Re: [debian-knoppix] PPTP-Support einbauen?

[Thomas Bayen <t.bayen@bayen.de>]

Klaus Knopper wrote:

> On Wed, Jan 16, 2002 at 10:05:51AM +0100, Thomas Bayen wrote:
>
> > Ich benutze pptp hier ab und zu, um jemanden über das Internet in mein 
> > lokales Netz einzuklinken. Das Sicherheitsproblem wird IMHO überschätzt. 
>
> Nunja, nicht wirklich. Es gibt Firmen, die pptp als "SSH-Ersatz" im
> Internet einsetzen, weil ihnen jemand erzählt hat, dass es verschlüsselt
> und alleine deswegen schon sicher sei. Und dann läuft das Firmen-VPN
> eben über PPTP, inclusive der "ersten zwei Pakete", die alle paar
> Minuten über n+1 Stationen gehen...


Das eigentliche Problem liegt ganz woanders. Ich lasse also einen 
Rechner, z.B. von einem Aussendienstler, in mein lokales Netz. Er hat 
meistens eine direkte Verbindung zum Provider, da kann keiner Pakete 
abfangen. Bei mir laufen die Pakete über mein lokales Ethernet. Wer da 
Pakete abfangen kann, ist sowieso schon so weit drin, das ich ein 
ernstes Problem habe. Also müsste jemand die Pakete im Internet 
abfangen. Erste Frage: Wie gross ist die Wahrscheinlichkeit, das das 
geschieht? Zweite Frage: Wie gross ist die Wahrscheinlichkeit, daß mein 
Aussendienstler vorher auf seinem Rechner mit dem Explorer im Internet 
gesurft ist, mit Outlook EMails gelesen hat, ein neues Spiel aus dem 
Netz geladen hat oder wasweissich getan hat?!? Was lernen wir daraus?!? 
Jede Verbindung, die per pptp in mein Netz hereinkommt, gilt für meine 
Firewallsysteme als unsicher und gefährlich und darf nur genau das tun, 
was sie soll und das auch nur über entsprechende Proxies.

Ob die Verbindung gehackt wird oder nicht, ist daher letztlich egal. Ein 
gutes Sicherheitskonzept muss immer damit rechnen, das alles gehackt wird.



> > Es lässt sich auf den Punkt zurückführen, daß ein Angreifer die 
> > Verschlüsselung knacken kann, wenn er die beiden ersten Datenpakete der 
> > Verbindung abfangen kann. Erstens stellt sich die Frage, wie 
> > wahrscheinlich es ist,
>
> Schau Dir mal ettercap auf der Knoppix an. Das kann auch
> SSH1-Verbindungen übernehmen, und die erste 2 Pakete einer Verbindung
> sollten kein großes Problem darstellen. Auch über Switches. Arp-Spoofing
> macht's möglich.



> > das das jemandem gelingt und zweitens ist das 
> > Problem völlig unbedeutend, wenn es sich um eine Verbindung zwischen Dir 
> > und Deinem Provider handelt (wie offensichtlich in Österreich). 
>
> In dem Fall OK, wenn PPTP nicht wegen der Pseudo-Verschlüsselung sondern
> als Ersatz für PPP eingesetzt wird, wobei man sich dann doch gleich
> fragt, wieso eigentlich nicht gleich PPP?


Weil Du ein Netzwerkkabel hinten in Deinen Rechner steckst und ppp nur 
mit seriellen Verbindungen umgehen kann. Du brauchst also erstmal eine 
Schicht, die eine logische serielle Verbindung aufbaut. Diese Schicht 
kann pppoe sein oder pptp. Letztlich gehen beide Lösungen hin, erstellen 
eine solche logische Verbindung und starten dann pppd. Daher hast Du 
auch bei beiden Systemen letztlich die gleichen Möglichkeiten der 
Authentifizierung, Verschlüsselung, etc., da beide Systeme diese Aufgabe 
letztlich pppd überlassen.


> > pptp hat den grossen Vorteil, daß es ab Windows 95 einen Client dazu in 
> > jedem Win-Rechner gibt.
>
> Für PPP etwa nicht?


Ich meine für ein VPN (z.B. den Aussendienstler).

> > Ich habe das meiner DAU-Schwester gemailt und 
> > sie hat es ganz alleine hinbekommen. Diese DAU-tauglichkeit bieten 
> > andere VPN-Systeme IMHO (noch) nicht.
>
> Putty ist super-easy zu bedienen, und wenn man dedizierte VPN-Router
> verwendet, braucht man überhaupt nichts mehr auf Windows-Seite

> einzustellen, aber das nur nebenbei.


Putty macht kein VPN, sondern nur einen Shellzugang. (Oder habe ich da 
was übersehen - ich bin nämlich auch ein putty-Fan!) Und für manche 
Probleme braucht man einfach ein echtes Netz. (Bei mir ging es um H323 
bzw. Netmeeting, da kräuseln sich in jeder Firewall die Nackenhaare).


> > Kommen wir zurück zum österreichischen Problem... Da ich in Deutschland 
> > sitze, kann ich hier nicht herumprobieren. Ich wäre aber bereit, meine 
> > Erfahrung einzubringen. Es ist so, daß pptp zuerstmal für den 
> > Verbindungsaufbau ganz normale TCP/IP-Verbindungen benötigt und danach 
> > für die Verbindung GRE/IP-Pakete benutzt. Das bedeutet, daß es ein 
> > darunterliegendes IP-Netz geben muss, das diese Pakete routet. Wie 
> > funktioniert das jetzt bei diesem Provider? Hat der Knotenrechner eine 
> > IP-Nummer? Welche IP-Nummer habe ich? Oder mache ich erst eine 
> > DHCP-Anfrage in Richtung DSL-Modem? Und auf welcher IP-Adresse liegt 
> > dann der pptp-Server, den ich anspreche? Helfen bei diesen Fragen könnte 
> > z.B. eine FAQ des Providers zum Thema "Linux-Verbindungsaufbau" oder 
> > auch "Windows-Verbindungsaufbau ohne spezielle Software des Providers". 
>
> Genau das ist auch mein Problem: Ich habe keinerlei Info dazu. Müsste
> also jemand mal dokumentieren, der es in Österreich benutzt. Soweit ich
> mich erinnere, sind einige Österreicher auf dieser Liste (abgesehen von
> mir, aber ich wohne ja nicht dort. ;-)
>
> Ich weiß auch nicht, ob pppoeconf der richtige Ort zum Einbauen von
> PPTP/DSL-Support ist. Dann sollte es wohl umbenannt werden in
> dslconfig oder so.


In der Mail von Michael Zacherl steht ein Link zu einem HOWTO
(http://howto.htlw16.ac.at/at-highspeed-howto-2.html), der ist sehr 
informativ. Damit dürfte es kein Problem sein. Eventuell nochmal ein 
Blick in meine Wiki-Seite (das Kapitel über Linux-Clients). Im Prinzip 
muss die Netzwerkkarte auf eine angegebene IP-Adresse gesetzt werden und 
dann eine pptp-Verbindung zu einer zweiten angegebenen IP-Adresse 
aufgebaut werden - Fertig!.

Die einzige echte Frage ist, wie man die Zugangsdaten in die 
pap/chap-secrets bekommt. Da muss ein grafisches 
Konfigurations-Programm, ähnlich der Netzwerk-Konfiguration her.

Die Konfiguration gehört IMHO nach /etc/ppp/peers/austria-dsl oder so. 
pppoeconf ist meines Erachtens philosophisch nicht ganz richtig 
erstellt, weil sie Einstellungen für pppoe und pppd mischt. Wenn ich 
mich richtig erinnere, hat der pptp-Client keine eigenen Einstellungen, 
so daß man nur die normale (d.h. Debian-übliche) Datei im 
peers-Verzeichnis braucht, um den pppd einzustellen (und natürlich die 
pap/chap-secrets).

Übrigens glaube ich mich zu erinnern, das es zwei Methoden gibt, diese 
zweischichtigen Verbindungen aufzubauen. Entweder man startet pppd und 
sagt ihm, das er, wenn er eine Verbindung haben möchte, ein bestimmtes 
Programm benutzt, um eine logische Verbindung aufzubauen. Oder man 
startet pppoe (oder pptp) und sagt ihm, daß es, wenn die logische 
Verbindung steht, darauf pppd starten soll. Der praktische Unterschied 
ist, dass wenn die Verbindung physikalisch abbricht, pppoe beendet wird. 
Dann läuft bei der ersten Variante der pppd weiter und kann einen neuen 
Verbindungsaufbau versuchen (Bei T-Online sehr wichtig). Bei der zweiten 
Variante ist dann Schluss, da der Mutterprozess abbricht. Mit pppoe 
gehen beide Varianten, mit pptp habe ich bisher leider nur die zweite 
hinbekommen. D.h. wenn die pptp-Verbindung nicht sofort zustande kommt, 
wird der pppd nie gestartet und all die schönen Einstellungen von wegen 
auto-redial etc. werden nie geladen. :-(


> Gruß
> 		-Klaus

Mit freundlichen Grüßen,
      Thomas Bayen

Thomas Bayen, tbayen@bayen.de
Bleichpfad 22, 47799 Krefeld, Tel. +49 2151 29262

_______________________________________________
debian-knoppix mailing list
debian-knoppix@linuxtag.org
http://mailman.linuxtag.org/mailman/listinfo/debian-knoppix