casibu
Anmeldungsdatum: 20. Oktober 2013
Beiträge: 201
|
Hallo, ich nutze openconnect, eine cisco kompatible Version von Anyconnect.
Die Frage ist wieviel sicherer dieser VPN Zugang gegenüber einer normalen
HTTPS Verbuindung ist. Wenn ich in einem offen Wlan befinde, wie z.b. im Bahnhof, und ich dann eine https Verbindung zu
meiner Bank aufbaue, dann ist die Verbindung zwar verschlüsselt, aber MIM Attacken sind auch
mit https möglich und funktionieren. Also baue ich zuerst eine VPN Verbindung auf, um mich dann erst
mit der Bank zu verbinden. So, jetzt soll das ja im Banhofsnetz "sicher" sein. Die Frage ist nun, warum soll hier keine
MIM Attacke möglich sein, da ich ja bei openconnect auch nichts andere mache als eine https Verbindung
aufzubauen. Warum soll es für einen Angreifer jetzt schwerer sein, sich zwischen mir und dem VPN Server
einzunisten?
Also wie sicher ist VPN wirklich, und gibt es erfolgreiche Angriffe? Gruß
|
frostschutz
Anmeldungsdatum: 18. November 2010
Beiträge: 7657
|
Bei HTTPS kennen sich Client und Server nicht, bei VPN dagegen schon, insofern kann man da nicht einfach ein beliebiges anderes angeblich vertrauenswürdiges Zertifikat unterschieben, hoffentlich.
|
casibu
(Themenstarter)
Anmeldungsdatum: 20. Oktober 2013
Beiträge: 201
|
hallo, also im Uni-Netz, nutzen wir Anyconnect von ciso als Client, bzw. openconnect.
Dort kann man aber OHNE Zertifikat eine Verbindung aufbauen, sprich ich brauche nur
Benutzernamen, pw, und die Serveradresse, und bin dann drin.
Laut Admins benötigen wir also kein Zertifikat. Somit kennen wir uns (Client und Server) ja auch nicht?
|
frostschutz
Anmeldungsdatum: 18. November 2010
Beiträge: 7657
|
Du kannst auch SSH mit Klartextpasswort... und wenn du es sicherer haben willst nimmst du halt Keys und jeder Client kriegt seinen eigenen, so wie es auch hier beschrieben ist: http://wiki.ubuntuusers.de/OpenVPN Das nimmt dann keine beliebigen / fremden Zertifikate an.
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
Jede Art von Kommunikation bei der vorher kein Identifikationsmerkmal (Cert, PublicKey) ausgetauscht wurde ist prinzipiell via MitM angreifbar. Wenn du also nur dein Username/Password angeben musst und in deiner Konfig kein Certificatsprüfung erzwungen wird ist das VPN sogar schlechter als HTTPS (TLS) Wobei die aussage rein auf der Art des Geheimnisaustausch basiert und nicht auf den Algorithmen an sich.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
casibu schrieb: also im Uni-Netz, nutzen wir Anyconnect von ciso als Client, bzw. openconnect.
Dort kann man aber OHNE Zertifikat eine Verbindung aufbauen, sprich ich brauche nur
Benutzernamen, pw, und die Serveradresse, und bin dann drin.
Laut Admins benötigen wir also kein Zertifikat. Somit kennen wir uns (Client und Server) ja auch nicht?
Ihr kennt euch schon, denn der Benutzername wird ja benötigt. BTW: Evtl. wird für die Anmeldung (noch) kein Zertifikat benötigt, wenn diese nicht verschlüsselt erfolgen soll. D. h., das Zertifikat kann auch nur zum verschlüsseln der Daten, die übertragen werden sollen, verwendet werden. Es gibt auch SSL-Zertifikate mit Passwort. Wenn der Server für ein Zertifikat mit Passwort konfiguriert ist, dann kann man kein angeblich vertrauenswürdiges Zertifikat unterschieben. VPN kann aber muss nicht sicher sein, denn VPN bedeutet ja nicht, dass die Datenübertragung automatisch verschlüsselt sein muss. Je nach Software, kann man auch ein VPN ohne Verschlüsselung erstellen/konfigurieren.
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
lubux schrieb: Ihr kennt euch schon, denn der Benutzername wird ja benötigt. BTW: Evtl. wird für die Anmeldung (noch) kein Zertifikat benötigt, wenn diese nicht verschlüsselt erfolgen soll. D. h., das Zertifikat kann auch nur zum verschlüsseln der Daten, die übertragen werden sollen, verwendet werden. Es gibt auch SSL-Zertifikate mit Passwort. Wenn der Server für ein Zertifikat mit Passwort konfiguriert ist, dann kann man kein angeblich vertrauenswürdiges Zertifikat unterschieben. VPN kann aber muss nicht sicher sein, denn VPN bedeutet ja nicht, dass die Datenübertragung automatisch verschlüsselt sein muss. Je nach Software, kann man auch ein VPN ohne Verschlüsselung erstellen/konfigurieren.
Aus kryptografgischer Sicht kennen sich Server und Client nicht. Beim initialen Verbindungsaufbau (bevor die UserCredentials ausgetauscht werden) kann ohne weiteres Secret keine Überprüfung Seiten des Clients vorgenommen werden, ob zwischen Server und Client niemand sitzt und mitliest.
|
casibu
(Themenstarter)
Anmeldungsdatum: 20. Oktober 2013
Beiträge: 201
|
Jede Art von Kommunikation bei der vorher kein Identifikationsmerkmal (Cert, PublicKey) ausgetauscht wurde ist prinzipiell via MitM angreifbar. Wenn du also nur dein Username/Password angeben musst und in deiner Konfig kein Certificatsprüfung erzwungen wird ist das VPN sogar schlechter als HTTPS (TLS)
Interessant. Machen wir es doch ganz konkret, ich installiere openconnect, um ein cisco Kompatible Anyconnect Verbindung aufzubauen. In vielen Unis wird das angeboten. Um mich nun in VPN einzuloggen muss ich vorher KEIN Zertifikat runterladen! Ich brauche also nur den Servernamen, Usermanem, und das Passwort, fertig. Nach deiner Aussage ist das VPN also noch schlechter als eine HTTPS Verbindung? Anyconnect baut aber eine https Verbindung auf, das sieht man.
Dann wäre ja mein Annahme die ich Anfangs machte, dass ein MIM genauso möglich ist, wie bei einer normalen https Verbindung leider doch richtig?
Probiert es doch einfach mal aus?
Mein Ziel ist es, mich und andere vor falschen Annahmen zu schützen.
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17449
|
Das Cisco Ding wird vielleicht HTTPS für das VPN nutzen, aber hoffentlich auch eine Liste von vertrauenswürdigen CAs haben 😉 Um eine MITM durchzuführen muss ich also erstmal in dieser Liste von vertrauenswürdigen CAs sein, das VPN ist also in diesem Fall genauso sicher bzw. unsicher wie eine normale HTTPS Verbindung. Dazu noch die Frage ob Cisco nicht einfach nur den Port 443 missbraucht weil der halt so oft schon in diversen Proxies via HTTP CONNECT erreichbar gemacht wurde damit auch HTTPS geht. "Richtiges" VPN hat aber tatsächlich eine eigene kleine CA mit Keys für jeden Teilnehmer und geprüften CRLs auf der Serverseite (mindestens). mfg Stefan Betz
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
encbladexp schrieb: Das Cisco Ding wird vielleicht HTTPS für das VPN nutzen, aber hoffentlich auch eine Liste von vertrauenswürdigen CAs haben 😉
Du traust Cisco zu etwas sauber und fehlerfrei implementiert zu haben? *G* casibu schrieb: Jede Art von Kommunikation bei der vorher kein Identifikationsmerkmal (Cert, PublicKey) ausgetauscht wurde ist prinzipiell via MitM angreifbar. Wenn du also nur dein Username/Password angeben musst und in deiner Konfig kein Certificatsprüfung erzwungen wird ist das VPN sogar schlechter als HTTPS (TLS)
Interessant. Machen wir es doch ganz konkret, ich installiere openconnect, um ein cisco Kompatible Anyconnect Verbindung aufzubauen. In vielen Unis wird das angeboten. Um mich nun in VPN einzuloggen muss ich vorher KEIN Zertifikat runterladen! Ich brauche also nur den Servernamen, Usermanem, und das Passwort, fertig. Nach deiner Aussage ist das VPN also noch schlechter als eine HTTPS Verbindung? Anyconnect baut aber eine https Verbindung auf, das sieht man.
Dann wäre ja mein Annahme die ich Anfangs machte, dass ein MIM genauso möglich ist, wie bei einer normalen https Verbindung leider doch richtig?
Probiert es doch einfach mal aus?
Mein Ziel ist es, mich und andere vor falschen Annahmen zu schützen.
Ich kenne Anyconnect nicht aber wie schon encbladexp erwähnt ausgeführt hat, geht es bei der jetzigen Diskussion nur noch um den Austausch des (ersten) Schlüssels. Konkret ist zu prüfen (oder zu erfragen) ob Anyconnect die erste "Kontaktaufnahme" überhaupt über ein Certifikat absichert? Wenn ja ob das Cert auch geprüft wird (wäre nicht die erste Implementierung die die CertChain falsch oder gar nicht auswertet). Ich weiß noch von Cisco-Tools (oder Android-VPN Clients) bei dehnen ging folgendes: Anvisiert war ein IPSEC-Tunnel (der Krypto Tunnel, dummerweise auf Layer 3), darüber ein L2TP (damit man auf Layer2 kommt) und final PPP (der eigendliche Tunnel für die Daten). Wenn der Angreifer es schafft, dass der IPSEC Tunnel nicht aufgebaut wird, hat sich der Client dennoch verbunden und hat alles unverschlüsselt über den L2TP Tunnel gejagt. Es braucht zwar auch Dummheit des Betreibers aber die kann man immer unterstellen 😉 Lange rede kurzer Sinn: Es hängt von deiner Configuration, Betreiber und Implementierung ab ob und wie sicher deine VPN Verbindung sicher ist.
|
Serengeti
Anmeldungsdatum: 24. Februar 2008
Beiträge: 1928
|
Eine kurzer Einwurf als unbeteiligter. Wenn man schon diese Frage stellt, kommt zwangsläufig doch auch die Frage: Wie sicher ist eigentlich das Uni-Netz?
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
Serengeti schrieb: Eine kurzer Einwurf als unbeteiligter. Wenn man schon diese Frage stellt, kommt zwangsläufig doch auch die Frage: Wie sicher ist eigentlich das Uni-Netz?
Das von außen schwer zu beantworten und stark davon abhängig was du als "sicher" definierst
|
casibu
(Themenstarter)
Anmeldungsdatum: 20. Oktober 2013
Beiträge: 201
|
Eine kurzer Einwurf als unbeteiligter. Wenn man schon diese Frage stellt, kommt zwangsläufig doch auch die Frage: Wie sicher ist eigentlich das Uni-Netz?
man kann sich per belwue, das gibt es in vielen Hochschulen in BW, mit einem offen WLAN Netz verbinden. Dann baut man die VPN Verbindung auf.
|
tommype
Anmeldungsdatum: 11. November 2014
Beiträge: Zähle...
|
casibu schrieb: Hallo, ich nutze openconnect, eine cisco kompatible Version von Anyconnect.
Die Frage ist wieviel sicherer dieser VPN Zugang gegenüber einer normalen
HTTPS Verbuindung ist. Wenn ich in einem offen Wlan befinde, wie z.b. im Bahnhof, und ich dann eine https Verbindung zu
meiner Bank aufbaue, dann ist die Verbindung zwar verschlüsselt, aber MIM Attacken sind auch
mit https möglich und funktionieren. Also baue ich zuerst eine VPN Verbindung auf, um mich dann erst
mit der Bank zu verbinden. So, jetzt soll das ja im Banhofsnetz "sicher" sein. Die Frage ist nun, warum soll hier keine
MIM Attacke möglich sein, da ich ja bei openconnect auch nichts andere mache als eine https Verbindung
aufzubauen. Warum soll es für einen Angreifer jetzt schwerer sein, sich zwischen mir und dem VPN Server
einzunisten?
Also wie sicher ist VPN wirklich, und gibt es erfolgreiche Angriffe? Gruß
Hallo, hier kannst du alles über VPN Tunnel nachlesen! http://www.vpnanonymsurfen.de/ist-ein-vpn-tunnel/ Grüsse Tommy
|