Hallo,
bin gerade mal wieder bei einer LAN-LAN Kopplung übers Internet per VPN mit zwei 1811ern. Beide 1811er sind auch mit ISDN verbunden.
Wozu dient eigentlich das Passwort für die Übermittlung der IP-Adresse? Wird da per ISDN D-Kanal noch zusätzlich ein Passwort übermittelt? Wie komplex sollte dieses Passwort sein?
Einer der Router verfügt auch über einen öffentlichen DNS Namen. Sollte ich hier im Assistenten diese Option wählen oder nur 'dynamische IP? Wie beeinflußt diese Wahl die Ermittlung der IP? Wird immer zuerst versucht, per D-Kanal an die Adresse zu kommen und dann erst per DNS oder ist das in diesem Beispiel egal?
Wie lang und komplex sollte der PSK sein? Ich verwende hier immer 12-15 Zeichen wild aus Buchstaben, Ziffern und Sonderzeichen zusammengesetzt. Reicht das so aus? Ach ja, gibt es irgendwelche Sonderzeichen, die nicht erlaubt sind?
Welche IKE-PFS Gruppe sollte man wählen - 2 oder 5? Und was bedeutet 'angemessene' und 'höhere' Sicherheit?
Gruß
Mario
Grundlegende Fragen zur Sicherheit
Moderator: Lancom-Systems Moderatoren
Hi eddia
Der Responder baut daraufhin eine Verbindung zum Internet auf und "pingt" den Rechner an, dessen Adresse ihm gerade übermittelt wurde. Im Datenfeld dieses Ping-Pakets steht dann sowohl seine eigene Adresse als auch die Adressen der für ihn gültigen DNS- und NBNS-Server sowie ein Hash-Wert, der den Responder authentifiziert. Dieses Paket wird mit dem Paßwort verschlüsselt.
Der Initiator empfängt dieses Paket, entschlüsselt es und schickt nach erfolgter Echtheitsprüfung ebenfalls ein Ping an den Responder in dem er diesem seine Adresse sowie DNS- und NBNS-Server mitteilt. Dieses Paket wird ebenfalls mit dem Paßwort verschlüsselt.
Beide Seiten erstellen daraufhin die korrekten IPSec-Regeln und der Initiator beginnt die IKE-Verhandlung.
Da prinzipiell bekannt ist, was in den Paketen steht ist (Adresse des jeweiligen Gateways sowie DNS- und NBSN-Server) ggf. ein Angriff mittels Kryptoanalyse möglich. Daher sollte sich das dynamic-VPN Paßwort von dem PSK der bei der IPSec-Verhandlung verwendet unterscheiden.
Es gibt nur einen Punkt indem trotz DNS-Auflösung noch eine dynamic-VPN Verhandlung gemacht wird. Dies geschieht genau dann, wenn über die VPN-Strecke auch eine NetBIOS-Kopplung erfolgen soll, da ja die Adressen der NBNS-Server übermittelt werden müssen. Dies kann man nur unterbinden, indem man die Adressen in der IP-Parameterliste manuell konfiguriert
Es ist daher eher eine Frage der Paranoia, welchen Wert du einstellst. Du solltest dabei nur beachten, daß die Gruppe 5 mehr Rechenleistung benötigt, wodurch die IKE-Verhandlung länger dauert, als bei Gruppe 2
Gruß
Backslash
Beim dynamic VPN ruft der Initiator den Responder über ISDN an, um ihm seine IP-Adresse zu übermitteln. Diese IP-Adresse wird sowohl im sog. LLC-Feld als auch in der Sub-Adresse der D-Kanal Nachrichten unverschlüsselt übermittelt (da das ISDN als solches als sicher angenommen werden kann). Wenn nun die Vermittlungsstelle (oder eine TK-Anlage) das LLC-Feld und die Sub-Adressen nicht überträgt, dann muß der Responder den Ruf annehmen und die Adresse wird in einer PPP-Verhandlung übermittelt. Hier wird das Paßwort zum ersten Mal benötigt.Wozu dient eigentlich das Passwort für die Übermittlung der IP-Adresse? Wird da per ISDN D-Kanal noch zusätzlich ein Passwort übermittelt? Wie komplex sollte dieses Passwort sein?
Der Responder baut daraufhin eine Verbindung zum Internet auf und "pingt" den Rechner an, dessen Adresse ihm gerade übermittelt wurde. Im Datenfeld dieses Ping-Pakets steht dann sowohl seine eigene Adresse als auch die Adressen der für ihn gültigen DNS- und NBNS-Server sowie ein Hash-Wert, der den Responder authentifiziert. Dieses Paket wird mit dem Paßwort verschlüsselt.
Der Initiator empfängt dieses Paket, entschlüsselt es und schickt nach erfolgter Echtheitsprüfung ebenfalls ein Ping an den Responder in dem er diesem seine Adresse sowie DNS- und NBNS-Server mitteilt. Dieses Paket wird ebenfalls mit dem Paßwort verschlüsselt.
Beide Seiten erstellen daraufhin die korrekten IPSec-Regeln und der Initiator beginnt die IKE-Verhandlung.
Da prinzipiell bekannt ist, was in den Paketen steht ist (Adresse des jeweiligen Gateways sowie DNS- und NBSN-Server) ggf. ein Angriff mittels Kryptoanalyse möglich. Daher sollte sich das dynamic-VPN Paßwort von dem PSK der bei der IPSec-Verhandlung verwendet unterscheiden.
Dynamic-VPN hat gegenüber DNS-Namen den Vorteil, daß das ISDN zu 99,999...% verfügbar ist, was bei DSN-Servern nicht unbedingt der Fall ist.Einer der Router verfügt auch über einen öffentlichen DNS Namen. Sollte ich hier im Assistenten diese Option wählen oder nur 'dynamische IP?
Wenn dynamic-VPN eingeschaltet ist, wird nur dynamic VPN gemacht. Wenn ein DNS-Name angegeben ist, wird nur der DNS-Name verwendet.Wie beeinflußt diese Wahl die Ermittlung der IP? Wird immer zuerst versucht, per D-Kanal an die Adresse zu kommen und dann erst per DNS oder ist das in diesem Beispiel egal?
Es gibt nur einen Punkt indem trotz DNS-Auflösung noch eine dynamic-VPN Verhandlung gemacht wird. Dies geschieht genau dann, wenn über die VPN-Strecke auch eine NetBIOS-Kopplung erfolgen soll, da ja die Adressen der NBNS-Server übermittelt werden müssen. Dies kann man nur unterbinden, indem man die Adressen in der IP-Parameterliste manuell konfiguriert
Es gelten die üblichen Regeln für sichere Paßwörter. 12 - 15 Zeichen, die rein zufällig gewählt wurden düften ausreichend sein (trotzdem gilt hier natürlich auch, daß man es häufiger wechseln sollte)Wie lang und komplex sollte der PSK sein? Ich verwende hier immer 12-15 Zeichen wild aus Buchstaben, Ziffern und Sonderzeichen zusammengesetzt. Reicht das so aus?
Aufgrund der Art und Weise, wie die Konfiguration im LANCOM erfolgt, gibt es einen festen Satz von erlaubten Zeichen. Diesen Zeichensatz kannst du dir unter Telnet anschauen, in dem du an der betreffenden Stelle sein "set ?" eingibst. Solange Du das LANCOm mit LANconfig konfigurierst, kannst Du sowieso nur gültige Zeichen eingeben - andere lehnt LANconfig bereits ab...Ach ja, gibt es irgendwelche Sonderzeichen, die nicht erlaubt sind?
Die IKE- bzw. PFS Gruppe gibt letztendlich an, wie lang der Diffie-Hellmann Key ist, der zur Verschlüsselung der IKE-Verhandlung - nicht der Daten!!! - verwendet wird. Ob der nun 768 (gruppe 1) oder 1024 (Gruupe 2) oder 2048 (Gruppe 5) Bit lang ist, macht bei den wenigen Daten, die in der IKE-Verhandlung übertragen werden fast keinen Unterschied (auch wenn in der IKE-Verhandlung auch die Schlüssel für die Datenübertragung übermittelt werden - es fallen halt zu wenig Daten für eine Kryptoanalyse an).Welche IKE-PFS Gruppe sollte man wählen - 2 oder 5? Und was bedeutet 'angemessene' und 'höhere' Sicherheit?
Es ist daher eher eine Frage der Paranoia, welchen Wert du einstellst. Du solltest dabei nur beachten, daß die Gruppe 5 mehr Rechenleistung benötigt, wodurch die IKE-Verhandlung länger dauert, als bei Gruppe 2
Gruß
Backslash
Aufgrund der Art und Weise, wie die Konfiguration im LANCOM erfolgt, gibt es einen festen Satz von erlaubten Zeichen. Diesen Zeichensatz kannst du dir unter Telnet anschauen, in dem du an der betreffenden Stelle sein "set ?" eingibst. Solange Du das LANCOm mit LANconfig konfigurierst, kannst Du sowieso nur gültige Zeichen eingeben - andere lehnt LANconfig bereits ab...
Nur wenn ich einen PSK per Copy&Paste einfüge, nimmt er auch ungültige Zeichen an! Zumindest war dies früher mal so, bei der 4.02 habe ich das noch nicht probiert...
Gruß
COMCARGRU
Hi Comcargru,
ja, per Copy&Paste geht das, da dabei nicht jedes Zeichen geprueft wird im LANconfig. Tippst Du die Zeichen aber einzeln ein, so funktioniert auch die Pruefung.
Ciao
LoUiS
ja, per Copy&Paste geht das, da dabei nicht jedes Zeichen geprueft wird im LANconfig. Tippst Du die Zeichen aber einzeln ein, so funktioniert auch die Pruefung.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Ist das wirklich so?backslash hat geschrieben:Die IKE- bzw. PFS Gruppe gibt letztendlich an, wie lang der Diffie-Hellmann Key ist, der zur Verschlüsselung der IKE-Verhandlung - nicht der Daten!!! - verwendet wird.Welche IKE-PFS Gruppe sollte man wählen - 2 oder 5? Und was bedeutet 'angemessene' und 'höhere' Sicherheit?
Ich würde denken daß die IKE-Gruppe für den asymmetrischen Schlüsselaustausch in der IKE-Verhandlung steht, so weit so richtig.
PFS jedoch würde ich als zusätzlichen SA-Parameter identifizieren, der sicherstellt, daß die beim regelmäßigen Rekeying generierten symmetrischen Schlüssel nicht voneinander ableitbar sind. Warum das nicht sowieso der Fall ist und warum man für diese Nicht-Ableitbarkeit noch mit einer Diffie-Hellmann-Gruppe asymetrisch verschlüsseln muß ist mir nicht klar. Auf jeden Fall sorgt es aber für mehr Rechenleistung (Belastung) auf den beteiligten Routern (wie ist das eigentlich mit dem Rekeying, welche Seite initiiert das?) und kann in Zentralen mit vielen VPN-Teilnehmern schon zu Performance-Einbußen führen, denn der Router muß einfach mehr rechnen, wenn er PFS machen soll.
Ich schalte PFS meistens an (wenn schon denn schon) mit Gruppe 2 und wenn es Probleme geben sollte, ist das einer der ersten Parameter die ich zurückdrehe und schaue ob es besser wird.
Soweit mein kleiner Beitrag, mehr Zeit als ne Stunde hatte ich jetzt nicht um mir noch mehr theoretisches IPSec-Wissen anzueignen. Der geneigte Leser muß da schon selber weiter googeln oder vielleicht hats ja auch jemand im Kopf und bringt sich mit ein.
Das LCOS-Referenzmanual hält sich bei solchen etwas tiefergehenden Fragen wie immer sehr bedeckt:
Zitat S. 317:"Wählen sie nach Möglichkeit den optimierten Verbindungsaufbau mit IKE- und PFS-Gruppe 2."
Fertig.
Ähem Hallo?? Warum ist genau das der "optimierte" Verbindungsaufbau? Wann genau wähle ich No-PFS? Wann IKE-Gruppe 5, wann IKE-Gruppe 1, wann PFS-Gruppe 1 oder 5 ...???
-
AndreasMarx
- Beiträge: 131
- Registriert: 31 Jan 2005, 19:10
- Wohnort: München
Hallo Backslash,
Warum steht das so eigentlich nicht im Referenzhandbuch drin. Ich würde mir manchmal wünschen, Ihr würdet Euren Kunden da etwas mehr an Details zumuten und dafür den ein oder anderen Screenshot "... und die Maske im LANconfig sieht dann so aus ..." ersparen.
Viele Grüße,
Andreas
vielen vielen Dank für diese knappe und trotzdem präzise Beschreibung.backslash hat geschrieben: ...
Da prinzipiell bekannt ist, was in den Paketen steht ist (Adresse des jeweiligen Gateways sowie DNS- und NBSN-Server) ggf. ein Angriff mittels Kryptoanalyse möglich. Daher sollte sich das dynamic-VPN Paßwort von dem PSK der bei der IPSec-Verhandlung verwendet unterscheiden.
...
Es gibt nur einen Punkt indem trotz DNS-Auflösung noch eine dynamic-VPN Verhandlung gemacht wird. Dies geschieht genau dann, wenn über die VPN-Strecke auch eine NetBIOS-Kopplung erfolgen soll, da ja die Adressen der NBNS-Server übermittelt werden müssen. Dies kann man nur unterbinden, indem man die Adressen in der IP-Parameterliste manuell konfiguriert
...
Warum steht das so eigentlich nicht im Referenzhandbuch drin. Ich würde mir manchmal wünschen, Ihr würdet Euren Kunden da etwas mehr an Details zumuten und dafür den ein oder anderen Screenshot "... und die Maske im LANconfig sieht dann so aus ..." ersparen.
Viele Grüße,
Andreas
LANCOM 1722,1724,1821+,L-322agn dual,1681V,1781EW,1781VA,1781EW+
