Re: [debian-knoppix] PPTP-Support einbauen?

To: Thomas Bayen <t.bayen@bayen.de>
Cc: debian-knoppix@linuxtag.org
Subject: Re: [debian-knoppix] PPTP-Support einbauen?
From: Klaus Knopper <knopper@linuxtag.org>
Date: Wed, 16 Jan 2002 13:44:38 +0100
Message-id: <[🔎] 20020116134437.Z14434@linuxtag.org>
In-reply-to: <[🔎] 3C456F78.5050609@bayen.de>
References: <[🔎] 20020116063412.U14434@linuxtag.org> <[🔎] 3C45426F.3080203@bayen.de> <[🔎] 20020116103024.V14434@linuxtag.org> <[🔎] 3C456F78.5050609@bayen.de>

On Wed, Jan 16, 2002 at 01:18:00PM +0100, Thomas Bayen wrote:
> Das eigentliche Problem liegt ganz woanders. Ich lasse also einen 
> Rechner, z.B. von einem Aussendienstler, in mein lokales Netz. Er hat 
> meistens eine direkte Verbindung zum Provider, da kann keiner Pakete 
> abfangen. Bei mir laufen die Pakete über mein lokales Ethernet. Wer da 
> Pakete abfangen kann, ist sowieso schon so weit drin, das ich ein 
> ernstes Problem habe.

Klar, wenn man ein überschaubares Intranet hat. Es gibt aber auch
größere Firmen, bei denen es sogar Grabenkriege zwischen Abteilungen
gibt, und dort ist dann crime easy.

> Also müsste jemand die Pakete im Internet 
> abfangen. Erste Frage: Wie gross ist die Wahrscheinlichkeit, das das 
> geschieht?

Die Wahrscheinlichkeit, dass deine Pakete beim Transport über das
Internet über Logging-Mechanismen laufen, von denen Du nichts weisst
und (normalerweise) auch nichts mitbekommst? Mal überlegen... Ja,
ich schätze, das sind etwa 100%. :-)

Die Frage ist eher, ob es die "guten" oder die "bösen" sind, die
mithören.

> Zweite Frage: Wie gross ist die Wahrscheinlichkeit, daß mein 
> Aussendienstler vorher auf seinem Rechner mit dem Explorer im Internet 
> gesurft ist, mit Outlook EMails gelesen hat, ein neues Spiel aus dem 
> Netz geladen hat oder wasweissich getan hat?!? Was lernen wir daraus?!? 
> Jede Verbindung, die per pptp in mein Netz hereinkommt, gilt für meine 
> Firewallsysteme als unsicher und gefährlich und darf nur genau das tun, 
> was sie soll und das auch nur über entsprechende Proxies.

Siehe auch O'Reilly "Building Internet Firewalls". Dieser Fall ist
nicht nur auf PPTP beschränkt, nur gaukelt gerade dieses eine Sicherheit
vor, die nicht existiert, und das macht es umso gefährlicher.

> Ob die Verbindung gehackt wird oder nicht, ist daher letztlich egal. Ein 
> gutes Sicherheitskonzept muss immer damit rechnen, das alles gehackt wird.

Widerspruch. Ein gutes Sicherheitskonzept muss eine akzeptable Prozedur
haben, die angetriggert wird, WENN was passiert. Ein Sicherheitskonzept,
das von vornherein davon ausgeht, dass es gehackt werden wird, würde
mich eher nervös machen. Dann schon lieber eines, was unkomfortabel aber
sicher ist. *Schnipp*

> >In dem Fall OK, wenn PPTP nicht wegen der Pseudo-Verschlüsselung sondern
> >als Ersatz für PPP eingesetzt wird, wobei man sich dann doch gleich
> >fragt, wieso eigentlich nicht gleich PPP?
> 
> 
> Weil Du ein Netzwerkkabel hinten in Deinen Rechner steckst und ppp nur 
> mit seriellen Verbindungen umgehen kann.

Nö. PPP ist eine andere Schicht. In "VPNs" ist eine schöne Methode
beschrieben, mit SSH ein VPN aufzubauen, indem auf beiden Seiten ein
pppd gestartet wird, wobei der Server-Teil das dynamische Routing
übernimmt. Hier läuft PPP schon über SSH/TCP (nicht wie sonst umgekehrt),
pppoe ist dann die konsequente Fortführung (nur ohne die drunterliegende
Verschlüsselungsschicht der SSH).

> Du brauchst also erstmal eine 
> Schicht, die eine logische serielle Verbindung aufbaut.

V.32, SLIP, PLIP, TCP, ... Und darüber kann ich problemlos PPP fahren.

> Diese Schicht 
> kann pppoe sein oder pptp. Letztlich gehen beide Lösungen hin, erstellen 
> eine solche logische Verbindung und starten dann pppd. Daher hast Du 
> auch bei beiden Systemen letztlich die gleichen Möglichkeiten der 
> Authentifizierung, Verschlüsselung, etc., da beide Systeme diese Aufgabe 
> letztlich pppd überlassen.

So wie ich es sehe ersetzt der pptpd den pppd aber und macht das Routing
selbst. Oder täusche ich mich da?

> >Für PPP etwa nicht?
> 
> Ich meine für ein VPN (z.B. den Aussendienstler).

Anstatt mich auf in Windows eingebaute Sicherheitsmechanismen zu
verlassen, würde ich dem Aussendienstmitarbeiter eher eine SSH
mitgeben, und er darf sich dann meinetwegen als drunterliegende Schicht
eine AOL-CD einschieben.

> Putty macht kein VPN, sondern nur einen Shellzugang. (Oder habe ich da 
> was übersehen - ich bin nämlich auch ein putty-Fan!)

Ich meine, auch Port-Forwarding in Putty gesehen zu haben, aber das
bekomme ich nur sporadisch mit, habe seit einer Ewigkeit keinen
Windows-Rechner mehr gesehen.

> Und für manche 
> Probleme braucht man einfach ein echtes Netz. (Bei mir ging es um H323 
> bzw. Netmeeting, da kräuseln sich in jeder Firewall die Nackenhaare).

In der Tat. Aber dann würde ich doch eher einen VPN-Router einsetzen,
und diesen mit Blowfish einen bestimmten Port per TCP tunneln lassen.
Oder IPSec. Das sollen gerüchteweise auch Windows-Rechner inzwischen
hinbekommen.

> In der Mail von Michael Zacherl steht ein Link zu einem HOWTO
> (http://howto.htlw16.ac.at/at-highspeed-howto-2.html), der ist sehr 
> informativ. Damit dürfte es kein Problem sein. Eventuell nochmal ein 
> Blick in meine Wiki-Seite (das Kapitel über Linux-Clients). Im Prinzip 
> muss die Netzwerkkarte auf eine angegebene IP-Adresse gesetzt werden und 
> dann eine pptp-Verbindung zu einer zweiten angegebenen IP-Adresse 
> aufgebaut werden - Fertig!.

Kann man das nicht als Alternative in das schöne pppoeconf von Zomb
einbauen?

> Die einzige echte Frage ist, wie man die Zugangsdaten in die 
> pap/chap-secrets bekommt. Da muss ein grafisches 
> Konfigurations-Programm, ähnlich der Netzwerk-Konfiguration her.

Siehe pppoeconf!

> Übrigens glaube ich mich zu erinnern, das es zwei Methoden gibt, diese 
> zweischichtigen Verbindungen aufzubauen. Entweder man startet pppd und 
> sagt ihm, das er, wenn er eine Verbindung haben möchte, ein bestimmtes 
> Programm benutzt, um eine logische Verbindung aufzubauen. Oder man 
> startet pppoe (oder pptp) und sagt ihm, daß es, wenn die logische 
> Verbindung steht, darauf pppd starten soll. Der praktische Unterschied 
> ist, dass wenn die Verbindung physikalisch abbricht, pppoe beendet wird. 
> Dann läuft bei der ersten Variante der pppd weiter und kann einen neuen 
> Verbindungsaufbau versuchen (Bei T-Online sehr wichtig). Bei der zweiten 
> Variante ist dann Schluss, da der Mutterprozess abbricht. Mit pppoe 
> gehen beide Varianten, mit pptp habe ich bisher leider nur die zweite 
> hinbekommen. D.h. wenn die pptp-Verbindung nicht sofort zustande kommt, 
> wird der pppd nie gestartet und all die schönen Einstellungen von wegen 
> auto-redial etc. werden nie geladen. :-(

Also, wir brauchen jemand, in Österreich, der es testen kann, und
jemand, der es (vielleicht in pppoeconf) integriert.

Gruß
		-Klaus
--
Klaus Knopper                  LinuxTag 2002 - Europes largest Linux Expo
Technical Solutions                                 Where .com meets .org
knopper@linuxtag.de                               http://www.linuxtag.de/
Phone +49-(0)180-5-546898                         Fax +49-(0)180-5-546893
_______________________________________________
debian-knoppix mailing list
debian-knoppix@linuxtag.org
http://mailman.linuxtag.org/mailman/listinfo/debian-knoppix

Reply to:

Follow-Ups:
- Re: [debian-knoppix] PPTP-Support einbauen?
  - From: Thomas Bayen <t.bayen@bayen.de>
- Re: [debian-knoppix] PPTP-Support einbauen?
  - From: Michael Zacherl <mz@bacher.at>

References:
- [debian-knoppix] PPTP-Support einbauen?
  - From: Klaus Knopper <knopper@linuxtag.org>
- Re: [debian-knoppix] PPTP-Support einbauen?
  - From: Thomas Bayen <t.bayen@bayen.de>
- Re: [debian-knoppix] PPTP-Support einbauen?
  - From: Klaus Knopper <knopper@linuxtag.org>
- Re: [debian-knoppix] PPTP-Support einbauen?
  - From: Thomas Bayen <t.bayen@bayen.de>

Prev by Date: [debian-knoppix] ettercap und ssh
Next by Date: Re: [debian-knoppix] ettercap und ssh
Previous by thread: Re: [debian-knoppix] PPTP-Support einbauen?
Next by thread: Re: [debian-knoppix] PPTP-Support einbauen?
Index(es):
- Date
- Thread