Adv. Client und Lancom 1721 - Anfängerfragen

Rotor-Chris · Beitrag von **Rotor-Chris** » 21 Jan 2007, 14:22

Hallo,

ich hab vor kurzem unsere Firma mit einem 1721 VPN bestückt, und bin sehr zufrieden.
Nun habe ich mit dem Assistenten im LANconfig den VPN Zugang eingerichtet.
Anschließend habe ich mit dem Assistenten des Advanced Client den Zugang auf Clientseite eingerichtet.
Nachdem ich im LANconfig unter VPN->Defaults im Aggressive Mode die richtige Proposal-Liste eingetragen hatte, lief die VPN Einwahl auch tadellos.
Das ganze läuft über preshared key.

Allerdings habe ich einige Fragen, um richtig zu verstehen was ich hier überhaupt genau mache

Unter IP-Sec Einstellungen im Adv. Client steht folgendes:
IKE-Richtlinie: Pre-shared-key
IPSec-Richtlinie: ESP-AES128-MD5
Exch. mode: Aggressive Mode
PFS-Gruppe: DH-Gruppe 2 (1024 Bit)

Im LANconfig des Routers steht in der IPSec-Proposalliste
WIZ-TN-AES-MD5-96

Mein grundlegende Frage wäre: Ist das noch verbesserungswürdig? Höhere Verschlüsselung o.Ä. ? Wenn ja, könntet ihr mir sagen wie?

Des Weiteren habe ich, als ich im LANconfig den VPN-Zugang eingerichtet habe, eine feste IP vergeben, die dem Client mittels IKE-Config mode vergeben wird. Wo kann ich diese IP im nachhinein ändern?

Vielen Dank im Voraus!
Chris

ittk · Beitrag von **ittk** » 21 Jan 2007, 16:29

Hi,

solange du den setup-Wzard i.V.m. den Adv-VPN-Client benutzt dann musst du am VPN-Client nur ein standard-Profil erstellen ohne selber Richtlinen definieren zu muessen.

AES hat eine Schluessel- und Blocklaenge von 128-bit, dies ist ausreichend. Du koennst z.B. die Lifetime der Phase 2 (IPSec-proposals herabsetzen) oder auf 256-bit AES und als Hash-Algo auf den 160-bit SHA-1 ausweichen
was aber mehr CPU-Power frißt.

Die feste IP des VPN-Clients findest du als Tabelleneintrag in der Routing-Tabelle. Dort kannst du Sie aendern. Ferner kannst du den Eintrag deaktiveren und dynamische IPs aus dem RAS-Pool vergeben, wenn du dort die Adressen fuer Einwahlzugaenge hinterlegt hast. Diese Pool kann ebenfalls außerhalb des LANs liegen, sodass kein Proxy-ARP erforderlich ist.

backslash · Beitrag von **backslash** » 21 Jan 2007, 18:12

Hi Rotor-Chris

Mein grundlegende Frage wäre: Ist das noch verbesserungswürdig? Höhere Verschlüsselung o.Ä. ? Wenn ja, könntet ihr mir sagen wie?

nun ja: Verwendung von Zertifikaten, denn ein aggressive-Mode mit pre-shared Key ist "offline" angreifbar, d.h. es ist möglich den Key zu knacken ohne ständig neue Anfragen an den Router zu schicken:

Dazu reicht es aus, ein IKE-Paket mit falschem Key an den Router zu schicken und die Antwort auszuwerten. In den dort übermittelten Hash geht nämlich der korrekte Key ein. Da der Algorithmus zur Bildung des Hashwerts offengelegt ist, kann der Angreifer nun in aller seelenruhe alle möglichen Keys durchprobieren, bis er den gleichen Hashwert erhält - damit hat er dann auch den (genauer: einen) korrekten Key gefunden

Daraus folgt: Wenn man den Aufwand für Zertifikate scheut, dann sollte man tunlichst einen sicheren Key auswählen, also mindestens 8 Zeichen (je länger, je besser), darin mindestens ein Sonderzeichen und natürlich ganz wichtig: Keine "lesbaren" Wörter... Das sind generell die Regeln für sichere Paßwörter und der pre-shared Key ist letztendlich nichts anderes als ein Paßwort

Gruß
Backslash

Rotor-Chris · Beitrag von **Rotor-Chris** » 22 Jan 2007, 22:41

super, vielen dan für die hilfreichen Tipps