Re: vpn: PPTP und IPsec

To: debian-user-german@lists.debian.org
Subject: Re: vpn: PPTP und IPsec
From: Harald Weidner <hweidner-lists@gmx.net>
Date: 9 Feb 2009 20:12:17 GMT
Message-id: <[🔎] gmq2n1$5la$1@dedi.hweidner.de>
In-reply-to: <[🔎] 49903A80.60000@shlink.ch>

Hallo,

Wolfgang Friedl <wolfgang.friedl@shlink.ch>:

>Es heisst "überall", dass die Microsoft Implementierung von VPN via PPTP 
>  unsicher sei.

>==> Bedeutet das, dass
>* es unsicher ist, einen VPN-Server unter MS zu betreiben, an den sich 
>etwas x-beliebiges verbindet?
>* es unsicher ist, wenn ein MS-VPN-Client sich an ein x-beliebiges 
>VPN/PPTP System (Router) verbindet?

Es gibt unterschiedliche Schwächen in PPTP. Die bekannteste davon
betrifft das Protokoll an sich. Sie hat mir der Länge der Passworte
zu tun. Stark vereinfacht ausgedrückt besagt sie, dass man bei PPTP
ein ca. 50% längeres Passwort braucht, um die gleiche Sicherheit gegen
Brute Force Passwort-Angriffe zu haben, als bei anderen Kryptosystemen.
Also z.B. ein 12 Zeichen langes Passwort, um die Sicherheit eines
8-Zeichen Passwortes in einem System ohne diese Schwachstelle zu
erreichen.

>oder - warauf ich hinauswill: wenn mein Router VPN/PPTP anbietet: bietet 
>er dann ein "besseres" VPN/PPTP an oder ist das einerlei?
>
><http://www.schneier.com/pptp-faq.html>
>"6. What's the answer?
>Don't use Microsoft PPTP. Again, this attack is against Microsoft PPTP, 
>not PPTP in general. PPTP allows all sorts of encryption and 
>authentication schemes; Microsoft just invented some really lousy ones...."

Der Angriff von Schneier bezieht sich auf die Default Konfiguration
von PPTP in Windows NT und 2000. Er betrifft sowohl Windows als Server
als auch als Client, ist aber schon relativ alt.

Was den PPTP Server angeht, wurden die Probleme irgendwann behoben, ich
bin mir nicht mehr sicher, ob es in Windows 2000 SP1 oder 2 war. Damit
Windows als PPTP Client mit einem vernünftig konfigurierten Server
sprechen kann, brauchte man das Windows 2000 High Encryption Pack.
Ob es das für NT 4 und älter auch gab, weiss ich nicht. Mit XP und
Server 2003 ist das alles Geschichte.

Mit Linux und PoPToP als PPTP Server lässt sich (abgesehen von dem
obigen Passwortproblem) durchaus ein adäquates Sicherheitsniveau
erreichen. Voraussetzung dafür ist, mindestens pppd Version 2.4.2
und MPPE Support im Kernel zu verwenden. In der Konfigurationsdatei
müssen die älteren und schwachen Betriebsmodi explizit verboten werden.

Und um nun doch wieder Ontopic zu werden, ein Beispiel dafür befindet
sich im Debian-Paket pptpd unter
/usr/share/doc/pptpd/examples/options.pptpd

>Danke für Tipps - auch für weiterführende Links zum Selbststudium :-)

Einen guten Einstieg bieten die Links im Wikipedia Eintrag zu PPTP.

Gruß, Harald

Reply to:

Follow-Ups:
- Re: vpn: PPTP und IPsec
  - From: Wolfgang Friedl <wolfgang.friedl@shlink.ch>

References:
- vpn: PPTP und IPsec
  - From: Wolfgang Friedl <wolfgang.friedl@shlink.ch>

Prev by Date: Synchronisation von Palm, Handy, Netbook und Desktop
Next by Date: Re: apt-get fragt nach Netinstall-CD
Previous by thread: vpn: PPTP und IPsec
Next by thread: Re: vpn: PPTP und IPsec
Index(es):
- Date
- Thread