7
VPN-Verbindung : Best Practice
Hallo Zusammen,
sind VPN-Verbindungen zum Windows Servern genauso sicher als zu Router VPN-Servern ?Mitterweile sind in allen System FreeNas, Synology(NAS); Windows Servern, Routern, Switches,Firewall fast überall VPN-Server mit integriert und man fragt sich, sind die alle gut abgesichert ? Welche sind von der Hierarchie nach eurer Erfahrung die besten oder besser gesagt was ist die best practice Lösung?
VG
dece
sind VPN-Verbindungen zum Windows Servern genauso sicher als zu Router VPN-Servern ?Mitterweile sind in allen System FreeNas, Synology(NAS); Windows Servern, Routern, Switches,Firewall fast überall VPN-Server mit integriert und man fragt sich, sind die alle gut abgesichert ? Welche sind von der Hierarchie nach eurer Erfahrung die besten oder besser gesagt was ist die best practice Lösung?
VG
dece
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 448808
Url: https://administrator.de/contentid/448808
Printed on: April 24, 2024 at 07:04 o'clock
7 Comments
Latest comment
Nein, das sind sie nicht !
Denke mal selber etwas nach !! In der Regel stehen die Server im internen LAN geschützt hinter einer Firewall. Um VPNs auf solchen Servern und NAS zu terminieren musst du immer ein Loch in die Firewall bohren und den ungeschützten VPN Traffic aus dem Internet in dein lokales LAN lassen.
Schlimmer noch: bricht ein Angreifer aus dem VPN Server dann aus, ist er direkt und ungeschützt in deinem lokalen LAN.
Aus Sicherheitsgründen ist das immer ein absolutes NoGo. Deshalb terminiert man VPNs immer auf der Peripherie oder zumindest auf einem dedizierten Server in einer abgeschotteten DMZ. Nur das ist "Best Practice !"
Das es auf NAS und vielen anderen Geräten implementiert ist liegt zum einen daran das deren OS zu 99% ein unixoides OS ist (Linux, FreeBSD usw.) ist und da ist sowas als "Abfallprodukt" dann dabei. Zum anderen diktiert es der Massenmarkt. Jeder DAU will Oma Grete oder wem auch immer seine Bildersammlung zeigen oder mit dem Kumpel Quake spielen. Wobei es dann noch die geringe Anzahl an guten DAUs sind die wenigstens VPNs nutzen. Die Masse macht sowas schlicht und einfach per gänzlich ungeschütztem Port Forwarding.
Dazu muss es einfach Klicki Bunti sein damit DAU es kauft und um nicht über Sicherheit usw. nachzudenken. Wenn es dann zum GAU kommt sind die aber immer die ersten die nach Staat, Polizei und Armee schreien statt nach gesundem Menschenverstand.
Wie immer ist der menschliche Faktor der Fehler bei sowas. Alles simple Binsenweisheiten die du aber eigentlich als Admin auch kennen solltest.
Denke mal selber etwas nach !! In der Regel stehen die Server im internen LAN geschützt hinter einer Firewall. Um VPNs auf solchen Servern und NAS zu terminieren musst du immer ein Loch in die Firewall bohren und den ungeschützten VPN Traffic aus dem Internet in dein lokales LAN lassen.
Schlimmer noch: bricht ein Angreifer aus dem VPN Server dann aus, ist er direkt und ungeschützt in deinem lokalen LAN.
Aus Sicherheitsgründen ist das immer ein absolutes NoGo. Deshalb terminiert man VPNs immer auf der Peripherie oder zumindest auf einem dedizierten Server in einer abgeschotteten DMZ. Nur das ist "Best Practice !"
Das es auf NAS und vielen anderen Geräten implementiert ist liegt zum einen daran das deren OS zu 99% ein unixoides OS ist (Linux, FreeBSD usw.) ist und da ist sowas als "Abfallprodukt" dann dabei. Zum anderen diktiert es der Massenmarkt. Jeder DAU will Oma Grete oder wem auch immer seine Bildersammlung zeigen oder mit dem Kumpel Quake spielen. Wobei es dann noch die geringe Anzahl an guten DAUs sind die wenigstens VPNs nutzen. Die Masse macht sowas schlicht und einfach per gänzlich ungeschütztem Port Forwarding.
Dazu muss es einfach Klicki Bunti sein damit DAU es kauft und um nicht über Sicherheit usw. nachzudenken. Wenn es dann zum GAU kommt sind die aber immer die ersten die nach Staat, Polizei und Armee schreien statt nach gesundem Menschenverstand.
Wie immer ist der menschliche Faktor der Fehler bei sowas. Alles simple Binsenweisheiten die du aber eigentlich als Admin auch kennen solltest.
Hi,
Firewall oder UTM als VPN Endpoint entsprechende Routen und Regeln wer darf wann worauf was. So planen und setzen wir das mit Sachverstand um.
Vergiss die NAS'
VG,
Christian
Firewall oder UTM als VPN Endpoint entsprechende Routen und Regeln wer darf wann worauf was. So planen und setzen wir das mit Sachverstand um.
Vergiss die NAS'
VG,
Christian
@aqui: du hast ja vollkommen recht. Aber meine Frage bezog sich auf Win Server2016. Das mit FreeBSD, NAS, Synology war eher scherz am rande.
Aber die Leute von Microsoft, da sind auch Netwerkexperten\Sicherheitsexperten, die sind ja nicht von der Straße und die haben sicherlich auch interne Absicherung gegen Cyper-Angriffen für ihren VPN-Server Maßnahmen getroffen. Na klar ist deine Äußerung, die beste einschlägige Lösung(danke nochmal für deine Überzeugung ) und DMZ war das richtige Stichwort wo nach ich gesucht habe.
@certifiedit: Danke Firewall und UTM , merke ich mir für die Zukunft.
VG
dece
Aber die Leute von Microsoft, da sind auch Netwerkexperten\Sicherheitsexperten, die sind ja nicht von der Straße und die haben sicherlich auch interne Absicherung gegen Cyper-Angriffen für ihren VPN-Server Maßnahmen getroffen. Na klar ist deine Äußerung, die beste einschlägige Lösung(danke nochmal für deine Überzeugung ) und DMZ war das richtige Stichwort wo nach ich gesucht habe.
@certifiedit: Danke Firewall und UTM , merke ich mir für die Zukunft.
VG
dece
moin...
das kann heute aber auch jeder bessere router....
Frank
das kann heute aber auch jeder bessere router....
Frank
Moin,
und als Admin solltest du doch eigentlich auch lesen können, oder?
a) geht es hier nicht um die Frage ob der SERVER sicher ist sondern ob das VPN genauso sicher ist. Und hier kann man guten Gewissens sagen: Hängt davon ab was für eine VPN-Geschmacksrichtung man wählt.... Man kann auf Windows ja ebenfalls so ziemlich alles raufhauen - OpenVPN,...
b) Glaubst du wirklich das es einen Unterschied macht ob du jetzt die tolle Cisco-Hardware kaufst (oder andere) oder ob du dein eigenes Linux betreibst? Auch hier hängt das eher von den Fähigkeiten ab - Cisco hat genauso oft Sicherheitslücken drin (die ohne Support-Vertrag dann nur nicht gefixt werden)....
Also - bevor du gleich lostobst von wegen das es ja in ne DMZ gehört, das es ja nich aufn Server gehört - einfach mal die Frage lesen. Es geht darum ob ein Windows-VPN genauso sicher ist, es steht nichts davon drin das man das auf nem DC mit draufhauen will, es kann genauso gut auch ein einzelner Win-Server eben IN der DMZ sein der NUR VPN macht. Die Umgebung steht nirgends, nur die Frage ob das VPN an sich Sicher ist. Und da ist Windows nix anderes als jeder Router, jedes Linux-OS,... -> alle davon bekomm ich so durchlöchtert das man das VPN auch gleich sein lassen kann.
und als Admin solltest du doch eigentlich auch lesen können, oder?
a) geht es hier nicht um die Frage ob der SERVER sicher ist sondern ob das VPN genauso sicher ist. Und hier kann man guten Gewissens sagen: Hängt davon ab was für eine VPN-Geschmacksrichtung man wählt.... Man kann auf Windows ja ebenfalls so ziemlich alles raufhauen - OpenVPN,...
b) Glaubst du wirklich das es einen Unterschied macht ob du jetzt die tolle Cisco-Hardware kaufst (oder andere) oder ob du dein eigenes Linux betreibst? Auch hier hängt das eher von den Fähigkeiten ab - Cisco hat genauso oft Sicherheitslücken drin (die ohne Support-Vertrag dann nur nicht gefixt werden)....
Also - bevor du gleich lostobst von wegen das es ja in ne DMZ gehört, das es ja nich aufn Server gehört - einfach mal die Frage lesen. Es geht darum ob ein Windows-VPN genauso sicher ist, es steht nichts davon drin das man das auf nem DC mit draufhauen will, es kann genauso gut auch ein einzelner Win-Server eben IN der DMZ sein der NUR VPN macht. Die Umgebung steht nirgends, nur die Frage ob das VPN an sich Sicher ist. Und da ist Windows nix anderes als jeder Router, jedes Linux-OS,... -> alle davon bekomm ich so durchlöchtert das man das VPN auch gleich sein lassen kann.
Das ist wenn man sich den Punkt anschaut aber den Satz nicht und wie viele Lücken kennst du in Windows? So außerdem musst du für jedes VPN hinter! Der firewall wieder Lücken reisen die du eigentlich direkt wieder fixen darfst (und die Angriffs Oberfläche direkt mit vergrößerst) was aber selten gemacht wird. Da kann die VPN ähnlich sicher sein { macht aber nix) der Gesamtaufbau ist es aber nicht. Ein Porsche ist toll, doof aber wenn die Aufgabe darin besteht 40t zu ziehen. Da hilft es auch nix, wenn der chef vom Porsche schwärmt, wenn seine Aufgabe mit dieser Betrachtung nicht lösbar ist.
Aber meine Frage bezog sich auf Win Server2016. Das mit FreeBSD, NAS, Synology war eher scherz am rande.
Wenn du die Antwort und die der Kollegen oben aufmerksam liest, erkennst du das die Best Practise ToDos ausnahmslos auch für Winblows gelten !
