Is PPTP veilig genoeg? (in deze specifieke case) - Netwerken

Vraag

donderdag 2 mei 2019 16:27

Acties:

0 Henk 'm!

Topicstarter

Ik ben eigelijk (terug) uitgekomen bij PPTP omdat ik 1: een universeel bruikbare vpn nodig heb -(win/android/ios/mac/linux,...), dus SSTP viel al af.
Een 2e voorwaarde was dat er maar 1 poort open mag, hierdoor viel l2tp/ipsec ook af.
Als laatste moest het zo simpel mogelijk en zo snel mogelijk op te zetten zijn, dus daarmee kwam ook mijn originele OpenVPN idee aan zijn einde.

De keuze werd dus een beetje voor mij gemaakt om te blijven zitten met PPTP.

De vpnverbinding zal verbinding voorzien van een client naar een server (logisch), maar op deze server zal er maar 1 poort beschikbaar zijn (2384X), en ALLE verkeer dat over deze poort loopt is reeds geëncrypteerd.
De software die deze encryptie doet heeft een securityaudit ondergaan en is als veilig beschouwd en er is ook 2FA nodig om te kunnen verbinden met de software.

De software op windows/mac/android/ios/linux is ook de enige software die deze data kan decrypten (voor zover wij weten).

Dus zelfs ALS iemand het zou lukken om de PPTP verbinding te "hacken" kan hij in principe nog niks met de zichtbare packets doen.(?)

Kan ik met deze stellingen aannemen dat PPTP veilig "genoeg" is in deze case?

Alle reacties

donderdag 2 mei 2019 16:31

Acties:

0 Henk 'm!

HKLM_

Als je PPTP wilt kan je net zo goed geen vpn gebruiken.... en als alles toch al encryptie doet en een securityaudit ondergaan en is als veilig beschouwd. Kan je net zo goed de port direct open zetten voor de IP range waarvan je toegang wilt hebben. PPTP is dan gewoon een schijn veiligheid!

[ Voor 97% gewijzigd door HKLM_ op 02-05-2019 16:42 ]

Cloud ☁️

donderdag 2 mei 2019 16:42

Acties:

0 Henk 'm!

Paul

1) het verkeer van de applicatie is al encrypted
2) Om in te loggen op die server wordt 2FA afgedwongen

Wat probeer je aan beveiliging toe te voegen door er een VPN omheen te zetten? Het doel van een VPN is verkeer encrypten en gebruikers authenticeren...

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

donderdag 2 mei 2019 16:43

Acties:

+1 Henk 'm!

Ryan800

Sorry maar als OpenVPN niet eenvoudig genoeg is denk ik niet dat je überhaupt moet beginnen aan een VPN. Met een beetje CLI ervaring heb je een OpenVPN server zo geconfigureerd op bijvoorbeeld een EdgeRouter middels UBNT's eigen documentatie.

Ik weet natuurlijk niet waar je de VPN server op wilt draaien, als je daar misschien wat meer over kunt zeggen dan kunnen we iets specifieker ingaan op het eenvoudig opzetten. Een van de meest snelle en eenvoudige manier om een OpenVPN instantie op te zetten is bijvoorbeeld PFSense.

donderdag 2 mei 2019 17:46

Acties:

0 Henk 'm!

laurens0619

Begin niet aan pptp maar investeer in een veiliger alternatief.

Een vpn verbinding geeft je meestal tot een heel netwerk, niet slechts 1 applicatie. Mocht de vpn gehackt worden dan kunnen ze dus bij het hele netwerk dat beschikbaar wordt gesteld door de vpn.

Een voetnoot is wel dat pptp exploit nu ook weer niet zo eenvoudig is te misbruiken als bijvoorbeeld eternalblue op een open smb poort. Je loopt alleen risico als je een vpn verbinding opbouwt en op hetzelfde moment een aanvaller actief is op hetzelfde netwerk en een mitm uitvoert. Klinkt allemaal heel technisch maar als je bv de vpn alleen direct vanaf een 4g verbinding opbouwt is het risico dat iemand je verbinding kan hacken nihiel.

De alternatieven zijn niet alleen vele malen beter maar ook veiliger. Pptp en GRE kunnen echt een kriem zijn om (achter nat) in te richten. Ga voor l2tp of openvpn

CISSP! Drop your encryption keys!

donderdag 2 mei 2019 17:58

Acties:

0 Henk 'm!

lier

MikroTik nerd

Port forward met IP filter geen optie?

Eerst het probleem, dan de oplossing

donderdag 2 mei 2019 18:18

Acties:

0 Henk 'm!

Trommelrem

PPTP is terecht deprecated. Je kunt het dus wel gebruiken, maar het kan zomaar zijn dat bij de eerstvolgende update van een random device het ineens niet meer werkt.

donderdag 2 mei 2019 19:16

Acties:

0 Henk 'm!

starfight

Topicstarter

Ryan800 schreef op donderdag 2 mei 2019 @ 16:43:
Sorry maar als OpenVPN niet eenvoudig genoeg is denk ik niet dat je überhaupt moet beginnen aan een VPN. Met een beetje CLI ervaring heb je een OpenVPN server zo geconfigureerd op bijvoorbeeld een EdgeRouter middels UBNT's eigen documentatie.

Ik weet natuurlijk niet waar je de VPN server op wilt draaien, als je daar misschien wat meer over kunt zeggen dan kunnen we iets specifieker ingaan op het eenvoudig opzetten. Een van de meest snelle en eenvoudige manier om een OpenVPN instantie op te zetten is bijvoorbeeld PFSense.

OpenVPN is inderdaad makkelijk genoeg op te zetten, maar wij zijn distributeur, en moeten het gaan uitleggen aan installateurs (veelal zonder IT kennis) hoe zij certificaten moeten importen in ios/android/windows, en dat is gewoon onbegonnen werk. Daarom is de keuze gemaakt om vpn te voorzien enkel gebruikersnaam/paswoord.
Het moet wel (vanuit marketing) een VPNverbinding zijn, aangezien dat een buzzword is.

We gebruiken hiervoor een Mikrotik Hex S, dus zelf had ik ook liefst gewerkt met openvpn, maaar helaas, te omslachtig voor eindgebruikers.

donderdag 2 mei 2019 19:17

Acties:

0 Henk 'm!

starfight

Topicstarter

laurens0619 schreef op donderdag 2 mei 2019 @ 17:46:
Begin niet aan pptp maar investeer in een veiliger alternatief.

Een vpn verbinding geeft je meestal tot een heel netwerk, niet slechts 1 applicatie. Mocht de vpn gehackt worden dan kunnen ze dus bij het hele netwerk dat beschikbaar wordt gesteld door de vpn.

Een voetnoot is wel dat pptp exploit nu ook weer niet zo eenvoudig is te misbruiken als bijvoorbeeld eternalblue op een open smb poort. Je loopt alleen risico als je een vpn verbinding opbouwt en op hetzelfde moment een aanvaller actief is op hetzelfde netwerk en een mitm uitvoert. Klinkt allemaal heel technisch maar als je bv de vpn alleen direct vanaf een 4g verbinding opbouwt is het risico dat iemand je verbinding kan hacken nihiel.

De alternatieven zijn niet alleen vele malen beter maar ook veiliger. Pptp en GRE kunnen echt een kriem zijn om (achter nat) in te richten. Ga voor l2tp of openvpn

Hier hebben we geluk dat deze server (draaiende op een mikrotik hex S) achter een bestaand netwerk komt, en enkel en alleen 1 server die we volledig in beheer hebben toegankelijk is via de VPN.

Het is eerder in de richting van: marketing wil dat we VPN verkopen want VPN=veiligheid maar het mag niet te moeilijk zijn.

donderdag 2 mei 2019 19:35

Acties:

+1 Henk 'm!

HKLM_

starfight schreef op donderdag 2 mei 2019 @ 19:16:
[...]

OpenVPN is inderdaad makkelijk genoeg op te zetten, maar wij zijn distributeur, en moeten het gaan uitleggen aan installateurs (veelal zonder IT kennis) hoe zij certificaten moeten importen in ios/android/windows, en dat is gewoon onbegonnen werk. Daarom is de keuze gemaakt om vpn te voorzien enkel gebruikersnaam/paswoord.
Het moet wel (vanuit marketing) een VPNverbinding zijn, aangezien dat een buzzword is.

We gebruiken hiervoor een Mikrotik Hex S, dus zelf had ik ook liefst gewerkt met openvpn, maaar helaas, te omslachtig voor eindgebruikers.

Up-to-date ios devices kunnen niet eens meer verbinding maken via PPTP dus daar heb je al een uitdaging.

Cloud ☁️

donderdag 2 mei 2019 19:37

Acties:

+1 Henk 'm!

starfight

Topicstarter

HKLM_ schreef op donderdag 2 mei 2019 @ 19:35:
[...]

Up-to-date ios devices kunnen niet eens meer verbinding maken via PPTP dus daar heb je al een uitdaging.

ah damn dat was ik nog niet te weten gekomen...

donderdag 2 mei 2019 19:45

Acties:

0 Henk 'm!

laurens0619

Als het om marketing gaat, gebruik dan helemaal geen pptp. Als ik zon bedrijf zou tegenkomen tijdens een sourcing proces dan zou er (wellicht onterecht) een red flag omhoog gaan. Eerder negatieve reclame dus

Dan blijven l2tp en openvpn over
Voorseel van openvpn is dat je het (transparant) op 443 kan draaien waardoor het vanaf veel locaties werkt. Nadeel is dat je wel een app nodig hebt

L2tp client zit ingebouwd in bijna ieder os maar je hebt meer en afwijkende (udp) poorten (en kan wat meer gedoe zijn achter nat)

CISSP! Drop your encryption keys!

donderdag 2 mei 2019 20:04

Acties:

+1 Henk 'm!

Ryan800

starfight schreef op donderdag 2 mei 2019 @ 19:16:
[...]

OpenVPN is inderdaad makkelijk genoeg op te zetten, maar wij zijn distributeur, en moeten het gaan uitleggen aan installateurs (veelal zonder IT kennis) hoe zij certificaten moeten importen in ios/android/windows, en dat is gewoon onbegonnen werk. Daarom is de keuze gemaakt om vpn te voorzien enkel gebruikersnaam/paswoord.
Het moet wel (vanuit marketing) een VPNverbinding zijn, aangezien dat een buzzword is.

We gebruiken hiervoor een Mikrotik Hex S, dus zelf had ik ook liefst gewerkt met openvpn, maaar helaas, te omslachtig voor eindgebruikers.

Ik gebruik persoonlijk meestal all-in-one .ovpn config files waar de certificaten bij in zitten. Dit heeft voor mij tot nu toe nog altijd goed gewerkt met de standaard OpenVPN clients. Wellicht is dat een optie om het eenvoudiger te maken voor de installateurs/eindgebruikers. Zo hoef je enkel die config file in te laden en kun je aan de slag.

donderdag 2 mei 2019 20:40

Acties:

+3 Henk 'm!

Glashelder

Anti Android

Wat is dat voor een rare eis dat er maar 1 poort "open" mag

Lijkt me typisch een eis die gesteld wordt juist om een infrieur protocool als PPTP af te dwingen

Lekker laten vallen die eis en L2TP gebruiken. Die poorten hoeven alleen aan jullie kant toegelaten te worden op je Mikrotik. Bij de clients hoef je niets te doen, behalve een serveradres, gebruikersnaam, wachtwoord en "secret" op te geven. Dat is toch niet zo ingewikkeld?

Als ik mensen met dat soort rare eisen aan mijn bureau krijg dan stuur ik ze gewoon weg. Ga maar eens onderbouwen waar zo'n rare eis vandaan komt.

[ Voor 14% gewijzigd door Glashelder op 02-05-2019 20:42 ]

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

donderdag 2 mei 2019 20:43

Acties:

0 Henk 'm!

WeHoDo

Je kan ook een script maken die alles voor je regelt en installeert op de cliënt kant.

PSN: plexforce (ps4)

donderdag 2 mei 2019 20:45

Acties:

0 Henk 'm!

triet

Ik zou me eens verdiepen in Wireguard als ik jou was. Simpel op te zetten, cross-platform, 1 poort (udp) nodig.

donderdag 2 mei 2019 20:45

Acties:

0 Henk 'm!

johnkeates

Je kan nog beter Wireguard zonder audit draaien dan PPTP.

PPTP gewoon niet gebruiken. Dan maar geen VPN.

OpenVPN kan je ook gewoon single-file installeren. Koop een licentie voor OpenVPN-AS als je dat niet kan automatiseren, dan heb je commerciele support en hoeven de clients alleen maar 1 configuratie bestand (die gebundeld zit met de client!) te gebruiken en hun username+password.

Voor de rest is het meerwerk van meerdere poorten gebruiken nou ook weer niet zo groot. Als je 1 poort kan gebruiken is 2 poorten gebruiken letterlijk copy-paste.

[ Voor 17% gewijzigd door johnkeates op 02-05-2019 20:46 ]

maandag 6 mei 2019 10:44

Acties:

0 Henk 'm!

nescafe

starfight schreef op donderdag 2 mei 2019 @ 16:27:
Een 2e voorwaarde was dat er maar 1 poort open mag, hierdoor viel l2tp/ipsec ook af.

Is dat zo?

Voor L2TP hoef je alleen poort 500 of 4500 (NAT) publiekelijk te openen. Vervolgens sta je op poort 1701 alleen versleuteld verkeer toe op basis van een vastgestelde vertrouwde ipsec-sessie.

Het volledig openzetten van poort 1701 is onnodig en wordt helaas te vaak gewoon gedaan.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

dinsdag 7 mei 2019 08:29

Acties:

0 Henk 'm!

Rolfie

@starfight je weet dat dat je voor pptp ook het GRE protocol open moet zetten?

dinsdag 7 mei 2019 09:06

Acties:

0 Henk 'm!

starfight

Topicstarter

Rolfie schreef op dinsdag 7 mei 2019 @ 08:29:
@starfight je weet dat dat je voor pptp ook het GRE protocol open moet zetten?

Op een degelijke router/firewall inderdaad pptp passthrough wat ook ingeschakeld moet, maar bij een standaard telenet/proximus verbinding niet, en daarop is dit ook gericht.

dinsdag 7 mei 2019 19:01

Acties:

0 Henk 'm!

Glashelder

Anti Android

Waarom ga je niet in op de vraag waar die rare “één poort” eis vandaan komt?

Of is het een eis van jou?

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

woensdag 8 mei 2019 14:33

Acties:

0 Henk 'm!

starfight

Topicstarter

Glashelder schreef op dinsdag 7 mei 2019 @ 19:01:
Waarom ga je niet in op de vraag waar die rare “één poort” eis vandaan komt?

Of is het een eis van jou?

Neen, die eis komt van zowel mn baas als van installateurs, helaas zijn residentiele klanten bij telenet veroordeelt tot ene maximum aantal portforwarding, en verschillende keren zijn we daar al tegenaan gelopen als we zelf maar 1 poort willen openstellen.
Momenteel is dit maximum 10 poorten...

Afbeeldingslocatie: https://i.imgur.com/2jv2QD1.png

Afbeeldingslocatie: https://i.imgur.com/2jv2QD1.png

woensdag 8 mei 2019 14:52

Acties:

0 Henk 'm!

Paul

Heeft iedere klant een eigen server waar ze naartoe gaan verbinden of zo? Want aan de client kant hoef je helemaal geen port forwards te maken voor een VPN.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

woensdag 8 mei 2019 14:54

Acties:

0 Henk 'm!

starfight

Topicstarter

Paul schreef op woensdag 8 mei 2019 @ 14:52:
Heeft iedere klant een eigen server waar ze naartoe gaan verbinden of zo? Want aan de client kant hoef je helemaal geen port forwards te maken voor een VPN.

Yup, de bedoeling is dat we bij elke eindklant een vpnrouter zetten (mikrotik) waarachter de server staat met 1 poort open, dus elke klant moet wel de poort openzetten om aan die vpnserver te kunnen.

woensdag 8 mei 2019 14:58

Acties:

0 Henk 'm!

Rolfie

starfight schreef op dinsdag 7 mei 2019 @ 09:06:
[...]

Op een degelijke router/firewall inderdaad pptp passthrough wat ook ingeschakeld moet, maar bij een standaard telenet/proximus verbinding niet, en daarop is dit ook gericht.

passthrough is meestal om naar buiten te gaan.... Niet om naar binnen te gaan. PPTP zal dus waarschijnlijk niet werken.

[ Voor 5% gewijzigd door Rolfie op 08-05-2019 15:01 ]

woensdag 8 mei 2019 15:46

Acties:

0 Henk 'm!

DiedX

Ssl-vpn van juniper? Mag2600?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

woensdag 8 mei 2019 15:51

Acties:

0 Henk 'm!

borft

andere gedachte, zet een OpenVNP server op die in DC hangt, en laat daar de routers naar verbinden, hoef je helemaal geen porten open te zetten. Zelfde oplossing werkt overigens ook met l2tp+ipsec. Dan heb je wel een echt veilige verbinding en hoef je aan de client kant helemaal niet aan de firewall te trekken.

woensdag 8 mei 2019 15:52

Acties:

0 Henk 'm!

starfight

Topicstarter

borft schreef op woensdag 8 mei 2019 @ 15:51:
andere gedachte, zet een OpenVNP server op die in DC hangt, en laat daar de routers naar verbinden, hoef je helemaal geen porten open te zetten. Zelfde oplossing werkt overigens ook met l2tp+ipsec. Dan heb je wel een echt veilige verbinding en hoef je aan de client kant helemaal niet aan de firewall te trekken.

Zou inderdaad top zijn, maar er gaat redelijk veel bandbreedte overheen gaan (streaming video) dus daarmee schieten we onszelf in de voet bij te veel klanten.

woensdag 8 mei 2019 16:03

Acties:

0 Henk 'm!

nescafe

Waarom laat je die MikroTiks niet met jouw server verbinden? Dan hoef je geen poort te openen. Kun je meteen goed gebruik maken van hardware-acceleratie (bijv. plain ipsec).

Als je bang bent voor een bulk aan connecties (MT's reconnecten vrij agressief..), maak een mooi plan voor je servernamen, bijv. o.b.v. van het laatste cijfer van het serienummer: pool-1.organisatie.tld, pool-2.organisatie.tld, pool-3.organisatie.tld en afhankelijk van de load wijs je hostnamen toe aan 1 of meerdere servers of (bij lage load) meerdere hostnamen aan 1 server.

/edit: Oh, ik bedenk me nu dat het cross-platform moet zijn, dus vermoedelijk zit de klant aan de andere kant v/d verbinding. Dan gaat het niet werken zo

/edit2: Anders lees ik even, dit is wat borft heeft voorgesteld

[ Voor 16% gewijzigd door nescafe op 08-05-2019 16:06 ]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

woensdag 8 mei 2019 16:33

Acties:

0 Henk 'm!

borft

nescafe schreef op woensdag 8 mei 2019 @ 16:03:

/edit2: Anders lees ik even, dit is wat borft heeft voorgesteld

gmta

woensdag 8 mei 2019 16:47

Acties:

0 Henk 'm!

Minitrooper

Misschien eens onderzoeken hoe je alle certificaten (inclusief eventueel HMC) kan includen in de .ovpn file.

Dan moet de "installateur" enkel het .ovpn bestand voeden in de openVPN app (iOS/Android/PC) en gaan met die banaan.

Let wel: maak aparte .ovpn per "client", zodat je makkelijk kan "revoken".

Pagina: 1

Reageer