Toon posts:

Is PPTP veilig genoeg? (in deze specifieke case)

Pagina: 1
Acties:

Vraag


  • starfight
  • Registratie: Februari 2010
  • Laatst online: 27-04 22:19
Ik ben eigelijk (terug) uitgekomen bij PPTP omdat ik 1: een universeel bruikbare vpn nodig heb -(win/android/ios/mac/linux,...), dus SSTP viel al af.
Een 2e voorwaarde was dat er maar 1 poort open mag, hierdoor viel l2tp/ipsec ook af.
Als laatste moest het zo simpel mogelijk en zo snel mogelijk op te zetten zijn, dus daarmee kwam ook mijn originele OpenVPN idee aan zijn einde.

De keuze werd dus een beetje voor mij gemaakt om te blijven zitten met PPTP.

De vpnverbinding zal verbinding voorzien van een client naar een server (logisch), maar op deze server zal er maar 1 poort beschikbaar zijn (2384X), en ALLE verkeer dat over deze poort loopt is reeds geëncrypteerd.
De software die deze encryptie doet heeft een securityaudit ondergaan en is als veilig beschouwd en er is ook 2FA nodig om te kunnen verbinden met de software.

De software op windows/mac/android/ios/linux is ook de enige software die deze data kan decrypten (voor zover wij weten).

Dus zelfs ALS iemand het zou lukken om de PPTP verbinding te "hacken" kan hij in principe nog niks met de zichtbare packets doen.(?)

Kan ik met deze stellingen aannemen dat PPTP veilig "genoeg" is in deze case?

Alle reacties


  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 23:02
Als je PPTP wilt kan je net zo goed geen vpn gebruiken.... en als alles toch al encryptie doet en een securityaudit ondergaan en is als veilig beschouwd. Kan je net zo goed de port direct open zetten voor de IP range waarvan je toegang wilt hebben. PPTP is dan gewoon een schijn veiligheid!

[Voor 97% gewijzigd door HKLM_ op 02-05-2019 16:42]

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀


  • Paul
  • Registratie: September 2000
  • Laatst online: 17:44
1) het verkeer van de applicatie is al encrypted
2) Om in te loggen op die server wordt 2FA afgedwongen

Wat probeer je aan beveiliging toe te voegen door er een VPN omheen te zetten? Het doel van een VPN is verkeer encrypten en gebruikers authenticeren...

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock


Acties:
  • +1Henk 'm!

  • Ryan800
  • Registratie: December 2010
  • Laatst online: 20-05 14:10
Sorry maar als OpenVPN niet eenvoudig genoeg is denk ik niet dat je überhaupt moet beginnen aan een VPN. Met een beetje CLI ervaring heb je een OpenVPN server zo geconfigureerd op bijvoorbeeld een EdgeRouter middels UBNT's eigen documentatie.

Ik weet natuurlijk niet waar je de VPN server op wilt draaien, als je daar misschien wat meer over kunt zeggen dan kunnen we iets specifieker ingaan op het eenvoudig opzetten. Een van de meest snelle en eenvoudige manier om een OpenVPN instantie op te zetten is bijvoorbeeld PFSense.

  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 22:19
Begin niet aan pptp maar investeer in een veiliger alternatief.

Een vpn verbinding geeft je meestal tot een heel netwerk, niet slechts 1 applicatie. Mocht de vpn gehackt worden dan kunnen ze dus bij het hele netwerk dat beschikbaar wordt gesteld door de vpn.

Een voetnoot is wel dat pptp exploit nu ook weer niet zo eenvoudig is te misbruiken als bijvoorbeeld eternalblue op een open smb poort. Je loopt alleen risico als je een vpn verbinding opbouwt en op hetzelfde moment een aanvaller actief is op hetzelfde netwerk en een mitm uitvoert. Klinkt allemaal heel technisch maar als je bv de vpn alleen direct vanaf een 4g verbinding opbouwt is het risico dat iemand je verbinding kan hacken nihiel.

De alternatieven zijn niet alleen vele malen beter maar ook veiliger. Pptp en GRE kunnen echt een kriem zijn om (achter nat) in te richten. Ga voor l2tp of openvpn

CISSP! Drop your encryption keys!


  • lier
  • Registratie: Januari 2004
  • Laatst online: 19:46

lier

MikroTik nerd

Port forward met IP filter geen optie?

Eerst het probleem, dan de oplossing


  • Trommelrem
  • Registratie: Februari 2009
  • Laatst online: 09-11-2021
PPTP is terecht deprecated. Je kunt het dus wel gebruiken, maar het kan zomaar zijn dat bij de eerstvolgende update van een random device het ineens niet meer werkt.

  • starfight
  • Registratie: Februari 2010
  • Laatst online: 27-04 22:19
Ryan800 schreef op donderdag 2 mei 2019 @ 16:43:
Sorry maar als OpenVPN niet eenvoudig genoeg is denk ik niet dat je überhaupt moet beginnen aan een VPN. Met een beetje CLI ervaring heb je een OpenVPN server zo geconfigureerd op bijvoorbeeld een EdgeRouter middels UBNT's eigen documentatie.

Ik weet natuurlijk niet waar je de VPN server op wilt draaien, als je daar misschien wat meer over kunt zeggen dan kunnen we iets specifieker ingaan op het eenvoudig opzetten. Een van de meest snelle en eenvoudige manier om een OpenVPN instantie op te zetten is bijvoorbeeld PFSense.
OpenVPN is inderdaad makkelijk genoeg op te zetten, maar wij zijn distributeur, en moeten het gaan uitleggen aan installateurs (veelal zonder IT kennis) hoe zij certificaten moeten importen in ios/android/windows, en dat is gewoon onbegonnen werk. Daarom is de keuze gemaakt om vpn te voorzien enkel gebruikersnaam/paswoord.
Het moet wel (vanuit marketing) een VPNverbinding zijn, aangezien dat een buzzword is.

We gebruiken hiervoor een Mikrotik Hex S, dus zelf had ik ook liefst gewerkt met openvpn, maaar helaas, te omslachtig voor eindgebruikers.

  • starfight
  • Registratie: Februari 2010
  • Laatst online: 27-04 22:19
laurens0619 schreef op donderdag 2 mei 2019 @ 17:46:
Begin niet aan pptp maar investeer in een veiliger alternatief.

Een vpn verbinding geeft je meestal tot een heel netwerk, niet slechts 1 applicatie. Mocht de vpn gehackt worden dan kunnen ze dus bij het hele netwerk dat beschikbaar wordt gesteld door de vpn.

Een voetnoot is wel dat pptp exploit nu ook weer niet zo eenvoudig is te misbruiken als bijvoorbeeld eternalblue op een open smb poort. Je loopt alleen risico als je een vpn verbinding opbouwt en op hetzelfde moment een aanvaller actief is op hetzelfde netwerk en een mitm uitvoert. Klinkt allemaal heel technisch maar als je bv de vpn alleen direct vanaf een 4g verbinding opbouwt is het risico dat iemand je verbinding kan hacken nihiel.

De alternatieven zijn niet alleen vele malen beter maar ook veiliger. Pptp en GRE kunnen echt een kriem zijn om (achter nat) in te richten. Ga voor l2tp of openvpn
Hier hebben we geluk dat deze server (draaiende op een mikrotik hex S) achter een bestaand netwerk komt, en enkel en alleen 1 server die we volledig in beheer hebben toegankelijk is via de VPN.

Het is eerder in de richting van: marketing wil dat we VPN verkopen want VPN=veiligheid maar het mag niet te moeilijk zijn.

Acties:
  • +1Henk 'm!

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 23:02
starfight schreef op donderdag 2 mei 2019 @ 19:16:
[...]

OpenVPN is inderdaad makkelijk genoeg op te zetten, maar wij zijn distributeur, en moeten het gaan uitleggen aan installateurs (veelal zonder IT kennis) hoe zij certificaten moeten importen in ios/android/windows, en dat is gewoon onbegonnen werk. Daarom is de keuze gemaakt om vpn te voorzien enkel gebruikersnaam/paswoord.
Het moet wel (vanuit marketing) een VPNverbinding zijn, aangezien dat een buzzword is.

We gebruiken hiervoor een Mikrotik Hex S, dus zelf had ik ook liefst gewerkt met openvpn, maaar helaas, te omslachtig voor eindgebruikers.
Up-to-date ios devices kunnen niet eens meer verbinding maken via PPTP dus daar heb je al een uitdaging.

👩‍🚀 -> Astronauts use Linux because you cant open Windows in space <- 🚀


Acties:
  • +1Henk 'm!

  • starfight
  • Registratie: Februari 2010
  • Laatst online: 27-04 22:19
HKLM_ schreef op donderdag 2 mei 2019 @ 19:35:
[...]


Up-to-date ios devices kunnen niet eens meer verbinding maken via PPTP dus daar heb je al een uitdaging.
ah damn dat was ik nog niet te weten gekomen...

  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 22:19
Als het om marketing gaat, gebruik dan helemaal geen pptp. Als ik zon bedrijf zou tegenkomen tijdens een sourcing proces dan zou er (wellicht onterecht) een red flag omhoog gaan. Eerder negatieve reclame dus

Dan blijven l2tp en openvpn over
Voorseel van openvpn is dat je het (transparant) op 443 kan draaien waardoor het vanaf veel locaties werkt. Nadeel is dat je wel een app nodig hebt

L2tp client zit ingebouwd in bijna ieder os maar je hebt meer en afwijkende (udp) poorten (en kan wat meer gedoe zijn achter nat)

CISSP! Drop your encryption keys!


Acties:
  • +1Henk 'm!

  • Ryan800
  • Registratie: December 2010
  • Laatst online: 20-05 14:10
starfight schreef op donderdag 2 mei 2019 @ 19:16:
[...]

OpenVPN is inderdaad makkelijk genoeg op te zetten, maar wij zijn distributeur, en moeten het gaan uitleggen aan installateurs (veelal zonder IT kennis) hoe zij certificaten moeten importen in ios/android/windows, en dat is gewoon onbegonnen werk. Daarom is de keuze gemaakt om vpn te voorzien enkel gebruikersnaam/paswoord.
Het moet wel (vanuit marketing) een VPNverbinding zijn, aangezien dat een buzzword is.

We gebruiken hiervoor een Mikrotik Hex S, dus zelf had ik ook liefst gewerkt met openvpn, maaar helaas, te omslachtig voor eindgebruikers.
Ik gebruik persoonlijk meestal all-in-one .ovpn config files waar de certificaten bij in zitten. Dit heeft voor mij tot nu toe nog altijd goed gewerkt met de standaard OpenVPN clients. Wellicht is dat een optie om het eenvoudiger te maken voor de installateurs/eindgebruikers. Zo hoef je enkel die config file in te laden en kun je aan de slag.

Acties:
  • +3Henk 'm!

  • Glashelder
  • Registratie: September 2002
  • Niet online

Glashelder

Anti Android

Wat is dat voor een rare eis dat er maar 1 poort "open" mag :?

Lijkt me typisch een eis die gesteld wordt juist om een infrieur protocool als PPTP af te dwingen :p Lekker laten vallen die eis en L2TP gebruiken. Die poorten hoeven alleen aan jullie kant toegelaten te worden op je Mikrotik. Bij de clients hoef je niets te doen, behalve een serveradres, gebruikersnaam, wachtwoord en "secret" op te geven. Dat is toch niet zo ingewikkeld?

Als ik mensen met dat soort rare eisen aan mijn bureau krijg dan stuur ik ze gewoon weg. Ga maar eens onderbouwen waar zo'n rare eis vandaan komt.

[Voor 14% gewijzigd door Glashelder op 02-05-2019 20:42]

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput


  • WeHoDo
  • Registratie: Augustus 2014
  • Laatst online: 23:22
Je kan ook een script maken die alles voor je regelt en installeert op de cliënt kant.

PSN: plexforce (ps4)


  • triet
  • Registratie: Januari 2003
  • Niet online
Ik zou me eens verdiepen in Wireguard als ik jou was. Simpel op te zetten, cross-platform, 1 poort (udp) nodig.

  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 14-01 20:14
Je kan nog beter Wireguard zonder audit draaien dan PPTP.

PPTP gewoon niet gebruiken. Dan maar geen VPN.

OpenVPN kan je ook gewoon single-file installeren. Koop een licentie voor OpenVPN-AS als je dat niet kan automatiseren, dan heb je commerciele support en hoeven de clients alleen maar 1 configuratie bestand (die gebundeld zit met de client!) te gebruiken en hun username+password.

Voor de rest is het meerwerk van meerdere poorten gebruiken nou ook weer niet zo groot. Als je 1 poort kan gebruiken is 2 poorten gebruiken letterlijk copy-paste.

[Voor 17% gewijzigd door johnkeates op 02-05-2019 20:46]


Acties:
  • 0Henk 'm!

  • nescafe
  • Registratie: Januari 2001
  • Laatst online: 20:38
starfight schreef op donderdag 2 mei 2019 @ 16:27:
Een 2e voorwaarde was dat er maar 1 poort open mag, hierdoor viel l2tp/ipsec ook af.
Is dat zo?

Voor L2TP hoef je alleen poort 500 of 4500 (NAT) publiekelijk te openen. Vervolgens sta je op poort 1701 alleen versleuteld verkeer toe op basis van een vastgestelde vertrouwde ipsec-sessie.

Het volledig openzetten van poort 1701 is onnodig en wordt helaas te vaak gewoon gedaan.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


Acties:
  • 0Henk 'm!

  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 24-05 09:00
@starfight je weet dat dat je voor pptp ook het GRE protocol open moet zetten?

Acties:
  • 0Henk 'm!

  • starfight
  • Registratie: Februari 2010
  • Laatst online: 27-04 22:19
Rolfie schreef op dinsdag 7 mei 2019 @ 08:29:
@starfight je weet dat dat je voor pptp ook het GRE protocol open moet zetten?
Op een degelijke router/firewall inderdaad pptp passthrough wat ook ingeschakeld moet, maar bij een standaard telenet/proximus verbinding niet, en daarop is dit ook gericht.

Acties:
  • 0Henk 'm!

  • Glashelder
  • Registratie: September 2002
  • Niet online

Glashelder

Anti Android

Waarom ga je niet in op de vraag waar die rare “één poort” eis vandaan komt?

Of is het een eis van jou?

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput


Acties:
  • 0Henk 'm!

  • starfight
  • Registratie: Februari 2010
  • Laatst online: 27-04 22:19
Glashelder schreef op dinsdag 7 mei 2019 @ 19:01:
Waarom ga je niet in op de vraag waar die rare “één poort” eis vandaan komt?

Of is het een eis van jou?
Neen, die eis komt van zowel mn baas als van installateurs, helaas zijn residentiele klanten bij telenet veroordeelt tot ene maximum aantal portforwarding, en verschillende keren zijn we daar al tegenaan gelopen als we zelf maar 1 poort willen openstellen.
Momenteel is dit maximum 10 poorten...


Acties:
  • 0Henk 'm!

  • Paul
  • Registratie: September 2000
  • Laatst online: 17:44
Heeft iedere klant een eigen server waar ze naartoe gaan verbinden of zo? Want aan de client kant hoef je helemaal geen port forwards te maken voor een VPN.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock


Acties:
  • 0Henk 'm!

  • starfight
  • Registratie: Februari 2010
  • Laatst online: 27-04 22:19
Paul schreef op woensdag 8 mei 2019 @ 14:52:
Heeft iedere klant een eigen server waar ze naartoe gaan verbinden of zo? Want aan de client kant hoef je helemaal geen port forwards te maken voor een VPN.
Yup, de bedoeling is dat we bij elke eindklant een vpnrouter zetten (mikrotik) waarachter de server staat met 1 poort open, dus elke klant moet wel de poort openzetten om aan die vpnserver te kunnen.

Acties:
  • 0Henk 'm!

  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 24-05 09:00
starfight schreef op dinsdag 7 mei 2019 @ 09:06:
[...]

Op een degelijke router/firewall inderdaad pptp passthrough wat ook ingeschakeld moet, maar bij een standaard telenet/proximus verbinding niet, en daarop is dit ook gericht.
passthrough is meestal om naar buiten te gaan.... Niet om naar binnen te gaan. PPTP zal dus waarschijnlijk niet werken.

[Voor 5% gewijzigd door Rolfie op 08-05-2019 15:01]


Acties:
  • 0Henk 'm!

  • DiedX
  • Registratie: December 2000
  • Laatst online: 15:26
Ssl-vpn van juniper? Mag2600?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards


Acties:
  • 0Henk 'm!

  • borft
  • Registratie: Januari 2002
  • Laatst online: 15:41
andere gedachte, zet een OpenVNP server op die in DC hangt, en laat daar de routers naar verbinden, hoef je helemaal geen porten open te zetten. Zelfde oplossing werkt overigens ook met l2tp+ipsec. Dan heb je wel een echt veilige verbinding en hoef je aan de client kant helemaal niet aan de firewall te trekken.

Acties:
  • 0Henk 'm!

  • starfight
  • Registratie: Februari 2010
  • Laatst online: 27-04 22:19
borft schreef op woensdag 8 mei 2019 @ 15:51:
andere gedachte, zet een OpenVNP server op die in DC hangt, en laat daar de routers naar verbinden, hoef je helemaal geen porten open te zetten. Zelfde oplossing werkt overigens ook met l2tp+ipsec. Dan heb je wel een echt veilige verbinding en hoef je aan de client kant helemaal niet aan de firewall te trekken.
Zou inderdaad top zijn, maar er gaat redelijk veel bandbreedte overheen gaan (streaming video) dus daarmee schieten we onszelf in de voet bij te veel klanten.

Acties:
  • 0Henk 'm!

  • nescafe
  • Registratie: Januari 2001
  • Laatst online: 20:38
Waarom laat je die MikroTiks niet met jouw server verbinden? Dan hoef je geen poort te openen. Kun je meteen goed gebruik maken van hardware-acceleratie (bijv. plain ipsec).

Als je bang bent voor een bulk aan connecties (MT's reconnecten vrij agressief..), maak een mooi plan voor je servernamen, bijv. o.b.v. van het laatste cijfer van het serienummer: pool-1.organisatie.tld, pool-2.organisatie.tld, pool-3.organisatie.tld en afhankelijk van de load wijs je hostnamen toe aan 1 of meerdere servers of (bij lage load) meerdere hostnamen aan 1 server.

/edit: Oh, ik bedenk me nu dat het cross-platform moet zijn, dus vermoedelijk zit de klant aan de andere kant v/d verbinding. Dan gaat het niet werken zo :)

/edit2: Anders lees ik even, dit is wat borft heeft voorgesteld 8)7

[Voor 16% gewijzigd door nescafe op 08-05-2019 16:06]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


Acties:
  • 0Henk 'm!

  • borft
  • Registratie: Januari 2002
  • Laatst online: 15:41
nescafe schreef op woensdag 8 mei 2019 @ 16:03:

/edit2: Anders lees ik even, dit is wat borft heeft voorgesteld 8)7
gmta ;)

Acties:
  • 0Henk 'm!

  • Minitrooper
  • Registratie: December 2013
  • Laatst online: 23-12-2021
Misschien eens onderzoeken hoe je alle certificaten (inclusief eventueel HMC) kan includen in de .ovpn file.

Dan moet de "installateur" enkel het .ovpn bestand voeden in de openVPN app (iOS/Android/PC) en gaan met die banaan.

Let wel: maak aparte .ovpn per "client", zodat je makkelijk kan "revoken".
Pagina: 1



Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee