Security Professionals - ipfw add deny all from eindgebruikers to any

PPTP, OpenVPN?

01-01-2013, 23:59 door Anoniem, 20 reacties
Hallo allen,

Welke VPN oplossing is een save choice?

Ik lees over PPTP:
https://www.schneier.com/pptp.html ..maar dat is al jaren onveranderd. Heeft Microsoft dat niet al gepatched?

En hoe zit dat met OpenVPN? Is dat veilig om te gebruiken?
Reacties (20)
02-01-2013, 12:00 door Anoniem
PPTP niet gebruiken, erg lek (Google het?)
OpenVPN is safe en wordt actief onderhouden.
02-01-2013, 12:08 door Anoniem
Kijk naar deze link:

https://www.security.nl/artikel/42480/1/%22Microsoft%27s_PPTP_VPN_volledig_gekraakt%22.html
02-01-2013, 12:20 door [Account Verwijderd]
[Verwijderd]
02-01-2013, 15:43 door Anoniem
Als je binnen de standaard Windows software wilt blijven kun je ook L2TP/IPsec gebruiken.
Dat wordt ook ondersteund op commerciele routers (zoals Cisco).
03-01-2013, 10:59 door Anoniem
Ja, OpenVPN is prima keuze. Heb dit geadviseerd bij project voor een gemeente in 2007. Tot volle tevredenheid van alle betrokken partijen.
03-01-2013, 11:58 door Anoniem
Ik zou voor een willekeurig SSL VPN kiezen, onafhankelijk van de leverancier :)
03-01-2013, 13:00 door Anoniem
Mocht je de mogelijkheid hebben om de VPN zelf op te zetten, dan raad ik je dit aan. Je kunt hiervoor gebruik maken van Linux servers / shells en hier OpenVPN op configureren.
10-01-2013, 22:33 door Anoniem
Door Hugo: OpenVPN is een prima keuze. Veilig genoeg, zelfs Departementaal Vertrouwelijk.
https://www.aivd.nl/organisatie/eenheden/nationaal-bureau/artikel/inzetadviezen/

Let dan wel even op dat er een aangepaste overheids versie van open vpn is...

https://openvpn.fox-it.com/

niet elke openvpn implementatie is veilig!
29-01-2013, 19:26 door hx0r3z
OpenVPN. Heb zelf ook 2 openvpn servers erg tevreden over, ook performance wise. Allemaal top.
Ik raad je wel aan om tcp te gebruiken en comp-lzo aan te zetten.

En natuurlijk raad ik je wel aan om een goede encryption bit te gebruiken voor SSL of TLS.

256+ voor cert en 1024 voor data ofzo

Good luck.
29-01-2013, 23:26 door rednax
Ik ben het met geen van de reacties eens waar jouw wordt verteld wat je moet kiezen.
Je moet kijken naar wat er benodigd is in jouw situatie.
Kost je wat uit zoek werk, maar dan weet je zeker dat je de juiste keuze hebt gemaakt en waarom.
Niet met de reden: dat zeggen ze op internet.

Als je OpenVPN gebruikt heb je een extra server nodig.
Heb je VPN op basis van L2TP met IP-Sec kun je dit op bijv. op Cisco apparatuur instellen.
Zou goedkoper kunnen zijn als je die hardware reeds hebt staan.

De laatste optie hebben wij pas aan een verzekeringsbedrijf aangeraden.
30-01-2013, 10:54 door hx0r3z
Door rednax:
Als je OpenVPN gebruikt heb je een extra server nodig.

Nee? Wat is dit voor een onzin. Je kunt het bijna op elke linux distro draaien.
Gewoon en ssh shell met root of vps huren voor een paar euro per maand en klaar ben je.
30-01-2013, 13:13 door Anoniem
Door rednax: Ik ben het met geen van de reacties eens waar jouw wordt verteld wat je moet kiezen.

Heb je VPN op basis van L2TP met IP-Sec kun je dit op bijv. op Cisco apparatuur instellen.
Zou goedkoper kunnen zijn als je die hardware reeds hebt staan.

Dat had ik anders op 2-1-2013 ook al geschreven.... dus waarom je het daar dan niet mee eens bent snap ik niet.

Ik ben het met jou eens dat dit zeker voor bedrijven een goede oplossing is. Daar staan toch vaak wel cisco routers
en daar richt je dat zo op in, zonder dat je weer een Linux box moet optuigen en beheren.
Radius authenticatie met je active directory of met een two-factor authenticatie systeem, dat heb je zo werkend.
En in je Windows client alleen maar even "verbinding maken met mijn werk" aanklikken, niks geen software te
installeren ofzo.
30-01-2013, 14:18 door Anoniem
Uit mijn eigen ervaring de volgende Netwerkschijven hebben al standaard een PPTP en OpenVPN ingebouwd service.

Synology DS en QNAP TS. Let wel op dat bij sommige van deze modules het aantaal VPN connectie is beperk tot 5 connecties. heb je meer connecties nodig dan kijk voor de modules dat het best op je wensen aansluit.

verder voor de VPN zal ik je adviseren om alleen van de door je bekende IP/IP Range te laten aanmelden. niet via een gratis openbaar WiFi om de hoek. dit verhoogt de veligheid voor je Netwerk. Vergeet het niet dat zodra heb je een VPN connectie tot stand gebracht, zijn alle porten open. Dus Virteul zit je all aan de LAN zijde van je netwerk.


Geef ook graag dan een Feedback.

mvg
Fraidon
30-01-2013, 15:09 door yobi
Houdt bij PPTP wel rekening met de volgende aanbevelingen:
http://technet.microsoft.com/en-us/security/advisory/2743314
30-01-2013, 16:26 door Anoniem
OpenVPN. PPTP is vooralsnog makkelijker te tappen. Bij beide is het zo dat je goed op moet letten over welk netwerk je de sleutel hebt verkregen, wordt gedeeld. Voor de veiligheid is het belangrijk sleutels namelijk niet te verkrijgen, te delen via hetzelfde netwerk als waarop je ze gebruikt, al helemaal niet zonder encryptie. Vergeet niet dat keyrolling exchange ook gemirrord kan worden. Makkelijker dan men denkt, encryptie is niet meer dan gepretendeerde assymetrie door complexe verhulling van symetrie. werkelijke asymetrie zou niet te decrypten zijn. dubbelcheck server tokens/certificaten etc en sla ze hardcoded op. zulke dingetjes kunnen ook helpen.
31-01-2013, 07:29 door Anoniem
Door hx0r3z: OpenVPN. Heb zelf ook 2 openvpn servers erg tevreden over, ook performance wise. Allemaal top.
Ik raad je wel aan om tcp te gebruiken en comp-lzo aan te zetten.

Waarom over TCP en niet UDP?
05-02-2013, 14:43 door Anoniem
Door Anoniem:
Door hx0r3z: OpenVPN. Heb zelf ook 2 openvpn servers erg tevreden over, ook performance wise. Allemaal top.
Ik raad je wel aan om tcp te gebruiken en comp-lzo aan te zetten.

Waarom over TCP en niet UDP?

Omdat je dan geen packet loss hebt soort van. Je kan ook zeker UDP nemen veel verschil zit er niet in het zou zelfs iets sneller moeten zijn.
05-02-2013, 15:13 door Anoniem
Draaien van een VPN over TCP wordt in het algemeen als een slecht idee gezien, omdat je dan twee levels van re-tries hebt.

De applicatie gebruikt TCP en deze doet na een bepaalde tijd geen antwoord gehad te hebben een re-try door de informatie opnieuw te sturen, maar de VPN laag heeft zelf ook een TCP en doet dus ook re-tries. In geval van packetloss wordt er daardoor veel te veel informatie (opnieuw) verzonden, en als die packetloss per ongeluk het gevolg is van overbelasting dan kan dit leiden tot een "congestion collapse".
(er worden alleen nog maar retries verstuurd, en er komt niks nuttigs meer over de lijn)

Ook zijn er protocollen die juist UDP gebruiken om geen re-tries te hebben (pakket komt aan of pakket gaat verloren, maar niet pakket komt na 20 seconden ineens toch aan) en die ontneem je die keuze door TCP te gebruiken in je VPN laag.

Liever niet doen dus. Het enige voordeel van TCP in je VPN is dat je compressie kunt gebruiken die historie opbouwt over meerdere paketten (kan niet met lossy protocollen omdat de ontvanger altijd dezelfde historie moet hebben als de zender), maar of OpenVPN dat wel doet weet ik niet, gegeven het feit dat het ook over UDP kan draaien.
05-02-2013, 16:33 door Anoniem
compressie protocol kan gewoon gebruikt in de stack mits openvpn provider dat er niet uit filtert/ondersteund.
05-02-2013, 21:36 door Anoniem
Door Anoniem:
Door Anoniem:
Door hx0r3z: OpenVPN. Heb zelf ook 2 openvpn servers erg tevreden over, ook performance wise. Allemaal top.
Ik raad je wel aan om tcp te gebruiken en comp-lzo aan te zetten.

Waarom over TCP en niet UDP?

Omdat je dan geen packet loss hebt soort van. Je kan ook zeker UDP nemen veel verschil zit er niet in het zou zelfs iets sneller moeten zijn.

Bij sommige protocollen binnen OpenVPN is UDP heel veel sneller dan TCP.
SMB (windows fileshare) binnen OpenVPN is extreem veel trager over TCP dan over UDP.
(lokaal ethersegment, verder geen congestie, zelfde firewall als VPN terminatie, enige verschil OpenVPN over TCP dan wel UDP).

Het TCP regelgedrag van de VPN sessie verstoort het beeld van wat TCP sessies (en protocollen bovenop TCP) binnen de VPN tunnel hebben van het netwerk.

M.i. is het enige voordeel van OpenVPN over TCP dat tcp/443 een erg grote kans heeft om naar buiten te komen, en de UDP opties een stuk minder.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.