Security Professionals
- ipfw add deny all from eindgebruikers to any
PPTP, OpenVPN?
01-01-2013, 23:59 door Anoniem, 20 reacties
Hallo allen,
Welke VPN oplossing is een save choice?
Ik lees over PPTP:
https://www.schneier.com/pptp.html ..maar dat is al jaren onveranderd. Heeft Microsoft dat niet al gepatched?
En hoe zit dat met OpenVPN? Is dat veilig om te gebruiken?
Welke VPN oplossing is een save choice?
Ik lees over PPTP:
https://www.schneier.com/pptp.html ..maar dat is al jaren onveranderd. Heeft Microsoft dat niet al gepatched?
En hoe zit dat met OpenVPN? Is dat veilig om te gebruiken?
Reacties (20)
PPTP niet gebruiken, erg lek (Google het?)
OpenVPN is safe en wordt actief onderhouden.
OpenVPN is safe en wordt actief onderhouden.
Kijk naar deze link:
https://www.security.nl/artikel/42480/1/%22Microsoft%27s_PPTP_VPN_volledig_gekraakt%22.html
https://www.security.nl/artikel/42480/1/%22Microsoft%27s_PPTP_VPN_volledig_gekraakt%22.html
02-01-2013, 12:20 door
[Account Verwijderd]
[Verwijderd]
Als je binnen de standaard Windows software wilt blijven kun je ook L2TP/IPsec gebruiken.
Dat wordt ook ondersteund op commerciele routers (zoals Cisco).
Dat wordt ook ondersteund op commerciele routers (zoals Cisco).
Ja, OpenVPN is prima keuze. Heb dit geadviseerd bij project voor een gemeente in 2007. Tot volle tevredenheid van alle betrokken partijen.
Ik zou voor een willekeurig SSL VPN kiezen, onafhankelijk van de leverancier :)
Mocht je de mogelijkheid hebben om de VPN zelf op te zetten, dan raad ik je dit aan. Je kunt hiervoor gebruik maken van Linux servers / shells en hier OpenVPN op configureren.
Door Hugo: OpenVPN is een prima keuze. Veilig genoeg, zelfs Departementaal Vertrouwelijk.
https://www.aivd.nl/organisatie/eenheden/nationaal-bureau/artikel/inzetadviezen/
https://www.aivd.nl/organisatie/eenheden/nationaal-bureau/artikel/inzetadviezen/
Let dan wel even op dat er een aangepaste overheids versie van open vpn is...
https://openvpn.fox-it.com/
niet elke openvpn implementatie is veilig!
29-01-2013, 19:26 door
hx0r3z
OpenVPN. Heb zelf ook 2 openvpn servers erg tevreden over, ook performance wise. Allemaal top.
Ik raad je wel aan om tcp te gebruiken en comp-lzo aan te zetten.
En natuurlijk raad ik je wel aan om een goede encryption bit te gebruiken voor SSL of TLS.
256+ voor cert en 1024 voor data ofzo
Good luck.
Ik raad je wel aan om tcp te gebruiken en comp-lzo aan te zetten.
En natuurlijk raad ik je wel aan om een goede encryption bit te gebruiken voor SSL of TLS.
256+ voor cert en 1024 voor data ofzo
Good luck.
29-01-2013, 23:26 door
rednax
Ik ben het met geen van de reacties eens waar jouw wordt verteld wat je moet kiezen.
Je moet kijken naar wat er benodigd is in jouw situatie.
Kost je wat uit zoek werk, maar dan weet je zeker dat je de juiste keuze hebt gemaakt en waarom.
Niet met de reden: dat zeggen ze op internet.
Als je OpenVPN gebruikt heb je een extra server nodig.
Heb je VPN op basis van L2TP met IP-Sec kun je dit op bijv. op Cisco apparatuur instellen.
Zou goedkoper kunnen zijn als je die hardware reeds hebt staan.
De laatste optie hebben wij pas aan een verzekeringsbedrijf aangeraden.
Je moet kijken naar wat er benodigd is in jouw situatie.
Kost je wat uit zoek werk, maar dan weet je zeker dat je de juiste keuze hebt gemaakt en waarom.
Niet met de reden: dat zeggen ze op internet.
Als je OpenVPN gebruikt heb je een extra server nodig.
Heb je VPN op basis van L2TP met IP-Sec kun je dit op bijv. op Cisco apparatuur instellen.
Zou goedkoper kunnen zijn als je die hardware reeds hebt staan.
De laatste optie hebben wij pas aan een verzekeringsbedrijf aangeraden.
30-01-2013, 10:54 door
hx0r3z
Door rednax:
Als je OpenVPN gebruikt heb je een extra server nodig.
Als je OpenVPN gebruikt heb je een extra server nodig.
Nee? Wat is dit voor een onzin. Je kunt het bijna op elke linux distro draaien.
Gewoon en ssh shell met root of vps huren voor een paar euro per maand en klaar ben je.
Door rednax: Ik ben het met geen van de reacties eens waar jouw wordt verteld wat je moet kiezen.
Heb je VPN op basis van L2TP met IP-Sec kun je dit op bijv. op Cisco apparatuur instellen.
Zou goedkoper kunnen zijn als je die hardware reeds hebt staan.
Heb je VPN op basis van L2TP met IP-Sec kun je dit op bijv. op Cisco apparatuur instellen.
Zou goedkoper kunnen zijn als je die hardware reeds hebt staan.
Dat had ik anders op 2-1-2013 ook al geschreven.... dus waarom je het daar dan niet mee eens bent snap ik niet.
Ik ben het met jou eens dat dit zeker voor bedrijven een goede oplossing is. Daar staan toch vaak wel cisco routers
en daar richt je dat zo op in, zonder dat je weer een Linux box moet optuigen en beheren.
Radius authenticatie met je active directory of met een two-factor authenticatie systeem, dat heb je zo werkend.
En in je Windows client alleen maar even "verbinding maken met mijn werk" aanklikken, niks geen software te
installeren ofzo.
Uit mijn eigen ervaring de volgende Netwerkschijven hebben al standaard een PPTP en OpenVPN ingebouwd service.
Synology DS en QNAP TS. Let wel op dat bij sommige van deze modules het aantaal VPN connectie is beperk tot 5 connecties. heb je meer connecties nodig dan kijk voor de modules dat het best op je wensen aansluit.
verder voor de VPN zal ik je adviseren om alleen van de door je bekende IP/IP Range te laten aanmelden. niet via een gratis openbaar WiFi om de hoek. dit verhoogt de veligheid voor je Netwerk. Vergeet het niet dat zodra heb je een VPN connectie tot stand gebracht, zijn alle porten open. Dus Virteul zit je all aan de LAN zijde van je netwerk.
Geef ook graag dan een Feedback.
mvg
Fraidon
Synology DS en QNAP TS. Let wel op dat bij sommige van deze modules het aantaal VPN connectie is beperk tot 5 connecties. heb je meer connecties nodig dan kijk voor de modules dat het best op je wensen aansluit.
verder voor de VPN zal ik je adviseren om alleen van de door je bekende IP/IP Range te laten aanmelden. niet via een gratis openbaar WiFi om de hoek. dit verhoogt de veligheid voor je Netwerk. Vergeet het niet dat zodra heb je een VPN connectie tot stand gebracht, zijn alle porten open. Dus Virteul zit je all aan de LAN zijde van je netwerk.
Geef ook graag dan een Feedback.
mvg
Fraidon
30-01-2013, 15:09 door
yobi
Houdt bij PPTP wel rekening met de volgende aanbevelingen:
http://technet.microsoft.com/en-us/security/advisory/2743314
http://technet.microsoft.com/en-us/security/advisory/2743314
OpenVPN. PPTP is vooralsnog makkelijker te tappen. Bij beide is het zo dat je goed op moet letten over welk netwerk je de sleutel hebt verkregen, wordt gedeeld. Voor de veiligheid is het belangrijk sleutels namelijk niet te verkrijgen, te delen via hetzelfde netwerk als waarop je ze gebruikt, al helemaal niet zonder encryptie. Vergeet niet dat keyrolling exchange ook gemirrord kan worden. Makkelijker dan men denkt, encryptie is niet meer dan gepretendeerde assymetrie door complexe verhulling van symetrie. werkelijke asymetrie zou niet te decrypten zijn. dubbelcheck server tokens/certificaten etc en sla ze hardcoded op. zulke dingetjes kunnen ook helpen.
Door hx0r3z: OpenVPN. Heb zelf ook 2 openvpn servers erg tevreden over, ook performance wise. Allemaal top.
Ik raad je wel aan om tcp te gebruiken en comp-lzo aan te zetten.
Ik raad je wel aan om tcp te gebruiken en comp-lzo aan te zetten.
Waarom over TCP en niet UDP?
Door Anoniem:
Waarom over TCP en niet UDP?
Door hx0r3z: OpenVPN. Heb zelf ook 2 openvpn servers erg tevreden over, ook performance wise. Allemaal top.
Ik raad je wel aan om tcp te gebruiken en comp-lzo aan te zetten.
Ik raad je wel aan om tcp te gebruiken en comp-lzo aan te zetten.
Waarom over TCP en niet UDP?
Omdat je dan geen packet loss hebt soort van. Je kan ook zeker UDP nemen veel verschil zit er niet in het zou zelfs iets sneller moeten zijn.
Draaien van een VPN over TCP wordt in het algemeen als een slecht idee gezien, omdat je dan twee levels van re-tries hebt.
De applicatie gebruikt TCP en deze doet na een bepaalde tijd geen antwoord gehad te hebben een re-try door de informatie opnieuw te sturen, maar de VPN laag heeft zelf ook een TCP en doet dus ook re-tries. In geval van packetloss wordt er daardoor veel te veel informatie (opnieuw) verzonden, en als die packetloss per ongeluk het gevolg is van overbelasting dan kan dit leiden tot een "congestion collapse".
(er worden alleen nog maar retries verstuurd, en er komt niks nuttigs meer over de lijn)
Ook zijn er protocollen die juist UDP gebruiken om geen re-tries te hebben (pakket komt aan of pakket gaat verloren, maar niet pakket komt na 20 seconden ineens toch aan) en die ontneem je die keuze door TCP te gebruiken in je VPN laag.
Liever niet doen dus. Het enige voordeel van TCP in je VPN is dat je compressie kunt gebruiken die historie opbouwt over meerdere paketten (kan niet met lossy protocollen omdat de ontvanger altijd dezelfde historie moet hebben als de zender), maar of OpenVPN dat wel doet weet ik niet, gegeven het feit dat het ook over UDP kan draaien.
De applicatie gebruikt TCP en deze doet na een bepaalde tijd geen antwoord gehad te hebben een re-try door de informatie opnieuw te sturen, maar de VPN laag heeft zelf ook een TCP en doet dus ook re-tries. In geval van packetloss wordt er daardoor veel te veel informatie (opnieuw) verzonden, en als die packetloss per ongeluk het gevolg is van overbelasting dan kan dit leiden tot een "congestion collapse".
(er worden alleen nog maar retries verstuurd, en er komt niks nuttigs meer over de lijn)
Ook zijn er protocollen die juist UDP gebruiken om geen re-tries te hebben (pakket komt aan of pakket gaat verloren, maar niet pakket komt na 20 seconden ineens toch aan) en die ontneem je die keuze door TCP te gebruiken in je VPN laag.
Liever niet doen dus. Het enige voordeel van TCP in je VPN is dat je compressie kunt gebruiken die historie opbouwt over meerdere paketten (kan niet met lossy protocollen omdat de ontvanger altijd dezelfde historie moet hebben als de zender), maar of OpenVPN dat wel doet weet ik niet, gegeven het feit dat het ook over UDP kan draaien.
compressie protocol kan gewoon gebruikt in de stack mits openvpn provider dat er niet uit filtert/ondersteund.
Door Anoniem:
Omdat je dan geen packet loss hebt soort van. Je kan ook zeker UDP nemen veel verschil zit er niet in het zou zelfs iets sneller moeten zijn.
Door Anoniem:
Waarom over TCP en niet UDP?
Door hx0r3z: OpenVPN. Heb zelf ook 2 openvpn servers erg tevreden over, ook performance wise. Allemaal top.
Ik raad je wel aan om tcp te gebruiken en comp-lzo aan te zetten.
Ik raad je wel aan om tcp te gebruiken en comp-lzo aan te zetten.
Waarom over TCP en niet UDP?
Omdat je dan geen packet loss hebt soort van. Je kan ook zeker UDP nemen veel verschil zit er niet in het zou zelfs iets sneller moeten zijn.
Bij sommige protocollen binnen OpenVPN is UDP heel veel sneller dan TCP.
SMB (windows fileshare) binnen OpenVPN is extreem veel trager over TCP dan over UDP.
(lokaal ethersegment, verder geen congestie, zelfde firewall als VPN terminatie, enige verschil OpenVPN over TCP dan wel UDP).
Het TCP regelgedrag van de VPN sessie verstoort het beeld van wat TCP sessies (en protocollen bovenop TCP) binnen de VPN tunnel hebben van het netwerk.
M.i. is het enige voordeel van OpenVPN over TCP dat tcp/443 een erg grote kans heeft om naar buiten te komen, en de UDP opties een stuk minder.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.