Tunnelingsprotocollen met encryptie - Privacy en beveiliging

donderdag 8 maart 2007 11:34

Acties:

Topicstarter

In verband met VPN, ben ik de tunnelingsprotocollen en versleutingstechnieken aan het bekijken.
Het gaat wel om de tunnelingsprocotocollen met encryptie.

Na een zoektocht (google/wikipedia) ben ik er achtergekomen dat er drie soorten zijn

Internet Protocol Security (IPSec),
Secure Shell (SSH)
Secure Sockets Layer (SSL),
PPTP, maar ik laat dat achterwege vanwege slechte beveiliging/encryptie

er zijn toch maar 3 soorten tunnelingsprotocollen met encryptie

Als ik VPN wil opzetten, dan moet ik keuze nemen uit drie soorten.

Wel ben ik achtergekomen dat IPSec (volgens Internet) niet alles kan beveiligen (UDP) en dat veel overhead oplevert.

SSL en SSH opereren wel op hetzelfde laag van OSI-model (applicatielaag)
Maar ik heb gemerkt dat SSH maar klein deel is. Als je meer wilde dan moet je andere programma's hebben (een schil om SSH).

Mijn vraag is eigenlijk, waarom zou ik SSL nemen in plaats van SSH/IPsec?

Mijn mogelijke antwoorden zijn:
- SSL is uitgewerkt
- Overal wordt het gebruikt
- Makkelijk te gebruiken

donderdag 8 maart 2007 11:37

Acties:

Andre_J

Zie openvpn

donderdag 8 maart 2007 11:40

Acties:

Silver7

Topicstarter

the_nowhereman schreef op donderdag 08 maart 2007 @ 11:37:
Zie openvpn

Nee, het maakt dan ook gebruik van protocollen enzo. Dus het valt dus af.
(ik had al gevonden)

donderdag 8 maart 2007 11:52

Acties:

Sa1

Silver7 schreef op donderdag 08 maart 2007 @ 11:40:
[...]

Nee, het maakt dan ook gebruik van protocollen enzo. Dus het valt dus af.
(ik had al gevonden)

Maar wat wil je in godsnaam bereiken? wil je een VPN verbinding opzetten? dan gebruik je dus lekker ipsec / pptp (valt wel mee hor hoe onveilig het is), overhead op ipsec merk je ook niet zo veel van als je gewoon wan verbindingen gebruikt...

wil je een secure website ofzo.. dan gebruik je toch lekker ssl...

donderdag 8 maart 2007 11:54

Acties:

DeeJee

Dus...

Sa1 schreef op donderdag 08 maart 2007 @ 11:52:
[...]
Maar wat wil je in godsnaam bereiken? wil je een VPN verbinding opzetten? dan gebruik je dus lekker ipsec / pptp (valt wel mee hor hoe onveilig het is), overhead op ipsec merk je ook niet zo veel van als je gewoon wan verbindingen gebruikt...

wil je een secure website ofzo.. dan gebruik je toch lekker ssl...

je bedoelt waarschijnlijk L2TP / IPSEC

Money for nothin' and your chicks for free

donderdag 8 maart 2007 12:56

Acties:

Silver7

Topicstarter

Sa1 schreef op donderdag 08 maart 2007 @ 11:52:
[...]
Maar wat wil je in godsnaam bereiken? wil je een VPN verbinding opzetten? dan gebruik je dus lekker ipsec / pptp (valt wel mee hor hoe onveilig het is), overhead op ipsec merk je ook niet zo veel van als je gewoon wan verbindingen gebruikt...

wil je een secure website ofzo.. dan gebruik je toch lekker ssl...

Ik ben er achtergekomen, dat SSL meer voor "mobiel zijn" voor bestandsoverdracht en IPSec meer gericht is op vaste verbindingen.

Waar ik op doelde, is het overbrengen van bestanden over een beveiligde lijn naar andere kant.
(lokatie A - lokatie B )

[ Voor 0% gewijzigd door Silver7 op 08-03-2007 12:58 . Reden: er was een smile bij B) ]

donderdag 8 maart 2007 13:05

Acties:

Boudewijn

omdat het kan

rsync over een SSH tunnel?

donderdag 8 maart 2007 13:14

Acties:

Maurits van Baerle

PPTP kan voor bepaalde situaties best veilig zijn hoor. Het hangt er vanaf wat je ermee wil.

Als je het nodig hebt voor mensen met laptops die af en toe eventjes een VPN tunnel met de zaak moeten opzetten om een paar bestanden op te halen vanuit een Starbucks dan is PPTP best te doen. Groot voordeel van PPTP is dat het vrij makkelijk met NAT en firewalls om gaat, best handig aangezien je geen invloed hebt op het accesspoint of firewall van je lokale Starbucks. IPSEC is daarin vaak wat lastiger.

Als je een permanente verbinding op gaat zetten tussen twee vestigingen van een bedrijf dan zou ik niet aan PPTP beginnen, dan is het inderdaad een beetje een risico. Bovendien heb je dan vaak ook invloed op de routers/firewalls op beide vestigingen dus kun je IPSEC daar redelijk makkelijk aan de praat krijgen.

Met SSH en SSL kan ik me niet aan de indruk ontrekken dat het oorspronkelijk min of meer hacks zijn. Encryptie die niet bedoeld is voor een VPN maar met wat trucs er wel voor te gebruiken is, als je perse geen IPSEC wil gebruiken.

In principe zou ik zeggen: IPSEC, tenzij je _hele_ goede redenen hebt om het niet te doen.

Het grote: DAB+ digitale radio topic / IPv6 topic / OpenWRT topic

donderdag 8 maart 2007 13:20

Acties:

TrailBlazer

Karnemelk FTW

ipsec is trouwens geen tunnelingsprotocol. Je bouwt wel een relatie op met een andere router maar het is geen tunnel. Voor elk pakketje komt gewoon een ipsec header.

SSL is een methode om een protocol secure te maken. denk dan aan HTTPS IMAPS POPS LDAPS

donderdag 8 maart 2007 14:25

Acties:

DeeJee

Dus...

TrailBlazer schreef op donderdag 08 maart 2007 @ 13:20:
ipsec is trouwens geen tunnelingsprotocol. Je bouwt wel een relatie op met een andere router maar het is geen tunnel. Voor elk pakketje komt gewoon een ipsec header.

SSL is een methode om een protocol secure te maken. denk dan aan HTTPS IMAPS POPS LDAPS

Je gebruikt L2TP/IPsec als tunnelingprotocol
Bij PPTP maak je geen gebruik van IPSec

http://www.microsoft.com/...a586847a247.mspx?mfr=true

Money for nothin' and your chicks for free

donderdag 8 maart 2007 14:28

Acties:

Silver7

Topicstarter

TrailBlazer schreef op donderdag 08 maart 2007 @ 13:20:
ipsec is trouwens geen tunnelingsprotocol. Je bouwt wel een relatie op met een andere router maar het is geen tunnel. Voor elk pakketje komt gewoon een ipsec header.

SSL is een methode om een protocol secure te maken. denk dan aan HTTPS IMAPS POPS LDAPS

Dat is toch al voldoende als je bestand via bepaalde protocol wilt versturen tussen twee of meer vestigingen.

Maurits van Baerle schreef op donderdag 08 maart 2007 @ 13:14:
PPTP kan voor bepaalde situaties best veilig zijn hoor. Het hangt er vanaf wat je ermee wil.

Als je het nodig hebt voor mensen met laptops die af en toe eventjes een VPN tunnel met de zaak moeten opzetten om een paar bestanden op te halen vanuit een Starbucks dan is PPTP best te doen. Groot voordeel van PPTP is dat het vrij makkelijk met NAT en firewalls om gaat, best handig aangezien je geen invloed hebt op het accesspoint of firewall van je lokale Starbucks. IPSEC is daarin vaak wat lastiger.

Als je een permanente verbinding op gaat zetten tussen twee vestigingen van een bedrijf dan zou ik niet aan PPTP beginnen, dan is het inderdaad een beetje een risico. Bovendien heb je dan vaak ook invloed op de routers/firewalls op beide vestigingen dus kun je IPSEC daar redelijk makkelijk aan de praat krijgen.

Met SSH en SSL kan ik me niet aan de indruk ontrekken dat het oorspronkelijk min of meer hacks zijn. Encryptie die niet bedoeld is voor een VPN maar met wat trucs er wel voor te gebruiken is, als je perse geen IPSEC wil gebruiken.

In principe zou ik zeggen: IPSEC, tenzij je _hele_ goede redenen hebt om het niet te doen.

Bedankt voor de heldere uitleg

Voor een permanente verbinding tussen de twee of meer vestigingen komt IPsec goed uit naar voren.
Maar door de prijs (onderhoudskosten etc) van IPsec kan juist ervoor zorgen dat SSL gebruikt wordt.

[ Voor 13% gewijzigd door Silver7 op 08-03-2007 14:29 ]

donderdag 8 maart 2007 14:48

Acties:

TrailBlazer

Karnemelk FTW

Silver7 schreef op donderdag 08 maart 2007 @ 14:28:
[...]

Dat is toch al voldoende als je bestand via bepaalde protocol wilt versturen tussen twee of meer vestigingen.

[...]

dat ligt er een beetje aan hoe je setup is. Het is vaak eenvoudiger om te zeggen dat het tunnel verkeer (vaak GRE) geencrypt wordt het verkeer wat dan in die tunnel zit is dan ook automatisch geencrypt