SBS2003 VPN in SSH tunneln - sinnvoll oder Alternative?
-
- Posts: 15
- Joined: 2011-12-06 10:41
SBS2003 VPN in SSH tunneln - sinnvoll oder Alternative?
Hallo zusammen,
Ich habe mir heute mal wieder zum.testen einen SBS2003 in VirtualBox installiert.
Meine Frage:
Ich würde gerne VPN Zugriff auf meine freigegebenen Ordner von unterwegs haben.
Habe gelesen, dass der Tunnel von SSH sehr sicher sein soll aufgrund der 128bit AES.
Gleichzeitig hieß es aber auch VPN selbst wäre schon sicher.
Ist es denn sinnvoll VPN zusätzlich in Ssh zu tunneln?
Wie muss ich denn bei SSH die Ports forwarden beim Server-Router?
Reicht da nur Ssh Port 22 auf TCP oder auch noch den VPN Port: 1723 war das oder?
Würde mich über eine Antwort sehr freuen.
Ich habe mir heute mal wieder zum.testen einen SBS2003 in VirtualBox installiert.
Meine Frage:
Ich würde gerne VPN Zugriff auf meine freigegebenen Ordner von unterwegs haben.
Habe gelesen, dass der Tunnel von SSH sehr sicher sein soll aufgrund der 128bit AES.
Gleichzeitig hieß es aber auch VPN selbst wäre schon sicher.
Ist es denn sinnvoll VPN zusätzlich in Ssh zu tunneln?
Wie muss ich denn bei SSH die Ports forwarden beim Server-Router?
Reicht da nur Ssh Port 22 auf TCP oder auch noch den VPN Port: 1723 war das oder?
Würde mich über eine Antwort sehr freuen.
-
- Moderator
- Posts: 1231
- Joined: 2011-07-04 10:56
Re: SBS2003 VPN in SSH tunneln - sinnvoll oder Alternative?
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.
-
- Project Manager
- Posts: 11182
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: SBS2003 VPN in SSH tunneln - sinnvoll oder Alternative?
VPN zu durch SSH zu tunneln halte ich für einfache Anwendungsfälle für unnötig. Lediglich bei sensiblen Verbindungen in ein ansonsten abgeschirmtes interne Unternehmensnetzwerk würde ich zusätzlich tunneln.
Letztendlich hängt es aber von Deinem persönlichen Paranoialevel ab.
Letztendlich hängt es aber von Deinem persönlichen Paranoialevel ab.
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
- Posts: 15
- Joined: 2011-12-06 10:41
Re: SBS2003 VPN in SSH tunneln - sinnvoll oder Alternative?
Hallo Joe User,
dankeschön für deine Antwort.
Also würde es im Prinzip reichen direkt eine VPN zu erstellen über 1723 und falls ich dann im Netzwerk drinne wäre und auf einen Client-PC oder "zweiten Server" zugreifen wollte, wäre eine weitere gesicherte Verbindung sinnvoll, ist das so richtig?
Wie kann ich denn SSH einsetzen anstelle von VPN? Bei RDP Verbindungen oder?
dankeschön für deine Antwort.
Also würde es im Prinzip reichen direkt eine VPN zu erstellen über 1723 und falls ich dann im Netzwerk drinne wäre und auf einen Client-PC oder "zweiten Server" zugreifen wollte, wäre eine weitere gesicherte Verbindung sinnvoll, ist das so richtig?
Wie kann ich denn SSH einsetzen anstelle von VPN? Bei RDP Verbindungen oder?
-
- Project Manager
- Posts: 11182
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: SBS2003 VPN in SSH tunneln - sinnvoll oder Alternative?
RDP solltest Du generell nur per VPN verwenden, da RDP allein nicht ausreichend sicher ist. VPN durch SSH getunnelt bringt Dir keinen Vorteil, also belaste Dich nicht weiter damit.
Innerhalb Deines internen Netzwerks brauchst Du normalerweise keine weiteren Massnahmen, hast Du jetzt ja auch nicht.
Innerhalb Deines internen Netzwerks brauchst Du normalerweise keine weiteren Massnahmen, hast Du jetzt ja auch nicht.
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
- Posts: 15
- Joined: 2011-12-06 10:41
Re: SBS2003 VPN in SSH tunneln - sinnvoll oder Alternative?
Ok das hat mir schon sehr geholfen danke.
Noch eine Frage, was ich mir gedacht habe,
wenn ich jetzt nur per RDP auf mein User zugreifen möchte, da ist doch dann SSH möglich oder?
SSH Server konfigurieren, User anlegen in der passwd.
Port: 22 auf TCP -> Server forwarden
Putty mit der ServerDNS und port 22 bestücken, und unter Tunnels dann den RDP:Port eingeben ?
So habe ich eine grobe Anleitung durchgeforstet.
Ist das so möglich?
Noch eine Frage, was ich mir gedacht habe,
wenn ich jetzt nur per RDP auf mein User zugreifen möchte, da ist doch dann SSH möglich oder?
SSH Server konfigurieren, User anlegen in der passwd.
Port: 22 auf TCP -> Server forwarden
Putty mit der ServerDNS und port 22 bestücken, und unter Tunnels dann den RDP:Port eingeben ?
So habe ich eine grobe Anleitung durchgeforstet.
Ist das so möglich?
-
- Moderator
- Posts: 1231
- Joined: 2011-07-04 10:56
Re: SBS2003 VPN in SSH tunneln - sinnvoll oder Alternative?
Ja
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.
-
- Userprojekt
- Posts: 169
- Joined: 2009-05-14 17:40
- Location: Halle (Saale)
Re: SBS2003 VPN in SSH tunneln - sinnvoll oder Alternative?
Jetzt würde ich aber schon gern wissen, was es überhaupt für einen Sinn macht, VPN über SSH zu tunneln. Die VPN-Lösungen die ich nutze, sind kryptografisch mindestens genau so sicher wie SSH.
Bei mir kommt es eher vor, dass ich SSH über VPN tunnel, weil ich dann keinen SSH-Server im Netz stehen haben muss und so die ganzen nervigen BruteForces ausfallen.
Bei mir kommt es eher vor, dass ich SSH über VPN tunnel, weil ich dann keinen SSH-Server im Netz stehen haben muss und so die ganzen nervigen BruteForces ausfallen.
-
- Project Manager
- Posts: 11182
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: SBS2003 VPN in SSH tunneln - sinnvoll oder Alternative?
VPN per SSH macht zum Beispiel für ausländische Unternehmen in China, Iran und ein paar anderen Staaten Sinn, da dort seit Jahren schon Technik eingesetzt wird, welche nackte VPN-Verbindungen nahezu in Realtime dekodieren und mitschreiben kann.
Es macht aber auch nur dort und nur zur Verhinderung von Industriespionage Sinn. Für alle anderen Einsatzzwecke macht es wenig bis gar keinen Sinn.
Es macht aber auch nur dort und nur zur Verhinderung von Industriespionage Sinn. Für alle anderen Einsatzzwecke macht es wenig bis gar keinen Sinn.
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
- Posts: 15
- Joined: 2011-12-06 10:41
Re: SBS2003 VPN in SSH tunneln - sinnvoll oder Alternative?
ah bin ich wieder eine Erfahrung reicher. Dankeschön.
Ich poste dann noch einen Beitrag der mich jetzt seit Stunden in den Wahnsinn treibt und alle Tipps von Google und sonstigen Boards hilft mir nicht direkt weiter.
Freue mich auf eure Antworten. Mir gefällt schon jetzt dieses Board hier. Dankeschön
Ich poste dann noch einen Beitrag der mich jetzt seit Stunden in den Wahnsinn treibt und alle Tipps von Google und sonstigen Boards hilft mir nicht direkt weiter.
Freue mich auf eure Antworten. Mir gefällt schon jetzt dieses Board hier. Dankeschön
-
- Userprojekt
- Posts: 169
- Joined: 2009-05-14 17:40
- Location: Halle (Saale)
Re: SBS2003 VPN in SSH tunneln - sinnvoll oder Alternative?
Öh, das Zeugs ist doch hochgeradig verschlüsselt und der Sinn besteht darin, dass es gerade nicht bis übermorgen entschlüsselt ist. Hast du Links, wo man zu einem solchen Angriff auf VPN mehr lesen kann? Das einzige, was ich dazu kenne sind Side-Effekte über den momentanen Bandbreitenbedarf. Aber auch das bis jetzt nur theoretisch.Joe User wrote:... Technik eingesetzt wird, welche nackte VPN-Verbindungen nahezu in Realtime dekodieren und mitschreiben kann.
Oder reden wir von der DigiNotar-Geschichte?
-
- Project Manager
- Posts: 11182
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: SBS2003 VPN in SSH tunneln - sinnvoll oder Alternative?
Es gab mal auf einer nicht-öffentlichen Sicherheitskonferenz einen Beitrag der das Problem nebenläufig behandelte und wo ein Bekannter von mir anwesend war. Weitere, gar öffentliche, Berichte gibt es meines Wissens dazu nicht, denn die Technik wird auch von einigen Geheimdiensten genutzt. Es funktioniert wohl unter Anderem über Sidechannel-Attacken in Kombination mit DPI und weiteren Attacken. Das Equipment dazu kostet aber auch entsprechend und lässt sich halt durch VPN+SSH und ähnlichen doppelten Verschlüsselungen noch(!) austricksen.
Mehr konnte ich meinem Bekannten leider nicht entlocken, sonst stünde sein Job auf dem Spiel und das möchte keiner von uns.
Sorry, ich wüsste auch gerne mehr dazu.
Mehr konnte ich meinem Bekannten leider nicht entlocken, sonst stünde sein Job auf dem Spiel und das möchte keiner von uns.
Sorry, ich wüsste auch gerne mehr dazu.
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
- Project Manager
- Posts: 11182
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: SBS2003 VPN in SSH tunneln - sinnvoll oder Alternative?
Auch interessant zu lesen:
http://www.symantec.com/connect/article ... ipsec-vpns
http://www.ncp-e.com/fileadmin/pdf/tech ... ors-WP.pdf
http://www.symantec.com/connect/article ... ipsec-vpns
http://www.ncp-e.com/fileadmin/pdf/tech ... ors-WP.pdf
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
- Posts: 15
- Joined: 2011-12-06 10:41
Re: SBS2003 VPN in SSH tunneln - sinnvoll oder Alternative?
Danke für die Links =)
Kurze Zwischenfrage noch habe mich jetzt endlich durchkämpfen können.
Wenn ich mich per VPN verbinde und der User ist lediglich nur für VPN authentifiziert und hat keine Domänen-Zugriffe, und ich mich dann extra mit einem User anmelde der Zugriffe hat (nachdem ich im VPN-Netz bin) das klingt doch doppelt gesichert oder?
Sprich PW über VPN und dann müsste man noch einmal das PW für den Domänen-User knacken oder?
Kurze Zwischenfrage noch habe mich jetzt endlich durchkämpfen können.
Wenn ich mich per VPN verbinde und der User ist lediglich nur für VPN authentifiziert und hat keine Domänen-Zugriffe, und ich mich dann extra mit einem User anmelde der Zugriffe hat (nachdem ich im VPN-Netz bin) das klingt doch doppelt gesichert oder?
Sprich PW über VPN und dann müsste man noch einmal das PW für den Domänen-User knacken oder?
-
- Userprojekt
- Posts: 169
- Joined: 2009-05-14 17:40
- Location: Halle (Saale)
Re: SBS2003 VPN in SSH tunneln - sinnvoll oder Alternative?
Ein VPN-Zugang ist erstmal nix weiter als ein virtuelles LAN-Kabel, das du von deinem Client in den internen Switch des Zielnetzes steckst. Wenn du im internen Netz weitergehende Authentifizierung benutzt, dann musst du die auch vom VPN aus machen.
Du sicherst nicht doppelt, sondern unterschiedliche Ressourcen: Einmal den Zugriff auf interne Netzwerke, dann den Zugriff auf eine Windows-Domäne.
Du sicherst nicht doppelt, sondern unterschiedliche Ressourcen: Einmal den Zugriff auf interne Netzwerke, dann den Zugriff auf eine Windows-Domäne.
-
- Posts: 15
- Joined: 2011-12-06 10:41
Re: SBS2003 VPN in SSH tunneln - sinnvoll oder Alternative?
So meinte ich es auch ^^ Hab mich wohl falsch ausgedrückt.Du sicherst nicht doppelt, sondern unterschiedliche Ressourcen: Einmal den Zugriff auf interne Netzwerke, dann den Zugriff auf eine Windows-Domäne.
Ja im Prinzip müsste man erst einmal den VPN Zugang knacken, dann ist man zwar im Netzwerk drin, müsste aber um etwas anstellen zu können (jetzt mal nur auf normale Hackerattacken gesehen, nicht auf die Überprofis, die können eh alles ^^) dann einen User-Account der Domäne knacken, oder?
-
- Moderator
- Posts: 1231
- Joined: 2011-07-04 10:56
Re: SBS2003 VPN in SSH tunneln - sinnvoll oder Alternative?
Je nach verwendeter Technik (VPN Lösung) kann man innerhalb des von wiederum unverschlüsselt mit horchen. also den Netzwerktraffik komplett mit schneiden. Ist also kein "enormes" Profiwissen sondern einfaches sniffen.
Last edited by ddm3ve on 2011-12-07 13:13, edited 1 time in total.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.
-
- Posts: 15
- Joined: 2011-12-06 10:41
Re: SBS2003 VPN in SSH tunneln - sinnvoll oder Alternative?
Kann man das irgendwie mit einfachen Mitteln reduzieren?
-
- Moderator
- Posts: 1231
- Joined: 2011-07-04 10:56
Re: SBS2003 VPN in SSH tunneln - sinnvoll oder Alternative?
Innerhalb des VPN über SSL Verbindungen arbeiten oder entsprechende Netzwerkonfigurationen betreiben. Das Rotuing muss entsprechend angepasst werden.
Reagiert die Komponente dahinter wie ein "dummer" HUB, kann jeder im VPN mit horchen.
Reagiert die Komponente dahinter wie ein "dummer" HUB, kann jeder im VPN mit horchen.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.
-
- Project Manager
- Posts: 11182
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: SBS2003 VPN in SSH tunneln - sinnvoll oder Alternative?
Warum willst Du Dir eigentlich ein Fort Knox (VPN+irgendetwas) aufbauen, obwohl Dir ein einfacher Tresor (VPN) genügt?
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
-
- Userprojekt
- Posts: 169
- Joined: 2009-05-14 17:40
- Location: Halle (Saale)
Re: SBS2003 VPN in SSH tunneln - sinnvoll oder Alternative?
Jetzt müssen wir aber mal am Paranoia-Level arbeiten. Ja, wenn jemand das VPN knackt, und das ist - bis auf die Einwände von Joe - wirklich alles andere als trivial, dann kann er den Traffic im VPN sniffen, ja.
Genau so, wie jeder der im LAN sitzt den Traffic sniffen kann.
Was ist hier also wahrscheinlicher? Dass jemand an deinen Switch marschiert und dort kurz ein Kabel in die Dose steckt (oder auf einem PC im LAN ein Trojaner mitläuft) oder dass jemand das VPN aufmacht?
Wenn du deine Daten im LAN nicht verschlüsselst, weil du darauf vertraust, dass da keiner was snifft, dann musst du sie auch im VPN nicht verschlüsseln. Traust du deinem VPN nicht, dann solltest du deinem LAN noch viel weniger vertrauen und dir eine solide Lösung, z.B. mit Kerberos & Co. aufsetzen.
Genau so, wie jeder der im LAN sitzt den Traffic sniffen kann.
Was ist hier also wahrscheinlicher? Dass jemand an deinen Switch marschiert und dort kurz ein Kabel in die Dose steckt (oder auf einem PC im LAN ein Trojaner mitläuft) oder dass jemand das VPN aufmacht?
Wenn du deine Daten im LAN nicht verschlüsselst, weil du darauf vertraust, dass da keiner was snifft, dann musst du sie auch im VPN nicht verschlüsseln. Traust du deinem VPN nicht, dann solltest du deinem LAN noch viel weniger vertrauen und dir eine solide Lösung, z.B. mit Kerberos & Co. aufsetzen.
-
- Moderator
- Posts: 1231
- Joined: 2011-07-04 10:56
Re: SBS2003 VPN in SSH tunneln - sinnvoll oder Alternative?
Jaein,papabaer wrote:Jetzt müssen wir aber mal am Paranoia-Level arbeiten. Ja, wenn jemand das VPN knackt, und das ist - bis auf die Einwände von Joe - wirklich alles andere als trivial, dann kann er den Traffic im VPN sniffen, ja.
Genau so, wie jeder der im LAN sitzt den Traffic sniffen kann.
ein bests Biespiel habe ich der Zahl 5.
Alle 5fe waren keine kleine IT Unternehmen und Kunden.
Hausintern war ich nie in der lage den Traffic mit zu sniffen.
Weil LAN über Switches gelöst.
Interesant war aber der VPN Zugang über den alle Remote Mitarbeiter kamen.
Hier war das sniffen möglich.
Daher mein "Einwand".
In diese blöde Falle sind vor einigen Jahren viele renomierte Unternehmen und IT Häuser gefallen.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.
-
- Userprojekt
- Posts: 169
- Joined: 2009-05-14 17:40
- Location: Halle (Saale)
Re: SBS2003 VPN in SSH tunneln - sinnvoll oder Alternative?
Auch wenn ich deine grundsätzliche Argumentation in diesem Punkt sehe und dir recht gebe, muss ich das einschränken: Sniffen in einem geswitchten Netz ist mit gängiger Software auch nicht der große Aufwand, von daher ist das für mich kein wirkliches Sicherheits-Feature.ddm3ve wrote:Weil LAN über Switches gelöst.
Weil es gerade so gut passt: http://www.familyhomesecurity.com/image ... y-fail.jpg
-
- Moderator
- Posts: 1231
- Joined: 2011-07-04 10:56
Re: SBS2003 VPN in SSH tunneln - sinnvoll oder Alternative?
Kommt natürlich darauf an, wo man ansetzt. Also der Zugriffspunkt.
Ist aber meiner Meinung nach eher ein "technisches" also Hardware Thema als ein Softwarethema.
Datenpakete die bei dir logistisch nicht hin kommen, die kann man sich auch nicht mit Software "daher zaubern".
Wenn ein physischer oder "organisatorischer" Zugang zum router / Switch etc. besteht kommt man natürlich auch an den Traffik.
Es stellt sich hier die Frage, wo mein Zugriffpunkt ist.
Am Ende eines Netzwerkkabels (meiner gepatchten Netzwerkdose) und einer geeignet abgesicherten sowie für mich unzugänglichen Netzwerkomponente ist aber dann spätestens mit Sniffen vorbei.
Bevor daraus aber eine undeliche diskussion entsteht.
Ich wollte den Threadersteller nur darauf aufmerksam machen, dass wenn mehrere Benutzer das von nutzen dürfen, das Risiko eines Ausspähen besteht. Hier berdarf es dann weder max. krimineller Energie noch eine komplexen Hackangriffes.
Wenn er der einzige Nutzer des VPN ist, ist das VPN ausreichend sicher.
Ist aber meiner Meinung nach eher ein "technisches" also Hardware Thema als ein Softwarethema.
Datenpakete die bei dir logistisch nicht hin kommen, die kann man sich auch nicht mit Software "daher zaubern".
Wenn ein physischer oder "organisatorischer" Zugang zum router / Switch etc. besteht kommt man natürlich auch an den Traffik.
Es stellt sich hier die Frage, wo mein Zugriffpunkt ist.
Am Ende eines Netzwerkkabels (meiner gepatchten Netzwerkdose) und einer geeignet abgesicherten sowie für mich unzugänglichen Netzwerkomponente ist aber dann spätestens mit Sniffen vorbei.
Bevor daraus aber eine undeliche diskussion entsteht.
Ich wollte den Threadersteller nur darauf aufmerksam machen, dass wenn mehrere Benutzer das von nutzen dürfen, das Risiko eines Ausspähen besteht. Hier berdarf es dann weder max. krimineller Energie noch eine komplexen Hackangriffes.
Wenn er der einzige Nutzer des VPN ist, ist das VPN ausreichend sicher.
Last edited by ddm3ve on 2011-12-29 06:31, edited 2 times in total.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.
-
- Posts: 15
- Joined: 2011-12-06 10:41
Re: SBS2003 VPN in SSH tunneln - sinnvoll oder Alternative?
Ich verbeisse mich jetzt nicht darauf dass ich ein Fort Knox bauen möchte. Ich bin ja soweit mit der VPN zufrieden, ich informier mich nur gerne über weitere Sicherheiten. Brauchen tu ich das Fort Knox nicht, aber wem schadet schon mehr Wissen? =)Warum willst Du Dir eigentlich ein Fort Knox (VPN+irgendetwas) aufbauen, obwohl Dir ein einfacher Tresor (VPN) genügt?