SBS2003 VPN in SSH tunneln - sinnvoll oder Alternative?

[it-kasmo]

Hallo zusammen,

Ich habe mir heute mal wieder zum.testen einen SBS2003 in VirtualBox installiert.


Meine Frage:

Ich würde gerne VPN Zugriff auf meine freigegebenen Ordner von unterwegs haben.
Habe gelesen, dass der Tunnel von SSH sehr sicher sein soll aufgrund der 128bit AES.
Gleichzeitig hieß es aber auch VPN selbst wäre schon sicher.

Ist es denn sinnvoll VPN zusätzlich in Ssh zu tunneln?

Wie muss ich denn bei SSH die Ports forwarden beim Server-Router?
Reicht da nur Ssh Port 22 auf TCP oder auch noch den VPN Port: 1723 war das oder?

Würde mich über eine Antwort sehr freuen.

[ddm3ve]

Crosspost: https://www.administrator.de/index.php?content=177286

[Joe User]

VPN zu durch SSH zu tunneln halte ich für einfache Anwendungsfälle für unnötig. Lediglich bei sensiblen Verbindungen in ein ansonsten abgeschirmtes interne Unternehmensnetzwerk würde ich zusätzlich tunneln.
Letztendlich hängt es aber von Deinem persönlichen Paranoialevel ab.

[it-kasmo]

Hallo Joe User,

dankeschön für deine Antwort.

Also würde es im Prinzip reichen direkt eine VPN zu erstellen über 1723 und falls ich dann im Netzwerk drinne wäre und auf einen Client-PC oder "zweiten Server" zugreifen wollte, wäre eine weitere gesicherte Verbindung sinnvoll, ist das so richtig?

Wie kann ich denn SSH einsetzen anstelle von VPN? Bei RDP Verbindungen oder?

[Joe User]

RDP solltest Du generell nur per VPN verwenden, da RDP allein nicht ausreichend sicher ist. VPN durch SSH getunnelt bringt Dir keinen Vorteil, also belaste Dich nicht weiter damit.
Innerhalb Deines internen Netzwerks brauchst Du normalerweise keine weiteren Massnahmen, hast Du jetzt ja auch nicht.

[it-kasmo]

Ok das hat mir schon sehr geholfen danke.

Noch eine Frage, was ich mir gedacht habe,

wenn ich jetzt nur per RDP auf mein User zugreifen möchte, da ist doch dann SSH möglich oder?

SSH Server konfigurieren, User anlegen in der passwd.
Port: 22 auf TCP -> Server forwarden

Putty mit der ServerDNS und port 22 bestücken, und unter Tunnels dann den RDP:Port eingeben ?

So habe ich eine grobe Anleitung durchgeforstet.

Ist das so möglich?

[ddm3ve]

Ja

[papabaer]

Jetzt würde ich aber schon gern wissen, was es überhaupt für einen Sinn macht, VPN über SSH zu tunneln. Die VPN-Lösungen die ich nutze, sind kryptografisch mindestens genau so sicher wie SSH.

Bei mir kommt es eher vor, dass ich SSH über VPN tunnel, weil ich dann keinen SSH-Server im Netz stehen haben muss und so die ganzen nervigen BruteForces ausfallen.

[Joe User]

VPN per SSH macht zum Beispiel für ausländische Unternehmen in China, Iran und ein paar anderen Staaten Sinn, da dort seit Jahren schon Technik eingesetzt wird, welche nackte VPN-Verbindungen nahezu in Realtime dekodieren und mitschreiben kann.
Es macht aber auch nur dort und nur zur Verhinderung von Industriespionage Sinn. Für alle anderen Einsatzzwecke macht es wenig bis gar keinen Sinn.

[it-kasmo]

ah bin ich wieder eine Erfahrung reicher. Dankeschön.

Ich poste dann noch einen Beitrag der mich jetzt seit Stunden in den Wahnsinn treibt und alle Tipps von Google und sonstigen Boards hilft mir nicht direkt weiter.

Freue mich auf eure Antworten. Mir gefällt schon jetzt dieses Board hier. Dankeschön

[papabaer]

... Technik eingesetzt wird, welche nackte VPN-Verbindungen nahezu in Realtime dekodieren und mitschreiben kann.

Öh, das Zeugs ist doch hochgeradig verschlüsselt und der Sinn besteht darin, dass es gerade nicht bis übermorgen entschlüsselt ist. Hast du Links, wo man zu einem solchen Angriff auf VPN mehr lesen kann? Das einzige, was ich dazu kenne sind Side-Effekte über den momentanen Bandbreitenbedarf. Aber auch das bis jetzt nur theoretisch.

Oder reden wir von der DigiNotar-Geschichte?

[Joe User]

Es gab mal auf einer nicht-öffentlichen Sicherheitskonferenz einen Beitrag der das Problem nebenläufig behandelte und wo ein Bekannter von mir anwesend war. Weitere, gar öffentliche, Berichte gibt es meines Wissens dazu nicht, denn die Technik wird auch von einigen Geheimdiensten genutzt. Es funktioniert wohl unter Anderem über Sidechannel-Attacken in Kombination mit DPI und weiteren Attacken. Das Equipment dazu kostet aber auch entsprechend und lässt sich halt durch VPN+SSH und ähnlichen doppelten Verschlüsselungen noch(!) austricksen.
Mehr konnte ich meinem Bekannten leider nicht entlocken, sonst stünde sein Job auf dem Spiel und das möchte keiner von uns.

Sorry, ich wüsste auch gerne mehr dazu.

[Joe User]

Auch interessant zu lesen:
http://www.symantec.com/connect/article ... ipsec-vpns
http://www.ncp-e.com/fileadmin/pdf/tech ... ors-WP.pdf

[it-kasmo]

Danke für die Links =)

Kurze Zwischenfrage noch habe mich jetzt endlich durchkämpfen können.

Wenn ich mich per VPN verbinde und der User ist lediglich nur für VPN authentifiziert und hat keine Domänen-Zugriffe, und ich mich dann extra mit einem User anmelde der Zugriffe hat (nachdem ich im VPN-Netz bin) das klingt doch doppelt gesichert oder?

Sprich PW über VPN und dann müsste man noch einmal das PW für den Domänen-User knacken oder?

[papabaer]

Ein VPN-Zugang ist erstmal nix weiter als ein virtuelles LAN-Kabel, das du von deinem Client in den internen Switch des Zielnetzes steckst. Wenn du im internen Netz weitergehende Authentifizierung benutzt, dann musst du die auch vom VPN aus machen.

Du sicherst nicht doppelt, sondern unterschiedliche Ressourcen: Einmal den Zugriff auf interne Netzwerke, dann den Zugriff auf eine Windows-Domäne.

[it-kasmo]

Du sicherst nicht doppelt, sondern unterschiedliche Ressourcen: Einmal den Zugriff auf interne Netzwerke, dann den Zugriff auf eine Windows-Domäne.

So meinte ich es auch ^^ Hab mich wohl falsch ausgedrückt.

Ja im Prinzip müsste man erst einmal den VPN Zugang knacken, dann ist man zwar im Netzwerk drin, müsste aber um etwas anstellen zu können (jetzt mal nur auf normale Hackerattacken gesehen, nicht auf die Überprofis, die können eh alles ^^) dann einen User-Account der Domäne knacken, oder?

[ddm3ve]

Je nach verwendeter Technik (VPN Lösung) kann man innerhalb des von wiederum unverschlüsselt mit horchen. also den Netzwerktraffik komplett mit schneiden. Ist also kein "enormes" Profiwissen sondern einfaches sniffen.

[it-kasmo]

Kann man das irgendwie mit einfachen Mitteln reduzieren?

[ddm3ve]

Innerhalb des VPN über SSL Verbindungen arbeiten oder entsprechende Netzwerkonfigurationen betreiben. Das Rotuing muss entsprechend angepasst werden.

Reagiert die Komponente dahinter wie ein "dummer" HUB, kann jeder im VPN mit horchen.

[Joe User]

Warum willst Du Dir eigentlich ein Fort Knox (VPN+irgendetwas) aufbauen, obwohl Dir ein einfacher Tresor (VPN) genügt?

[papabaer]

Jetzt müssen wir aber mal am Paranoia-Level arbeiten. Ja, wenn jemand das VPN knackt, und das ist - bis auf die Einwände von Joe - wirklich alles andere als trivial, dann kann er den Traffic im VPN sniffen, ja.

Genau so, wie jeder der im LAN sitzt den Traffic sniffen kann.

Was ist hier also wahrscheinlicher? Dass jemand an deinen Switch marschiert und dort kurz ein Kabel in die Dose steckt (oder auf einem PC im LAN ein Trojaner mitläuft) oder dass jemand das VPN aufmacht?

Wenn du deine Daten im LAN nicht verschlüsselst, weil du darauf vertraust, dass da keiner was snifft, dann musst du sie auch im VPN nicht verschlüsseln. Traust du deinem VPN nicht, dann solltest du deinem LAN noch viel weniger vertrauen und dir eine solide Lösung, z.B. mit Kerberos & Co. aufsetzen.

[ddm3ve]

Jetzt müssen wir aber mal am Paranoia-Level arbeiten. Ja, wenn jemand das VPN knackt, und das ist - bis auf die Einwände von Joe - wirklich alles andere als trivial, dann kann er den Traffic im VPN sniffen, ja.

Genau so, wie jeder der im LAN sitzt den Traffic sniffen kann.

Jaein,

ein bests Biespiel habe ich der Zahl 5.
Alle 5fe waren keine kleine IT Unternehmen und Kunden.
Hausintern war ich nie in der lage den Traffic mit zu sniffen.
Weil LAN über Switches gelöst.
Interesant war aber der VPN Zugang über den alle Remote Mitarbeiter kamen.
Hier war das sniffen möglich.

Daher mein "Einwand".

In diese blöde Falle sind vor einigen Jahren viele renomierte Unternehmen und IT Häuser gefallen.

[papabaer]

Weil LAN über Switches gelöst.

Auch wenn ich deine grundsätzliche Argumentation in diesem Punkt sehe und dir recht gebe, muss ich das einschränken: Sniffen in einem geswitchten Netz ist mit gängiger Software auch nicht der große Aufwand, von daher ist das für mich kein wirkliches Sicherheits-Feature.

Weil es gerade so gut passt: http://www.familyhomesecurity.com/image ... y-fail.jpg

[ddm3ve]

Kommt natürlich darauf an, wo man ansetzt. Also der Zugriffspunkt.

Ist aber meiner Meinung nach eher ein "technisches" also Hardware Thema als ein Softwarethema.
Datenpakete die bei dir logistisch nicht hin kommen, die kann man sich auch nicht mit Software "daher zaubern".

Wenn ein physischer oder "organisatorischer" Zugang zum router / Switch etc. besteht kommt man natürlich auch an den Traffik.
Es stellt sich hier die Frage, wo mein Zugriffpunkt ist.

Am Ende eines Netzwerkkabels (meiner gepatchten Netzwerkdose) und einer geeignet abgesicherten sowie für mich unzugänglichen Netzwerkomponente ist aber dann spätestens mit Sniffen vorbei.

Bevor daraus aber eine undeliche diskussion entsteht.
Ich wollte den Threadersteller nur darauf aufmerksam machen, dass wenn mehrere Benutzer das von nutzen dürfen, das Risiko eines Ausspähen besteht. Hier berdarf es dann weder max. krimineller Energie noch eine komplexen Hackangriffes.

Wenn er der einzige Nutzer des VPN ist, ist das VPN ausreichend sicher.

[it-kasmo]

Warum willst Du Dir eigentlich ein Fort Knox (VPN+irgendetwas) aufbauen, obwohl Dir ein einfacher Tresor (VPN) genügt?

Ich verbeisse mich jetzt nicht darauf dass ich ein Fort Knox bauen möchte. Ich bin ja soweit mit der VPN zufrieden, ich informier mich nur gerne über weitere Sicherheiten. Brauchen tu ich das Fort Knox nicht, aber wem schadet schon mehr Wissen? =)