veilig wordt als pptp.
of je moet je tunnel laten stoppen op je router als dat mogelijk is, maar ook dat kan problemen geven als zoals hierboven (zwelgje) al gezegd werd.

maandag 16 januari 2006 18:10

Acties:

Taigu

Routers hebben het tegenwoordig steeds vaker ipsec passtrough voor serverzijde. Routers aan de client zijde is niet zo'n probleem imho, desnoods NAT-Traversal aanketsen.

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.

maandag 16 januari 2006 19:50

Acties:

alt-92

ye olde farte

alleen is dat nog steeds erg iffy als aan beide kanten een NATtende router staat....

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 19 januari 2006 22:34

Acties:

zneek

Topicstarter

Kort vraagje. Aan de serverkant, welke poorten moet ik forwarden zodat L2TP er goed doorkomt? Voor PPTP had ik alleen 1723 geforward, is voor L2TP 1701 voldoende? Of moet er nog meer?