Re: [OT] Cisco VPN Client auf Sarge?

To: debian-user-german@lists.debian.org
Subject: Re: [OT] Cisco VPN Client auf Sarge?
From: Jan Luehr <jluehr@gmx.net>
Date: Fri, 25 Nov 2005 21:11:01 +0100
Message-id: <[🔎] 200511252111.01484.jluehr@gmx.net>
In-reply-to: <[🔎] 20051125192049.GB4686@sven.home.hoaxter.de>
References: <[🔎] 200511250929.27822.jluehr@gmx.net> <[🔎] 200511251551.20784.jluehr@gmx.net> <[🔎] 20051125192049.GB4686@sven.home.hoaxter.de>

ja hallo erstmal,...

Am Freitag, 25. November 2005 20:20 schrieb Sven Hoexter:
> On Fri, Nov 25, 2005 at 03:51:20PM +0100, Jan Luehr wrote:
> > Am Freitag, 25. November 2005 14:25 schrieb Sven Hoexter:
> > > Guck dir mal vpnc an das funktioniert als astreines 1:1 replacement und
> > > hat eine kuerzere Konfiguration und nutzt nur das tun device das dir
> > > der Kernel zur verfuegung stellt.
> >
> > Also, du empfehlst mir einen VPN Client im frühen Beta-Stadium, aufdessen
> > Home, in großen, dicken fetten Buchstaben steht:
> >
> > "Known Bugs / TODO [...]
> > certificate support (Pre-Shared-Key + XAUTH is known to be insecure!)
> > [...]"
> >
> > Auch wenn es gut gemeint ist, VPNs sind idR sicherheitskritisch. Hier
> > sollte man tunlichst von solchen Dingen im produktiven Gebiet Abstand
> > nehmen!
>
> Ja und Du glaubst dran das der Cisco Client das sicherer macht wenn das
> Problem im Verfahren liegt und nicht in der Implementierung? Oder hab
> ich das Problem mit den Pre Shared Keys nicht verstanden?

Schau mal unter dem angegebenen Link:
"The MITM attack vulnerability described in this document is no longer 
possible because of the additional digital signature that binds the keying 
material to the Cisco VPN 3000 Concentrator's digital certificate.
This feature, called "Mutual Group Authentication", first appeared in release 
4.0.5 of the Cisco VPN software (client and concentrator) and is documented 
in the release notes for this version:"

So wie ich known-bugs / todo verstehe kann vpnc dass noch nicht.

> Da ich das System nicht von der Admin Seite her kenne ist es fuer mich
> jetzt etwas muessig darueber zu spekulieren welche anderen Verfahren es
> noch zur verfuegung stellt und welche Probleme diese haben oder eben nicht.
> Ansonsten tauchen die CISCO VPN Accessconcentrator schonmal oefters in den
> relevanten Newslettern auf - ob das alles praxis relevant ist entzieht sich
> allerdings auch meiner Kenntniss.

Wenn ich in einem sicherheitsrelevanten Szenario die Wahl, zwischen einem 
stabilen Client habe, bei dem dies sei 4 Monaten gefixt ist, und einem 
Beta-Produkt, bei dem dies wahrscheinlich mindestns genauso so lange auf der 
TODO steht, dann halte ich es für sehr fragwürdig, sich für das Beta-Produkt 
zu entscheiden.

Keep smiling
yanosz

Reply to:

Follow-Ups:
- Re: [OT] Cisco VPN Client auf Sarge?
  - From: Sven Hoexter <sven@timegate.de>

References:
- [OT] Cisco VPN Client auf Sarge?
  - From: Jan Luehr <jluehr@gmx.net>
- Re: [OT] Cisco VPN Client auf Sarge?
  - From: Jan Luehr <jluehr@gmx.net>
- Re: [OT] Cisco VPN Client auf Sarge?
  - From: Sven Hoexter <sven@timegate.de>

Prev by Date: Re: Debian mit Fritz!Card DSL SL
Next by Date: Re: woher OOo 2.0 fuer sarge?
Previous by thread: Re: [OT] Cisco VPN Client auf Sarge?
Next by thread: Re: [OT] Cisco VPN Client auf Sarge?
Index(es):
- Date
- Thread