Lancom vpn zugang ipsec mit Https oder ohne Https?

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
CrystalGame
Beiträge: 1
Registriert: 06 Nov 2018, 20:58

Lancom vpn zugang ipsec mit Https oder ohne Https?

Beitrag von CrystalGame »

Hallo,

Ich bin neu hier da ich bis jetzt noch keine passende Antwort gefunden habe, ich hoffe meine Frage wird hier beantwortet.
Wenn man mit dem Lancom Router eine VPN Verbindung mit IPsec über https laufen lässt wird der https port geöffnet. Wenn man versucht mit dem Webbrowser auf den https port zuzugreifen wird dort "Access forbidden" angezeigt. Meine Frage wäre jetzt senkt der offene Port die Sicherheit des Routers? Sollte man lieber auf das https verzichten?
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Lancom vpn zugang ipsec mit Https oder ohne Https?

Beitrag von GrandDixence »

Grundsätzlich sollten nur Serverdienste auf TCP/UDP-Ports auf Anfragen von "aussen" horchen (listening port), die auch unbedingt benötigt werden. Alle nicht unbedingt benötigten Serverdienste sind auszuschalten oder zumindestens der Zugriff auf den offenen Port per Firewall zu blockieren.

Wenn ein VPN-Server für RAS (VPN-Client wählt sich von fremden Netzwerk ein) auch in schlecht konfigurierten fremden Netzwerken (zum Beispiel: Hotel-WLAN) benötigt wird , wo ausgehende Verbindungen auf UDP Port 500 (IKE) und UDP Port 4500 (NAT-Traversal) blockiert werden, so muss gezwungenermassen ein VPN-Serverdienst neben den klassischen Ports UDP 500 und UDP 4500 auch auf Port TCP 443 (HTTPS) betrieben werden. Ein auf TCP-basierender VPN-Tunnel hat technische Nachteile gegenüber einen UDP- oder ESP-basierenden VPN-Tunnel. Ein TCP-basierter VPN-Tunnel (zum Beispiel: HTTPS) ist also immer eine "Notlösung".

Abgesehen von Konfigurationsfehlern des Netzwerkkomponenten-Administrators (bei Handbuch > 1000 Seiten und der schweren Kost von BSI TR-02102-3 nicht abwegig), Programmierfehlern von den LANCOM-Softwareentwicklern (Grundregel: Alle 1000 Zeilen Programmiercode ein sicherheitsrelevanter Fehler/Bug) und bewusst von LANCOM-MitarbeiterInnen oder Hackern eingebauten Hintertüren (für Geheimdienste) darf der im LANCOM-Betriebssystem LCOS enthaltene VPN-Serverdienst beim Betrieb einer aktuellen, gepflegten LCOS-Version (Status: aktiv):
https://www.lancom-systems.de/produkte/ ... ebersicht/ => Übersicht aktuelle LCOS-Wartung
als sicher betrachtet werden.

Nach Möglichkeit sind alle Serverdienste in einem vom Internet abgeschotteten Netzwerk zu betreiben. Der Zugriff vom Internet auf Serverdienste sollte nur für einen genau bekannten Benutzerkreis über einen sicheren VPN-Tunnel möglich sein (keine Portweiterleitung/Port Forwarding).
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Lancom vpn zugang ipsec mit Https oder ohne Https?

Beitrag von Jirka »

Oha. - Hast Du das untersucht?

https://www.lancom-systems.de/pdf/compa ... igkeit.pdf

Ok, VW hat auch gesagt, die Diesel seien sauber und sie waren/sind es nicht. Aber bevor man sich soweit aus dem Fenster lehnt und sagt, dass abgesehen von den Backdoors der VPN-Dienst in LANCOM-Routern sicher ist, sollte man schon ein paar Beweise liefern.
Benutzeravatar
stefanbunzel
Beiträge: 1404
Registriert: 03 Feb 2006, 13:30
Wohnort: endlich VDSL-250

Re: Lancom vpn zugang ipsec mit Https oder ohne Https?

Beitrag von stefanbunzel »

Guten Morgen,

oh, da hat sich GrandDixence doch sich aus Versehen mal verschrieben:
GrandDixence hat geschrieben: 06 Nov 2018, 22:15 ...als sicher betrachtet werden.
Er meinte bestimmt "... als unsicher betrachtet werden." - oder doch nicht? :shock:

Aber nein, (sicherheitsrelevante) Bugs gab es doch im LCOS noch nie. Sonst hätte man ja mal in irgendeinem Forum davon gelesen... :G)

Viele Grüße,
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: Lancom vpn zugang ipsec mit Https oder ohne Https?

Beitrag von MariusP »

Hi
Ich würde ja hier gerne mit Sarkasmus antworten, wenn er nicht im Internet fehlinterpretiert werden könnte.

Man kann hier gerne über die Verwendung des Begriffs IPsec-over-HTTPS diskutieren. Ich persönlich finde, dass der Menüpunkt auf der CLI SSL-Encaps.(-Allowed) besser ist.
Bitte bleibt beim Thema ob man auf diese Option beim konfigurieren verzichten sollte.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Lancom vpn zugang ipsec mit Https oder ohne Https?

Beitrag von backslash »

Hi CrystalGame,

jetzt mal unabhängig von der allgemeinen Sicherheitsdiskussion...
Wenn du IPSec über HTTPS einschaltest, dann öffnest du natürlich einen Listener auf TCP-Port 443. Auf dem sitzt nunmal auch die WEBconfig. Da der Port als solches nun offen ist, wird jede einkommende Session darauf erstmal angenommen, denn ob da nun IPSec drin steckt oder eine Anfrage an die WEBconfig kann erst anhand der "Nutzdaten" entschieden werden. Damit kann die WEBconfig nicht anders als die "forbidden" Seite auszuliefern, wenn der Zugriff vom WAN aus verboten wurde. Solange kein schwerwiegender Bug im HTTP-Server des LANCOMs ist, ändert das aber an der Sicherheit des Routers nichts. Und da die WEBconfig nur die statische "forbidden" Seite ausliefert, sehe ich erstmal keinen Angriffsverktor für einen Hacker...

Gruß
Backslash
Antworten