PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : pptpd mit MS Chap V2 reicht ???



Mathew
14.06.04, 02:57
Hallo zusammen,

ich habe ein VPN-Server per dyndns über ne DSL-Flat wo mein XP Client über MS Chap V2 die Authentifizierung macht, damit ich bei Bedarf von unterwegs PDF-Dokumente abholen kann.

MS Chap V2 verschlüsselt Benutzername und Passwort.
Die Datenübertragung ist unverschlüsselt.

So, alle reden von ipsec, FreeSWAN und ........

Wo liegt das Sicherheitsrisiko ???

1. Das meine unverschlüsselten Daten mit 1 Million andere Pakete gleichzeitig durchs Internet wandern ???
2. Wie hoch ist die warscheinlichkeit das jemand dran kommt bei ständig ändernde IP-Adresse ???
3. Wenn ich ein PDF Dokument downloade, sind es einige Pakete. Ist es so einfach die zu erkennen, zusammenzupacken und daraus die gleiche Datei zu erstellen wo man auch weiß das es sich um ein PDF-Dokument handelt ???

Ich lese immer das denjenigen die die gleiche Konfiguration verwenden immer davon abgeraten wird und man ipsec nehmen soll. Aufgrund der Sicherheit eben. Nur, ist es wirklich so kraz mit der Sicherheit ???

Ich bin ja kein Arzt oder keine Bank. Gut trotzdem sollen nicht unbedingt die Dokumente für jeden sichtbar sein, aber so einfach ist das auch sicher nicht trotz unsicheren VPN-Tunnel.

Dankääääää für Antworten.

Gruß Mathew

cane
15.06.04, 12:15
Hallo Mathew!

Du mußt für dich selbst entscheiden welches maß an Sicheheit nötig ist.

Zu MS-CHAP an dieser Stelle ein Zitat des BSI:


Die Verfahren PAP, SPAP sowie MS-CHAP (in beiden Versionen) werden als unsicher eingestuft und sollten daher nicht verwendet werden. Muss MS-CHAP als Authentisierungsverfahren eingesetzt werden, so sollte die Version 2 genutzt werden, da diese sicherer ist als Version 1. Da auch in der Version 2 Sicherheitsprobleme gefunden wurden, sollte auf eine neuere Version zurückgegriffen werden, sobald eine solche verfügbar ist.


Zu Deinen Fragen:


1. Das meine unverschlüsselten Daten mit 1 Million andere Pakete gleichzeitig durchs Internet wandern ???
Jede Zwischenstelle kann die Pakete mitlesen.



2. Wie hoch ist die warscheinlichkeit das jemand dran kommt bei ständig ändernde IP-Adresse ???
Das kommt ganz auf den Jemand an ;)



3. Wenn ich ein PDF Dokument downloade, sind es einige Pakete. Ist es so einfach die zu erkennen, zusammenzupacken und daraus die gleiche Datei zu erstellen wo man auch weiß das es sich um ein PDF-Dokument handelt ???
Die Dokumente können rekonstruiert werden - wie hoch der Aufwand ist kann ich nicht abschätzen - mit Fachwissen wirds aber nicht schwer sein.



Also entscheide selbst wie sensibel Deine Daten sind...

mfg
cane

RapidMax
16.06.04, 20:40
Wo liegt das Sicherheitsrisiko ???
Meine Unterlage liegen gerade woanders. AFAIK hat MS-Chap gewisse Schwächen im Verbindungsaufbau.


Nur, ist es wirklich so kraz mit der Sicherheit ???
Du kannst deine Dokumente über einen Webserver zugänglich machen, was kratzt dich die Sicherheit?

Entweder du verzichtest (z.b. wegen der Bequemlichkeit) auf Sicherheit, oder du machst es gleich richtig. Halbe Sicherheit gibt es nicht.

Gruss, Andy