Re: [debian-knoppix] PPTP-Support einbauen?
Klaus Knopper wrote:
On Wed, Jan 16, 2002 at 10:05:51AM +0100, Thomas Bayen wrote:
Ich benutze pptp hier ab und zu, um jemanden über das Internet in mein
lokales Netz einzuklinken. Das Sicherheitsproblem wird IMHO überschätzt.
Nunja, nicht wirklich. Es gibt Firmen, die pptp als "SSH-Ersatz" im
Internet einsetzen, weil ihnen jemand erzählt hat, dass es verschlüsselt
und alleine deswegen schon sicher sei. Und dann läuft das Firmen-VPN
eben über PPTP, inclusive der "ersten zwei Pakete", die alle paar
Minuten über n+1 Stationen gehen...
Das eigentliche Problem liegt ganz woanders. Ich lasse also einen
Rechner, z.B. von einem Aussendienstler, in mein lokales Netz. Er hat
meistens eine direkte Verbindung zum Provider, da kann keiner Pakete
abfangen. Bei mir laufen die Pakete über mein lokales Ethernet. Wer da
Pakete abfangen kann, ist sowieso schon so weit drin, das ich ein
ernstes Problem habe. Also müsste jemand die Pakete im Internet
abfangen. Erste Frage: Wie gross ist die Wahrscheinlichkeit, das das
geschieht? Zweite Frage: Wie gross ist die Wahrscheinlichkeit, daß mein
Aussendienstler vorher auf seinem Rechner mit dem Explorer im Internet
gesurft ist, mit Outlook EMails gelesen hat, ein neues Spiel aus dem
Netz geladen hat oder wasweissich getan hat?!? Was lernen wir daraus?!?
Jede Verbindung, die per pptp in mein Netz hereinkommt, gilt für meine
Firewallsysteme als unsicher und gefährlich und darf nur genau das tun,
was sie soll und das auch nur über entsprechende Proxies.
Ob die Verbindung gehackt wird oder nicht, ist daher letztlich egal. Ein
gutes Sicherheitskonzept muss immer damit rechnen, das alles gehackt wird.
Es lässt sich auf den Punkt zurückführen, daß ein Angreifer die
Verschlüsselung knacken kann, wenn er die beiden ersten Datenpakete der
Verbindung abfangen kann. Erstens stellt sich die Frage, wie
wahrscheinlich es ist,
Schau Dir mal ettercap auf der Knoppix an. Das kann auch
SSH1-Verbindungen übernehmen, und die erste 2 Pakete einer Verbindung
sollten kein großes Problem darstellen. Auch über Switches. Arp-Spoofing
macht's möglich.
das das jemandem gelingt und zweitens ist das
Problem völlig unbedeutend, wenn es sich um eine Verbindung zwischen Dir
und Deinem Provider handelt (wie offensichtlich in Österreich).
In dem Fall OK, wenn PPTP nicht wegen der Pseudo-Verschlüsselung sondern
als Ersatz für PPP eingesetzt wird, wobei man sich dann doch gleich
fragt, wieso eigentlich nicht gleich PPP?
Weil Du ein Netzwerkkabel hinten in Deinen Rechner steckst und ppp nur
mit seriellen Verbindungen umgehen kann. Du brauchst also erstmal eine
Schicht, die eine logische serielle Verbindung aufbaut. Diese Schicht
kann pppoe sein oder pptp. Letztlich gehen beide Lösungen hin, erstellen
eine solche logische Verbindung und starten dann pppd. Daher hast Du
auch bei beiden Systemen letztlich die gleichen Möglichkeiten der
Authentifizierung, Verschlüsselung, etc., da beide Systeme diese Aufgabe
letztlich pppd überlassen.
pptp hat den grossen Vorteil, daß es ab Windows 95 einen Client dazu in
jedem Win-Rechner gibt.
Für PPP etwa nicht?
Ich meine für ein VPN (z.B. den Aussendienstler).
Ich habe das meiner DAU-Schwester gemailt und
sie hat es ganz alleine hinbekommen. Diese DAU-tauglichkeit bieten
andere VPN-Systeme IMHO (noch) nicht.
Putty ist super-easy zu bedienen, und wenn man dedizierte VPN-Router
verwendet, braucht man überhaupt nichts mehr auf Windows-Seite
einzustellen, aber das nur nebenbei.
Putty macht kein VPN, sondern nur einen Shellzugang. (Oder habe ich da
was übersehen - ich bin nämlich auch ein putty-Fan!) Und für manche
Probleme braucht man einfach ein echtes Netz. (Bei mir ging es um H323
bzw. Netmeeting, da kräuseln sich in jeder Firewall die Nackenhaare).
Kommen wir zurück zum österreichischen Problem... Da ich in Deutschland
sitze, kann ich hier nicht herumprobieren. Ich wäre aber bereit, meine
Erfahrung einzubringen. Es ist so, daß pptp zuerstmal für den
Verbindungsaufbau ganz normale TCP/IP-Verbindungen benötigt und danach
für die Verbindung GRE/IP-Pakete benutzt. Das bedeutet, daß es ein
darunterliegendes IP-Netz geben muss, das diese Pakete routet. Wie
funktioniert das jetzt bei diesem Provider? Hat der Knotenrechner eine
IP-Nummer? Welche IP-Nummer habe ich? Oder mache ich erst eine
DHCP-Anfrage in Richtung DSL-Modem? Und auf welcher IP-Adresse liegt
dann der pptp-Server, den ich anspreche? Helfen bei diesen Fragen könnte
z.B. eine FAQ des Providers zum Thema "Linux-Verbindungsaufbau" oder
auch "Windows-Verbindungsaufbau ohne spezielle Software des Providers".
Genau das ist auch mein Problem: Ich habe keinerlei Info dazu. Müsste
also jemand mal dokumentieren, der es in Österreich benutzt. Soweit ich
mich erinnere, sind einige Österreicher auf dieser Liste (abgesehen von
mir, aber ich wohne ja nicht dort. ;-)
Ich weiß auch nicht, ob pppoeconf der richtige Ort zum Einbauen von
PPTP/DSL-Support ist. Dann sollte es wohl umbenannt werden in
dslconfig oder so.
In der Mail von Michael Zacherl steht ein Link zu einem HOWTO
(http://howto.htlw16.ac.at/at-highspeed-howto-2.html), der ist sehr
informativ. Damit dürfte es kein Problem sein. Eventuell nochmal ein
Blick in meine Wiki-Seite (das Kapitel über Linux-Clients). Im Prinzip
muss die Netzwerkkarte auf eine angegebene IP-Adresse gesetzt werden und
dann eine pptp-Verbindung zu einer zweiten angegebenen IP-Adresse
aufgebaut werden - Fertig!.
Die einzige echte Frage ist, wie man die Zugangsdaten in die
pap/chap-secrets bekommt. Da muss ein grafisches
Konfigurations-Programm, ähnlich der Netzwerk-Konfiguration her.
Die Konfiguration gehört IMHO nach /etc/ppp/peers/austria-dsl oder so.
pppoeconf ist meines Erachtens philosophisch nicht ganz richtig
erstellt, weil sie Einstellungen für pppoe und pppd mischt. Wenn ich
mich richtig erinnere, hat der pptp-Client keine eigenen Einstellungen,
so daß man nur die normale (d.h. Debian-übliche) Datei im
peers-Verzeichnis braucht, um den pppd einzustellen (und natürlich die
pap/chap-secrets).
Übrigens glaube ich mich zu erinnern, das es zwei Methoden gibt, diese
zweischichtigen Verbindungen aufzubauen. Entweder man startet pppd und
sagt ihm, das er, wenn er eine Verbindung haben möchte, ein bestimmtes
Programm benutzt, um eine logische Verbindung aufzubauen. Oder man
startet pppoe (oder pptp) und sagt ihm, daß es, wenn die logische
Verbindung steht, darauf pppd starten soll. Der praktische Unterschied
ist, dass wenn die Verbindung physikalisch abbricht, pppoe beendet wird.
Dann läuft bei der ersten Variante der pppd weiter und kann einen neuen
Verbindungsaufbau versuchen (Bei T-Online sehr wichtig). Bei der zweiten
Variante ist dann Schluss, da der Mutterprozess abbricht. Mit pppoe
gehen beide Varianten, mit pptp habe ich bisher leider nur die zweite
hinbekommen. D.h. wenn die pptp-Verbindung nicht sofort zustande kommt,
wird der pppd nie gestartet und all die schönen Einstellungen von wegen
auto-redial etc. werden nie geladen. :-(
Gruß
-Klaus
Mit freundlichen Grüßen,
Thomas Bayen
Thomas Bayen, tbayen@bayen.de
Bleichpfad 22, 47799 Krefeld, Tel. +49 2151 29262
_______________________________________________
debian-knoppix mailing list
debian-knoppix@linuxtag.org
http://mailman.linuxtag.org/mailman/listinfo/debian-knoppix
Reply to: